Avocat protecția datelor -Autoritatea Națională de Supraveghere (ANSPDCP) a finalizat în data de 23.06.2020 o investigație la un operator român și a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) din Regulamentul General privind Protecția Datelor. Operatorul a fost sancționat contravențional cu amendă în cuantum de 72.642 lei, echivalentul a 15.000 EURO.
O firmă ce a organizat un concurs pentru atragerea clienților a postat pe Facebook un document unde apărea, printre altele, și o parolă de acces la formularele completate de participanții la acel concurs. Astfel, s-a ajuns la posibilitatea de accesare neautorizată, de către persoane străine, a datelor a 436 de clienți (persoane participante la competiție). În consecință, Autoritatea română de protecție a datelor a amendat firma ce a divulgat ilegal acele date cu 15.000 de euro.
În esență, firma sancționată, după ce a organizat concursul ce implica și completarea unor formulare, a postat pe Facebook o captură a codului sursă a unui website, acolo fiind inclusă și parola de acces la formularele completate de participanții la concurs, conform comunicatului ANSPDCP. Practic, au fost încălcate obligațiile de garantare a securității datelor, în sensul că acea captură a permis accesul neautorizat la datele a peste 400 de persoane și, astfel, divulgarea ilegală a acestora.
Pe lângă amendă, operatorul a fost și obligat la implementarea unor măsuri corective, în sensul că a trebuit să își revizuiască și să își actualizeze măsurile tehnice și organizatorice, după ce va fi evaluat riscurile cu privire la datele personelor vizate de activitatea acelei firme.
Amenda dată a fost pentru una din cele mai comune abateri de la GDPR, respectiv neasigurarea unui cadru de securitate adecvat pentru prelucrarea de date și pentru garantarea protecției acestora.
Importanța respectării circuitului datelor cu caracter personal rezultă din considerentul (75) din Regulamentul General privind Protecția Datelor în care se arată că „Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viaţa sexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”