07.11.2022
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în luna octombrie 2022 o investigație la Compania Națională Poșta Română SA și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.
Ca atare, Compania Națională Poșta Română SA a fost sancționată contravențional cu amendă în cuantum de 9.883,80 lei (echivalentul a 2000 EURO).
Investigația a fost demarată ca urmare a faptului că un operator de date a notificat Autorității Naționale de Supraveghere încălcarea securității datelor de către Compania Națională Poșta Română SA, în calitate de persoană împuternicită.
În cadrul investigației efectuate, a rezultat că împuternicitul Compania Națională Poșta Română SA a pierdut anumite trimiteri poștale care conțineau decizii de stabilire a drepturilor de pensie, carnete de muncă și certificate de deces, fiind afectate 35 de persoane fizice (destinatari).
De asemenea, s-a constatat că această companie nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de confidențialitate și securitate a datelor personale ale persoanelor vizate, ceea ce a condus la pierderea, divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal.
În același timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor s-a dispus față de Compania Națională Poșta Română SA și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate atât pe stațiile de lucru (PC), cât și pentru prestarea serviciilor poștale în format fizic (primirea ori livrarea trimiterilor poștale), precum și asigurarea unei protecții fizice a spațiilor de lucru unde sunt prelucrate trimiterile poștale și a măsurilor privind instruirea persoanelor care acționează sub autoritatea companiei.
În acest context, precizăm că, potrivit dispozițiilor art. 4 pct. 8 din Regulamentul General privind Protecția Datelor persoană împuternicită de operator este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Totodată, precizăm că, art. 32 alin. (1) și (2) din Regulamentul General privind Protecția Datelor menționează:
”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”
În acest context, subliniem faptul că obligațiile de a asigura măsurile de confidențialitate și securitate a prelucrării datelor revin atât operatorului, cât și persoanei împuternicite de acesta.
Direcția juridică și comunicare
A.N.S.P.D.C.P.