UPDATE. Banca ING România, compania de stat Tarom și o mică firmă care are un restaurant de nunți și botezuri sunt cele mai recente trei companii amendate în România în baza Regulamentului european de protecție a datelor personale (GDPR), cu diferite sume de bani. Răspunsul ING Bank în articol, mai jos.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat joi că a amendat contravențional ING Bank N.V. Amsterdam – Sucursala București cu 80.000 de euro.

În urma unei investigații finalizate în data de 4 noiembrie 2019, ca urmare a unei sesizări, Autoritatea statului spune că a constatat că banca ar fi încălcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din Regulamentul european GDPR.

„În acest sens, operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD”, spune ANSPDCP.

Art 25 alin. (1) din RGPD prevede următoarele:

”Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate”.

De asemenea, art. 5 alin. (1) lit. f) din regulamentul UE stabilește unul dintre principiile de prelucrare a datelor și anume faptul că datele trebuie ”prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").

Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

UPDATE: Banca ING a precizat, pentru StartupCafe.ro, că a stornat imediat clienților respectivi tranzacțiile dublate:

Confirmam luarea la cunostinta a demersului de sanctionare a ING Bank Romania de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in contextul incidentului operational din luna octombrie 2018, cand o parte din tranzactiile cu cardurile emise ING au fost dublate. Urmare a acestui incident, clientii afectati au fost informati imediat, tranzactiile dublate au fost stornate in cursul aceleiasi zile, fiind totodata revizuite și actualizate unele reguli operaționale interne, în sensul întăririi acestora. Incidentul operațional nu a condus la o afectare a datelor cu caracter personal.

Amenda la Tarom

Și Tarom a fost amendat, cu 20.000 de euro, pentru că un angajat al companiei naționale de transport aerian ar fi accesat neautorizat aplicația de rezervări și ar fi fotografiat o listă conținând datele cu caracter personal a 22 pasageri/clienți TAROM și a divulgat neautorizat în mediul on-line această listă - a anunțat vineri Autoritatea de Supraveghere.

În urma unei investigații finalizate în data de 7 noiembrie 2019, Autoritatea Națională de Supraveghere a constatat că SC CNTAR TAROM SA a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor.

Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către SC CNTAR TAROM SA din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal.

ANSPDCP spune că a aplicat sancțiunea operatorului de transport ca urmare a faptului că Tarom nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

„Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste”, precizează ANSPDCP.

Autoritatea de suptraveghere nu precizează exact despre ce pasageri este vorba în cazul rezervprilor de la Tarom. Tudor Galoș, specialist GDPR și data protection officer (DPO), se dyce cu gândul la un scandal public din luna octombrie, în care ministrul de atunci al Transporturilor, Razvan Cuc, a fost acuzat de fosta șefă a Tarom că i-a cerut Mădălina Mezei, să rețină la sol o serie de avioane care ar fi urmat să-i transporte pe parlamentari la București pentru a vota moțiunea de cenzură.

„Ceva îmi spune că vorbim aici de faptul că directorul general Tarom a accesat lista pasagerilor la cererea fostului ministru Cuc”, a scris Galoș pe Facebook.

Salon de nunți, amedat pe GDPR

În fine, o a treia amendă GDPR, de circa 2.500 de euro, a fost dată unui salon pentru nunți și botezuri, cu opțiuni de cazare, din Bragadiru, Ilfov.

Firma Royal President S.R.L. a fost sancționată cu avertisment pentru încălcarea prevederilor art. 15 și art. 12 alin. (3) și (4) din Regulamentul (UE) 679/2016 și cu amendă în cuantum de 11.932,25 lei pentru încălcarea art. 5 alin. (1) lit. f) și art. 32 alin. (1) lit b) din Regulamentul (UE) 679/2016.

Autoritatea de Supraveghere spune că sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Royal President S.R.L. a refuzat soluționarea unei cereri de exercitare a dreptului de acces prevăzut de art. 15 din Regulamentul General privind Protecția Datelor, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei vizate.

În cadrul investigației, operatorul Royal President S.R.L. nu a putut face dovada soluționării cererii de exercitare a dreptului de acces în termenul prevăzut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.

De asemenea, s-a constatat că datele cu caracter personal colectate prin intermediul fișei de cazare nu au fost prelucrate într-un mod care să asigure securitatea lor, prin luarea de măsuri tehnice sau organizatorice corepunzătoare, pentru a se putea evita orice dezvăluire neautorizată încălcându-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679,

Totodată, operatorului i s-a aplicat și o măsură corectivă care a constat în întocmirea și implementarea unei proceduri interne privind protecția datelor cu caracter personal ale beneficiarilor serviciilor de cazare, prin raportare la prevederile art. 32 din Regulamentul (UE) 2016/679.