GDPR în România: Situațiile pentru care Vodafone a primit o amendă de 15.000 EUR de la Autoritatea de protecție a datelor personale

Operatorul de telecomunicații Vodafone România SA a primit o amendă în valoare de 15.000 EUR, în baza Regulamentului GDPR, pentru că nu a asigurat confidențialitatea datelor personale ale unor clienți, anunță, luni, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Investigațiile au fost demarate ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679, dar și ca urmare a unor sesizări.

Conform Autorității de protecție a datelor personale, încălcarea securității datelor a fost determinată de situații precum:

• transmiterea neautorizată a unei poze cu detaliile facturii unei persoane vizate către o persoană terță;
• neascunderea adreselor de e-mail ale destinatarilor și neselectarea opțiunii BCC (blind carbon copy) cu ocazia informării unor persoane vizate asupra unor modificări cu privire la  managerul de cont al acestora;
• transmiterea prin WhatsApp de către angajatul unui împuternicit al operatorului, a unei fotografii conținând o captura de ecran cu date afișate în interfața aplicației operatorului;
• transmiterea în mod eronat a unei facturi aparținând unei persoane vizate către un terț.

Incidentele produse au condus la divulgarea și accesul neautorizat la datele cu caracter personal ale mai multor persoane vizate.

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 74.526 lei, echivalentul sumei de 15.000 EUR.

„În cadrul investigațiilor a rezultat că, în mod repetat, operatorul Vodafone Romania S.A. nu a asigurat confidențialitatea datelor apartinând mai multor persoane vizate, clienți ai companiei (nume, prenume, adrese de e-mail, CNP, Cod client și adresa client), ca urmare a nerespectării politicilor și procedurilor de lucru în ceea ce privește prelucrarea datelor cu caracter personal de către angajații sau persoanele împuternicite ale acestuia”, conform ANSPDCP.

De asemenea, s-a constatat că firma nu a luat măsuri tehnice și organizatorice adecvate pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la datele cu caracter personal, nu le prelucrează decât la cererea sa și nici nu a implementat măsuri tehnice și organizatorice adecvate„ în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării datelor incluzând capacitatea de a asigura confidențialitatea și integritatea acestora”.

Pentru aceaste fapte, operatorul a fost sancționat cu amendă pentru încălcarea dispozițiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679.

Firma a achitat amenda contravențională stabilită, conform ANSPDCP. Amintim că sancțiunile Autorității de Protecție a Datelor Personale pot fi contestate în instanță.