Rompetrol, amenda GDPR de 110.000 de euro, dupa ce datele unor clienti au fost folosite pentru obtinerea de credite de la IFN-uri

Compania Rompetrol a fost amendata cu 110.000 de euro (546.073 lei), de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), dupa ce datele unor clienti au fost folosite pentru obtinerea unor credite de la societati financiare nebancare, in numele acestora.

Autoritatea Nationala de Supraveghere a anuntat, intr-un comunicat, ca a finalizat, in luna octombrie 2023, o investigatie la operatorul Rompetrol Downstream SRL si a constatat incalcarea dispozitiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) si art. 32 alin. (2) din Regulamentul (UE) 2016/679.

...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<

Ca atare, operatorul a fost sanctionat contraventional cu amenda in cuantum de 546.073,00 lei (echivalentul a 110 000 de EURO).

Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal, in perioada 20.07.2021 – 3.02.2022, conform art. 33 din Regulamentul (UE) 2016/679.

In cadrul investigatiei a rezultat ca s-a accesat de la nivel intern si s-au utilizat in mod neautorizat, in repetate randuri, datele unor clienti din programul informatic detinut de companie si s-au divulgat in mod ilegal, datele personale ale unor clienti in scopul obtinerii unor credite de la societati financiare nebancare in numele acestora.

Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria si numarul cartii de identitate, codul numeric personal, adresa, locul nasterii, poza)  si date din adeverinta de salariu (precum: numele si prenumele angajatului, data, semnatura, veniturile realizate, vechimea in munca).

Autoritatea Nationala de Supraveghere a constatat ca Rompetrol Downstream SRL nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea operatorului si are acces la datele cu caracter personal nu le prelucreaza decat la cererea sa si nici nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii.

Intr-o reactie la anuntul Autoritatii pentru Protectia datelor, compania Rompetrol a transmis ca „în acest caz vorbim de un incident particular și izolat și care face în prezent obiectul unei anchete penale deschise în baza plângerii din partea companiei (aprilie 2022) împotriva unuia dintre fostii angajati". Totodata, Rompetrol mentioneaza ca circumstantele cazului sunt impotriva tuturor instructiunilor primite de angajatul respectiv din partea companiei si ca este pregatita "sa foloseasca toate procedurile legale pentru a-si pastra reputatia".