UPDATE: Date ale unor clienți Rompetrol Downstream, accesate neautorizat pentru obținere de credite IFN (GDPR). Compania a făcut plângere penală

Compania Rompetrol Downstream a fost amendată cu 110.000 EUR (546.073 lei), de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), pentru că datele unor clienți din programul informatic al companiei au fost accesate de la nivel intern și utilizate în scopul obținerii unor credite de la societăți financiare nebancare, în numele acestora, potrivit unui comunicat al autorității române.

UPDATE: Rompetrol Downstream, precizează, într-un punct de vedere transmis StartupCafe.ro, că incidentul face obiectul unei anchete penale deschise în baza plângerii din partea companiei (aprilie 2022) împotriva unuia dintre foștii săi angajați.

Ce spune Rompetrol Downstream despre incidentul în care „anumite date cu caracter personal au fost dezvăluite și folosite în temeiul unui scop fraudulos”

Rompetrol Downstream a luat act de încheierea investigatiei deschise de ANSPDCP cu privire la incidentul legat de GDPR.

Mentionam ca incidentul a fost initial raportat de companie in martie 2022, iar Autoritatea a beneficiat de tot sprijinul nostru pe intreaga perioada, intr-o manieră completă și transparentă.

Securitatea și siguranța datelor cu caracter personal ale clienților Rompetrol Downstream reprezintă o prioritate in activitatea companiei.

În contextul dat, Rompetrol Downstream considera ca a luat măsuri ferme care să protejeze datele cu caracter personal ale clienților, să respecte pe deplin regulile GDPR și să implementeze toate măsurile tehnice și organizatorice care vizează acest scop.

În acest caz vorbim de un incident particular și izolat și care face în prezent obiectul unei anchete penale deschise în baza plângerii din partea companiei (aprilie 2022) împotriva unuia dintre foștii săi angajați.

Trebuie să reținem faptul că circumstanțele deosebite ale acestui caz, în care anumite date cu caracter personal au fost dezvăluite și folosite în temeiul unui scop fraudulos, cu rea-credință, sunt împotriva tuturor instrucțiunilor, instruirilor și procedurilor primite de angajat din partea companiei.

În plus, Rompetrol Downstream este pregătită să folosească toate drepturile recunoscute și procedurile legale pe care le are la dispoziție pentru a-și păstra și apăra reputația în acest caz.

----

Știrea inițială:

În baza regulamentului GDPR, Autoritatea Națională de Supraveghere a finalizat, în luna octombrie 2023, o investigație la Rompetrol Downstream SRL. Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, în perioada 20.07.2021 – 3.02.2022.

„În cadrul investigației a rezultat că s-a accesat de la nivel intern și s-au utilizat în mod neautorizat, în repetate rânduri, datele unor clienți din programul informatic deținut de companie și s-au divulgat în mod ilegal, datele personale ale unor clienți în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora.

Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria și numărul cărții de identitate, codul numeric personal, adresa, locul nașterii, poza)  și date din adeverința de salariu (precum: numele și prenumele angajatului, data, semnătura, veniturile realizate, vechimea în muncă)”, a precizat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Instituția a constatat că Rompetrol Downstream SRL nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa și nici nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 546.073 lei (echivalentul a 110.000 de euro).

Mai departe, Rompetrol va putea recupera cei 110.000 EUR, în instanță, de la făptași - a comentat, pe Facebook, Tudor Galoș, expert GDPR. El a precizat că în acest caz s-a aplicat „principiul responsabilității din GDPR”, potrivit căruia „angajatorul plătește” pentru abaterile angajatului.

Rompetrol Downstream SRL a avut o cifră de afaceri de 3,2 miliarde de euro și profit de 38 de milioane de euro, cu 438 de angajați, în anul 2022. Compania face parte din Grupul KMG International, controlat de statul kazah.