Datele unor clienți Rompetrol, în pericol: Erau accesate intern și folosite pentru obținerea de credite
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis un comunicat, precizând că datele personale ale unor clienți din programul informatic al unei companii au fost accesate intern și folosite pentru obținerea de credite de la instituții financiare nebancare, în numele acestora.
În conformitate cu regulamentul GDPR, ANSPDCP a finalizat o investigație în octombrie 2023, la adresa Rompetrol Downstream SRL. Inițial, investigația a fost demarată ca urmare a multiplelor notificări de încălcare a securității datelor cu caracter personal transmise de operator, în perioada 20.07.2021 – 3.02.2022.
„În cadrul investigației a rezultat că s-a accesat de la nivel intern și s-au utilizat în mod neautorizat, în repetate rânduri, datele unor clienți din programul informatic deținut de companie și s-au divulgat în mod ilegal, datele personale ale unor clienți în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora.
Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria și numărul cărții de identitate, codul numeric personal, adresa, locul nașterii, poza) și date din adeverința de salariu (precum: numele și prenumele angajatului, data, semnătura, veniturile realizate, vechimea în muncă)”, arată Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Autoritatea a constatat că Rompetrol Downstream SRL nu a implementat măsuri adecvate pentru a se asigura că personalul care operează sub autoritatea sa și are acces la datele cu caracter personal le utilizează doar la cererea autorității și nu a luat măsuri corespunzătoare din punct de vedere tehnic și organizatoric pentru a garanta o securitate adecvată a datelor în contextul riscurilor asociate prelucrării acestora.
Ca urmare, operatorul a fost sancționat cu o amendă contravențională în valoare de 546.073 lei (aproximativ 110.000 de euro).
Tudor Galoș, expert în GDPR, a comentat pe Facebook că în acest caz a fost aplicat principiul responsabilității prevăzut în GDPR, conform căruia angajatorul este responsabil pentru abaterile angajatului și că Rompetrol ar putea solicita recuperarea sumei de 110.000 de euro în instanță de la persoanele vinovate.
Rompetrol Downstream SRL a raportat în anul 2022 o cifră de afaceri de 3,2 miliarde de euro și un profit de 38 de milioane de euro, având 438 de angajați. Compania face parte din Grupul KMG International, controlat de statul kazah.
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News