În cadrul unei investigații realizate de Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal, investigație efectuată pe baza unei plângeri, s-a constatat faptul că operatorul OTP BANK ROMANIA SA nu a adoptat suficiente măsuri de securitate conform art. 32 din Regulamentul GDPR, fapt care a condus la producerea incidentului de securitate, prin transmiterea pe e-mail a datelor personale ale petentei către o altă persoană.
Totodată, s-a constatat că operatorul nu a notificat la Autorității incidentul de securitate ce a afectat datele personale petentei, încălcând astfel art. 33 din Regulament.
Ca atare, operatorul a fost sancționat contravențional:
- cu amendă în cuantum de 14.889,3 lei (echivalentul a 3.000 EURO), pentru încălcarea art. 32 din Regulamentul (UE) 2016/679;
- cu avertisment pentru încălcarea art. 33 din Regulamentul (UE) 2016/679.
Autoritatea a aplicat și măsuri corective, dispunând operatorului următoarele:
- să asigure conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, în special sub aspectul verificării exactității datelor personale prelucrate, al stabilirii unor reguli adecvate legate de redactarea și gestionarea fișierelor ce pot fi transmise prin folosirea mijloacelor de comunicare electronică (la distanță), al instruirii persoanelor care prelucrează date sub autoritatea sa, al verificării regulate a respectării instrucțiunilor transmise acestora, al automatizării anumitor procese prin care să fie reduse riscurile de prelucrare ilegală sau neautorizată a datelor personale;
- să asigure conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin adoptarea unor măsuri interne necesare pentru detectarea rapidă, gestionarea și raportarea unor situații de încălcare a securității datelor personale, (indiferent că ar necesita sau nu notificarea autorității de supraveghere și/sau a persoanelor vizate) precum și prin instruirea corespunzătoare și regulată a persoanelor care prelucrează date sub autoritatea operatorului.
(ANSPDCP: Comunicat de presă din 3 noiembrie 2023)
foto:stephen-phillips-hostreviews/unsplash.com
