ANSPDCP anunta ca Hora Credit IFN a primit o amenda pe GDPR de 14.000 de euro. Firma a incalcat mai multe prevederi ale Regulamentului.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal arata cum IFN-ul Hora Credit a primit o amenda de 14.000 de euro in total. Sanctiunea este cuprinsa din 6 parti: 3 contraventionale si 3 corective.
Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.
Conform ANSPDCP, Hora Credit IFN a primit amenda de:
- 1000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din GDPR;
- 3000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR (raportat la art. 33 alin. (1) din GDPR);
- 10.000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei Autoritatii s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din GDPR.
In plus, au fost aplicate si masuri corective. Astfel, ANSPDCP a stabilit ca pentru respectarea GDPR trebuie impuse si masurile de:
- a asigura conformitatea cu GDPR a operatiunilor de colectare si prelucrare ulterioara a datelor personale in scopul incheierii si executarii contractelor de imprumut, in special, sub aspectul verificarii datelor personale colectate, precum adresa de posta electronica, ce permit comunicarea la distanta a datelor personale, prin implementarea unor metode eficiente de validare a exactitatii datelor - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
- a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul incheierii si executarii contractelor de imprumut, in vederea respectarii secretului profesional si a confidentialitatii datelor personale ale clientilor sai, in special, in cazul transmiterii unor documente si mesaje ce contin date personale la distanta (de exemplu, prin posta electronica), prin implementarea unor masuri adecvate si eficiente de securitate, atat din punct de vedere tehnic (precum criptarea), cat si din punct de vedere organizatoric, prin instruirea persoanelor ce prelucreaza date sub autoritatea sa, in vederea identificarii si limitarii imediate a riscurilor ce pot afecta persoanele vizate - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
- a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul implementarii unei politici interne adecvate pentru identificarea riscurilor, analiza acestora si notificarea catre ANSPDCP in cazul producerii unei incalcari a securitatii, in conditiile prevazute de art. 33 alin. (1) din RGPD - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR).
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din GDPR, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din GDPR, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri
Intrebare: Este specificat in CIM, la obligatiile angajatorilor: "sa informeze salariatul cu privire la obligatia de a adera la un fond de pensii administrat privat, in conditiile legii". As dori un model de document cu toate detaliile obligatorii care trebuie sa existe privind aceasta informare. Sau am putea sa inseram un paragraf in Minuta de informare privind acest aspect? Daca da, va rog, sa imi spuneti exact ce informatii trebuie sa contina pt a fii conform legii.
vezi AICI raspunsul specialistilor << Intrebare: Avem situatia unui certificat medical emis pt un cod de diagnostic 585 din 01/05 in 04/05. Certificatul are bifa pe "In continuare", desi nu este relevant in acest context. Ulterior am primit un alt certificat medical pt perioada 05/05-19/05 cu acelasi cod de diagnostic 585, cu bifa pe "Initial". Acest certificat medical nu trebuie sa aiba bifa pe "In continuare" fiind emis imediat dupa primul si avand acelasi cod de diagnostic? Medicul i-a spus angajatei ca data de...
vezi AICI raspunsul specialistilor << Intrebare: In cazul unui salariat angajat ca sofer distributie marfa in tara va rog sa-mi comunicati daca locul de munca este mobil in contractul de munca? In aceasta situatie ar trebui trecut ca zona toata tara? In baza clauzei de mobilitate se acorda prestatii in natura nu in bani, respectiv telefon, card combusibil, este ok?
vezi AICI raspunsul specialistilor <<