Autoritatea Națională de Supraveghere a finalizat în luna noiembrie a anului curent o investigație la operatorul Hora Credit IFN SA în cadrul căreia a constatat încălcarea prevederilor art. 32, art. 33 alin. (1), art. 15 alin. (1) și art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat cu amenzi în cuantum de 119.296,8 lei, echivalentul a 24.000 EURO, astfel:
- amendă în cuantum de 99.414 lei, echivalentul a 20.000 euro pentru încălcarea dispozițiilor art. 32 din Regulamentul (UE) 2016/679;
- amendă în cuantum de 9.941,4 lei, echivalentul a 2.000 euro pentru încălcarea dispozițiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679;
- amendă în cuantum de 9.941,4 lei, echivalentul a 2.000 euro pentru încălcarea dispozițiilor art. 15 alin. (1) și art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că operatorul Hora Credit IFN SA a transmis petentului pe adresa sa de e-mail documente ce conțineau datele personale ale unei alte persoane, client al operatorului.
Deși petentul a sesizat respectiva eroare operatorului, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail a acestuia.
În urma investigației s-a constatat că Hora Credit IFN SA nu a adoptat suficiente măsuri de securitate a datelor personale, potrivit art. 32 din Regulamentul (UE) 2016/679, astfel încât să prevină dezvăluirea neautorizată și accesibilă a datelor personale ale petentului către terți.
De asemenea, s-a constatat că operatorul nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 alin. (1) din Regulamentul (UE) 2016/679, în termen de 72 de ore de la data la care a luat cunoștință de acesta.
Totodată, Hora Credit IFN SA nu a prezentat dovezi cu privire la comunicarea unui răspuns către petent la cererea sa prin care solicita informații privind sursa de colectare a datelor sale personale, conform art. 15 alin. (1) din Regulamentul (UE) 2016/679 și în cadrul termenelor reglementate de art. 12 alin. (3) și (4) din același Regulament.
În același timp, operatorului i s-au aplicat și următoarele măsuri corective:
- măsura corectivă de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță, prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic, inclusiv sub aspectul validării certe a adreselor de e-mail colectate, al parolării documentelor transmise, al stocării și monitorizării log-urilor din baza sa de date, cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate, precum și în scopul unei gestionări corecte a cererilor și sesizărilor primate;
- măsura corectivă de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin contactarea petentului pentru a-i solicita să ia măsuri de ștergere, distrugere, după caz, a informațiilor personale la care a avut acces în urma primirii mesajelor și notificărilor ce îl vizau pe clientul Hora Credit IFN SA;
- măsura corectivă de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din Regulamentul (UE) 2016/679, inclusiv sub aspectul unei instruiri corespunzătoare a persoanelor care prelucrează date sub autoritatea sau în numele Hora Credit IFN SA (angajați, colaboratori, persoane împuternicite etc.);
- măsura corectivă de a-l informa pe clientul său cu privire la încălcarea securității datelor sale prin transmiterea acestora către petent în mod eronat;
- măsura corectivă de a comunica petentului un răspuns la cererea sa conform art. 15 alin. (1) din Regulamentul (UE) 2016/679.
Sursa : https://www.dataprotection.ro/