ANSPDCP anunta ca Hora Credit IFN a primit o amenda pe GDPR de 14.000 de euro. Firma a incalcat mai multe prevederi ale Regulamentului.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal arata cum IFN-ul Hora Credit a primit o amenda de 14.000 de euro in total. Sanctiunea este cuprinsa din 6 parti: 3 contraventionale si 3 corective.
Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.
Conform ANSPDCP, Hora Credit IFN a primit amenda de:
- 1000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din GDPR;
- 3000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR (raportat la art. 33 alin. (1) din GDPR);
- 10.000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei Autoritatii s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din GDPR.
In plus, au fost aplicate si masuri corective. Astfel, ANSPDCP a stabilit ca pentru respectarea GDPR trebuie impuse si masurile de:
- a asigura conformitatea cu GDPR a operatiunilor de colectare si prelucrare ulterioara a datelor personale in scopul incheierii si executarii contractelor de imprumut, in special, sub aspectul verificarii datelor personale colectate, precum adresa de posta electronica, ce permit comunicarea la distanta a datelor personale, prin implementarea unor metode eficiente de validare a exactitatii datelor - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
- a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul incheierii si executarii contractelor de imprumut, in vederea respectarii secretului profesional si a confidentialitatii datelor personale ale clientilor sai, in special, in cazul transmiterii unor documente si mesaje ce contin date personale la distanta (de exemplu, prin posta electronica), prin implementarea unor masuri adecvate si eficiente de securitate, atat din punct de vedere tehnic (precum criptarea), cat si din punct de vedere organizatoric, prin instruirea persoanelor ce prelucreaza date sub autoritatea sa, in vederea identificarii si limitarii imediate a riscurilor ce pot afecta persoanele vizate - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
- a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul implementarii unei politici interne adecvate pentru identificarea riscurilor, analiza acestora si notificarea catre ANSPDCP in cazul producerii unei incalcari a securitatii, in conditiile prevazute de art. 33 alin. (1) din RGPD - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR).
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din GDPR, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din GDPR, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri
Intrebare: Societate cu profil IT doreste sa angajeze student cu contract de internship. Cate ore poate lucra maxim fiind student care nu poate veni zilnic fiind examene si cursuri. Forma de contract este CIM ? sau nu? Care este salariul brut minim si ce impozite suporta firma. Care este perioada maxima de contract.
vezi AICI raspunsul specialistilor << Intrebare: In cazul salariatilor detasati transnational, cheltuielile generate de detasare sunt dispuse astfel: 1. Transportul - este achitat direct de angajator prin achizitia biletelor de calatorie prin plata directa din contul angajatorului; 2. Cazarea - este asigurata prin inchirierea directa de catre angajator a unor locuinte, si plata directa din contul angajatorului a costului cu chiria; 3. Masa - este asigurata de beneficiarul serviciilor prin acordarea la cantina acestuia. In acest caz, cum...
vezi AICI raspunsul specialistilor << Intrebare: O firma de IT din Romania doreste sa trimita doi salariati pentru cate 3 zile, o data la 3 luni, unul in UK si unul in Germania pentru o intalnire de afaceri cu colegi dintr-o intreprindere care apartine grupului de intreprinderi la nivel global. Salariatii nu vor desfasura activitate pentru compania in care se deplaseaza, nu va exista un raport de munca intre salariati si compania in care se deplaseaza, iar rezultatele si informatiile acumulate in urma intalnirii vor fi aplicate ulterior pentru...
vezi AICI raspunsul specialistilor <<