Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul DADA CREATION S.R.L. și a constatat încălcarea dispozițiilor GDPR referitoare la obligația de implementa măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor și la obligația de a notifica autoritatea în legătură cu incidentul de securitate.
Investigația a fost demarată ca urmare a unei sesizări prin care s-a reclamat faptul că prin intermediul site-ului operatorului era disponibil un document privind înregistrările detaliate ale tranzacțiilor recepționate de acest site de la clienții săi (persoane fizice) conținând adrese de e-mail, numere de telefon, nume și prenume clienți (persoane adulte și minori), vârstă minori, adrese de livrare, număr comandă, suma totală a comenzii, produsele comandate și data efectuării comenzii.
Încălcarea securității datelor a constat în faptul că DADA CREATION S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea și accesul neautorizat la datele cu caracter personal ale unui număr de aproximativ 1091 persoane fizice, care efectuaseră comenzi pe site-ul operatorului.
De asemenea, operatorul a fost sancționat cu avertisment întrucât nu a notificat Autorității de supraveghere incidentul de securitate (ce i-a fost adus la cunoștință de instituția noastră), potrivit art. 33 din Regulamentul General privind Protecția Datelor.
Totodată, operatorului i s-a aplicat și măsura corectivă de revizuire şi actualizare a măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, astfel încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu caracter personal prelucrate.
foto:unsplash.com