IFN amendat GDPR dupa ce a ignorat un incident de securitate. Datele unui client au fost compromise

Autoritatea Nationala de Supraveghere anunta, intr-un comunicat, ca a finalizat in luna noiembrie a anului curent o investigatie la operatorul Hora Credit IFN SA in cadrul careia a constatat incalcarea prevederilor art. 32, art. 33 alin. (1), art. 15 alin. (1) si art. 12 alin. (3) si (4) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sanctionat cu amenzi in cuantum de 119.296,8 lei, echivalentul a 24.000 EURO, astfel:
- amenda in cuantum de 99.414 lei, echivalentul a 20.000 euro pentru incalcarea dispozitiilor art. 32 din Regulamentul (UE) 2016/679;
amenda in cuantum de 9.941,4 lei, echivalentul a 2.000 euro pentru incalcarea dispozitiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679;
- amenda in cuantum de 9.941,4 lei, echivalentul a 2.000 euro pentru incalcarea dispozitiilor art. 15 alin. (1) si art. 12 alin. (3) si (4) din Regulamentul (UE) 2016/679.

...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<

Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca operatorul Hora Credit IFN SA a transmis petentului pe adresa sa de e-mail documente ce contineau datele personale ale unei alte persoane, client al operatorului.

Desi petentul a sesizat respectiva eroare operatorului, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail a acestuia.

In urma investigatiei s-a constatat ca Hora Credit IFN SA nu a adoptat suficiente masuri de securitate a datelor personale, potrivit art. 32 din Regulamentul (UE) 2016/679, astfel incat sa previna dezvaluirea neautorizata si accesibila a datelor personale ale petentului catre terti.

De asemenea, s-a constatat ca operatorul nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 alin. (1) din Regulamentul (UE) 2016/679, in termen de 72 de ore de la data la care a luat cunostinta de acesta.

Totodata, Hora Credit IFN SA nu a prezentat dovezi cu privire la comunicarea unui raspuns catre petent la cererea sa prin care solicita informatii privind sursa de colectare a datelor sale personale, conform art. 15 alin. (1) din Regulamentul (UE) 2016/679 si in cadrul termenelor reglementate de art. 12 alin. (3) si (4) din acelasi Regulament.

In acelasi timp, operatorului i s-au aplicat si urmatoarele masuri corective:

- masura corectiva de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operatiunilor de prelucrare a datelor personale in scopul incheierii si executarii contractelor de imprumut, in vederea respectarii secretului profesional si a confidentialitatii datelor personale ale clientilor sai, in special, in cazul transmiterii unor documente si mesaje ce contin date personale la distanta, prin implementarea unor masuri adecvate si eficiente de securitate, atat din punct de vedere tehnic, inclusiv sub aspectul validarii certe a adreselor de e-mail colectate, al parolarii documentelor transmise, al stocarii si monitorizarii log-urilor din baza sa de date, cat si din punct de vedere organizatoric, prin instruirea persoanelor ce prelucreaza date sub autoritatea sa, in vederea identificarii si limitarii imediate a riscurilor ce pot afecta persoanele vizate, precum si in scopul unei gestionari corecte a cererilor si sesizarilor primate;

- masura corectiva de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operatiunilor de prelucrare a datelor personale, prin contactarea petentului pentru a-i solicita sa ia masuri de stergere, distrugere, dupa caz, a informatiilor personale la care a avut acces in urma primirii mesajelor si notificarilor ce il vizau pe clientul Hora Credit IFN SA;

- masura corectiva de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operatiunilor de prelucrare a datelor personale in scopul implementarii unei politici interne adecvate pentru identificarea riscurilor, analiza acestora si notificarea catre ANSPDCP in cazul producerii unei incalcari a securitatii, in conditiile prevazute de art. 33 alin. (1) din Regulamentul (UE) 2016/679, inclusiv sub aspectul unei instruiri corespunzatoare a persoanelor care prelucreaza date sub autoritatea sau in numele Hora Credit IFN SA (angajati, colaboratori, persoane imputernicite etc.);

- masura corectiva de a-l informa pe clientul sau cu privire la incalcarea securitatii datelor sale prin transmiterea acestora catre petent in mod eronat;

- masura corectiva de a comunica petentului un raspuns la cererea sa conform art. 15 alin. (1) din Regulamentul (UE) 2016/679.