Un hotel din România a primit amendă pentru încălcarea GDPR. Datele personale ale clienţilor au ajuns pe internet

După UniCredit Bank care a avut săptămâna trecută „onoarea” să fie prima companie din România amendată pentru încălcarea RGDP/GDPR (Regulamentul General privind Protecţia Datelor), avem săptămâna aceasta o nouă companie care primeşte amendă. De data aceasta nu vorbim despre o bancă, ci despre un hotel, World Trade Center Bucharest, care a lăsat datele personale ale utilizatorilor în public, imprimate pe o foaie de hârtie.

Conform ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal), World Trade Center Bucharest SA a primit o sancţiune de 71.028 lei, echivalentul a 15.000 de euro, pentru că a lăsat lista pentru verificarea clienţilor care serveau micul dejun accesibilă publicului. Datele personale a 46 de clienţi au putut fi accesate de către persoane neautorizate. Acest lucru ieşind la iveală după ce fotografii ale listei au fost publicate online de către cei care au putut vedea şi fotografia respectiva listă.

„Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancţionat deoarece nu a luat măsuri pentru a se asigura că angajaţii săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienţi ai WORLD TRADE CENTER BUCHAREST S.A şi divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viaţă privată şi la protecţia datelor cu caracter personal, garantate de art. 7 şi art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene şi de art. 16 din Tratatul privind Funcţionarea Uniunii Europene.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilităţii operatorului, potrivit căruia: ”Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.””, anunţă ANSPDCP.

Cel mai probabil, vom afla despre mai multe astfel de amenzi în viitorul apropiat, ANSPDCP răspunzând la plângeri cu investigaţii care stabilesc dacă datele cu caracter personal ale clienţilor companiilor sunt protejate şi prelucrate corespunzător regulamentului GDPR.