A doua amendă pe GDPR în România pică pe umerii unui hotel.

world trade center amenda gdpr

Securitatea datelor cu caracter personal nu se referă doar la procedurile electronice, ci și la cele fizice.

În data de 02.07.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul WORLD TRADE CENTER BUCHAREST S.A. și a constatat că acesta a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Vezi și ghidul nostru cu ce trebuie să facă un hotel pentru a se linia procedurilor GDPR.

Hotelul a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Ce s-a întâmplat?

O listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la hotelul World Trade Center, a fost lăsată nesupravegheată și fotografiată de persoane neautorizate din afara societății.

Ulterior, numele unor persoane regăsite pe acea listă au fost publicate în mediul online, fără a avea acceptul respectivelor persoane vizate (pe surse).

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

Autoritatea a constatat că operatorul hotelier nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Prin urmare, a existat o divulgarea neautorizată a datelor personale a 46 clienți ai hotelului, informații care au ajuns în mediul online și astfel a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene.

Ți-e teamă de o amendă? Citește mai multe despre breșele de securitate și începe procedurile pentru evitarea lor cu pachetul nostru, disponibil aici.

Cum a aflat ANSPDCP de încălcare?

Descărcă gratuit mai jos ghidul complet despre cum se desfășoară investigațiile conduse de ASNPDCP în România.

ANSPDCP a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.

Totodată, considerentul (75) din GDPR precizează:

Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; (…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.

Vrei să devii conform GDPR și nu știi de unde să o apuci? Vezi oferta noastră completă de documente și servicii. Create de specialiști certificați și implementate de peste 200 companii.

Total
3
Shares