Autoritatea Națională de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) a finalizat în cursul lunii noiembrie 2022 o investigație la operatorul OTP LEASING ROMANIA IFN SA, în cadrul căreia a constatat încălcarea dispozițiilor art. 25 alin. (1), art. 32 alin. (1) lit. b) și d) și precum și art. 32 alin. (2) din Regulamentul General privind Protecția Datelor, conform unui comunicat de presa, in care se adauga:
Operatorul a fost sancționat contravențional cu amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal în temeiul art.33 din Regulamentul General privind Protecția Datelor.
În notificarea transmisă operatorul OTP LEASING ROMANIA IFN SA a susținut că a fost informat de către o persoană fizică că aceasta a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator.
Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.
În cadrul investigației s-a constatat că unii dintre clienții operatorului, persoane juridice, și-au înrolat în platformă, ca date de contact, adrese de email care conțineau nume, prenume, adresă de email și număr de telefon ale reprezentanților (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate în mod neautorizat pe platformă (MyLeasing).
Accesul neautorizat în sistemul MyLeasing a fost determinat de lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING.
Astfel, s-a încălcat confidențialitatea datelor cu caracter personal prelucrate prin intermediul platformei MyLeasing pentru persoanele fizice vizate, înregistrate ca persoane de contact pentru persoanele juridice din platformă.
Operatorul OTP LEASING nu a informat persoanele vizate cu privire la producerea incidentului de securitate a datelor cu caracter personal, deși datele divulgate în mod neautorizat pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.
Ca atare, Autoritatea Națională de Supraveghere a constatat încălcarea prevederilor art. 25 alin. (1) din RGPD, art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din RGPD de către OTP LEASING ROMANIA IFN SA, deoarece acest operator nu a pus în aplicare măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine.
Totodată, operatorul nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD și a proteja drepturile persoanelor vizate.
De asemenea, s-a stabilit că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare.
În acest context, precizăm că potrivit Considerentului 78 din RGPD ”protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.”
Totodată, Considerentul 83 din RGPD menționează: ”În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şi să implementeze măsuri pentru atenuarea acestor riscuri (…). Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea. (…)La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor (…) care pot duce în special la prejudicii fizice, materiale sau morale.”