Autoritatea Națională de Supraveghere anunță că în cursul lunii noiembrie 2022 a finalizat o investigație la operatorul OTP LEASING ROMANIA IFN SA. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal în temeiul art. 33 din Regulamentul General privind Protecția Datelor.
În notificarea transmisă operatorul OTP LEASING ROMANIA IFN SA a susținut că a fost informat de către o persoană fizică că aceasta a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator. Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.
În cadrul investigației s-a constatat că unii dintre clienții operatorului, persoane juridice, și-au înrolat în platformă, ca date de contact, adrese de email care conțineau nume, prenume, adresă de email și număr de telefon ale reprezentanților (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate în mod neautorizat pe platformă (MyLeasing).
Accesul neautorizat în sistemul MyLeasing a fost determinat de lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING. Astfel, s-a încălcat confidențialitatea datelor cu caracter personal prelucrate prin intermediul platformei MyLeasing pentru persoanele fizice vizate, înregistrate ca persoane de contact pentru persoanele juridice din platformă.
Operatorul OTP LEASING nu a informat persoanele vizate cu privire la producerea incidentului de securitate a datelor cu caracter personal, deși datele divulgate în mod neautorizat pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.
Ca atare, Autoritatea Națională de Supraveghere a constatat încălcarea prevederilor GDPR de către OTP LEASING ROMANIA IFN SA, deoarece acest operator nu a pus în aplicare măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine.
Totodată, operatorul nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD și a proteja drepturile persoanelor vizate.
De asemenea, s-a stabilit că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare.
Operatorul a fost sancționat contravențional cu amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).
foto:austin-distel/unsplash.com
