Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în septembrie 2024 o investigație la Profi Rom Food Srl, constatând mai multe încălcări ale Regulamentului GDPR (UE) 2016/679.
În urma investigației efectuate compania a fost amendată cu 49.744 lei (aproximativ 10.000 euro) pentru transmiterea neautorizată a copiilor cărților de identitate ale angajaților către o firmă colaboratoare, fără temei legal. Acest incident a condus la accesul neautorizat la datele cu caracter personal: nume, prenume, cod numeric personal, serie și număr carte de identitate, adresă domiciliu, sex, cetățenie, loc naștere și poză conținute de cărțile de identitate ale persoanelor.
În plus, un angajat al Profi Rom Food Srl a capturat și distribuit prin aplicația WhatsApp înregistrări video neautorizate, ceea ce a condus la divulgarea nejustificată a imaginii unor persoane.
Ca urmare a sesizării și transmiterii de către Profi Rom Food Srl în termenul legal a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679, s-a aplicat un avertisment pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și anume ”capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistenta continue ale sistemelor si serviciilor de prelucrare”, respectiv încălcarea art. 32 alin. (2) care prevede că ”la evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod”. Totodata s-a constatat încălcarea alin. (4) din Regulament care prevede că ”operatorul şi persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului intern”.
Autoritățile au dispus măsuri corective, solicitând implementarea unor proceduri stricte precum:
- de a se prelucra datele cu caracter personal la nivelul operatorului, în cazul persoanelor care sunt desemnate să participe la cursuri de formare profesională, cu respectarea regulilor și principiilor prevăzute la art. 5 și 6 din Regulamentul (UE) 2016/679;
- de a implementa măsuri tehnice și organizatorice adecvate și eficiente care să limiteze accesul la imagini și înregistrări video numai la persoane abilitate sau desemnate în acest sens prin decizia operatorului și numai în situația unor incidente care au legătură cu scopul instalării acestor camere de supraveghere video, raportat la scopul prelucrării, cu respectarea legislației în vigoare și a Regulamentului (UE) 2016/679;
- de a instrui regulat persoanele care prelucrează date cu caracter personal sub autoritatea Profi Rom Food Srl.
Aceste măsuri sunt menite să prevină incidente similare pe viitor și să asigure respectarea deplină a legislației GDPR.
IC Consulting