28.05.2024
O nouă sancțiune pentru nerespectarea GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna aprilie 2024, o investigație la operatorul S.C. Rompetrol Downstream S.R.L. și a constatat încălcarea prevederilor încălcarea art. 29, art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679 (GDPR).
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 9.935,60 lei, echivalentul a 2.000 EURO.
Investigația a fost demarată ca urmare a faptului că operatorul a transmis Autorității naționale de supraveghere două notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal, referitoare la prelucrarea prin intermediul aplicației de mesagerie WhatsApp și ulterior dezvăluirea neautorizată pe două rețele de socializare a datelor unor clienţi (imagini cu persoanele vizate, numărul de înmatriculare, respectiv marca autoturismelor acestora) înregistrate de sistemele de supraveghere video din două stații de carburant ale Rompetrol Downstream SRL.
În cadrul investigației, s-a constatat că operatorul S.C. Rompetrol Downstream S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, ceea ce a condus la compromiterea confidențialității datelor cu caracter personal ale propriilor clienți, prin divulgarea neautorizată pe reţele de socializare. Operatorul avea obligația de a lua măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa ori a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, astfel încât să se asigure protejarea continuă a datelor împotriva prelucrării neautorizate, având în vedere că Rompetrol Downstream SRL este responsabil de respectarea integrității și confidențialității datelor, conform art. 5 alin. (1) lit. f) și alin. (2) din Regulamentul (UE) 2016/679.
Totodată, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus următoarea măsură corectivă împotriva Rompetrol Downstream SRL:
- să implementeze mecanisme/soluții de verificare/monitorizare a instrucțiunilor/procedurilor de lucru/politicilor de protecție a datelor cu caracter personal, pe parcursul derulării relațiilor contractuale cu persoanele împuternicite de operator, pentru asigurarea conformității cu GDPR, în vederea evitării unor incidente similare.
Direcția juridică și comunicare
A.N.S.P.D.C.P.