Amenda GDPR de 14.000 de euro pentru Hora Credit IFN

ANSPDCP anunta ca Hora Credit IFN a primit o amenda pe GDPR de 14.000 de euro. Firma a incalcat mai multe prevederi ale Regulamentului. 

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal arata cum IFN-ul Hora Credit a primit o amenda de 14.000 de euro in total. Sanctiunea este cuprinsa din 6 parti: 3 contraventionale si 3 corective.

Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.

Conform ANSPDCP, Hora Credit IFN a primit amenda de:

• 1000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din GDPR;
• 3000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR (raportat la art. 33 alin. (1) din GDPR);
• 10.000 de euro pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din GDPR.

Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.

In urma investigatiei Autoritatii s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din GDPR.

Proceduri si Politici GDPR obligatorii pentru Managerii HR - Ghid pentru Resurse Umane - Top 9 Modele editabile

Vezi AICI detalii

RS PortalProtectiaDatelor ro - Abonament 3 luni

Vezi AICI detalii

Ghid GDPR pentru activitatile de marketing

Vezi AICI detalii

In plus, au fost aplicate si masuri corective. Astfel, ANSPDCP a stabilit ca pentru respectarea GDPR trebuie impuse si masurile de:

• a asigura conformitatea cu GDPR a operatiunilor de colectare si prelucrare ulterioara a datelor personale in scopul incheierii si executarii contractelor de imprumut, in special, sub aspectul verificarii datelor personale colectate, precum adresa de posta electronica, ce permit comunicarea la distanta a datelor personale, prin implementarea unor metode eficiente de validare a exactitatii datelor - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
• a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul incheierii si executarii contractelor de imprumut, in vederea respectarii secretului profesional si a confidentialitatii datelor personale ale clientilor sai, in special, in cazul transmiterii unor documente si mesaje ce contin date personale la distanta (de exemplu, prin posta electronica), prin implementarea unor masuri adecvate si eficiente de securitate, atat din punct de vedere tehnic (precum criptarea), cat si din punct de vedere organizatoric, prin instruirea persoanelor ce prelucreaza date sub autoritatea sa, in vederea identificarii si limitarii imediate a riscurilor ce pot afecta persoanele vizate - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR);
• a asigura conformitatea cu GDPR a operatiunilor de prelucrare a datelor personale in scopul implementarii unei politici interne adecvate pentru identificarea riscurilor, analiza acestora si notificarea catre ANSPDCP in cazul producerii unei incalcari a securitatii, in conditiile prevazute de art. 33 alin. (1) din RGPD - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din GDPR).

De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din GDPR, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.

Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din GDPR, in termen de 72 de ore de la data la care a luat cunostinta de acesta.