Rompetrol, amenda GDPR de 110.000 de euro - datele unor clienti, folosite pentru obtinerea de credite de la IFN-uri

Compania Rompetrol a fost amendata cu 110.000 de euro (546.073 lei), de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), dupa ce datele unor clienti au fost folosite pentru obtinerea unor credite de la societati financiare nebancare, in numele acestora.

Autoritatea Nationala de Supraveghere a anuntat, intr-un comunicat, ca a finalizat, in luna octombrie 2023, o investigatie la operatorul Rompetrol Downstream SRL si a constatat incalcarea dispozitiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) si art. 32 alin. (2) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sanctionat contraventional cu amenda in cuantum de 546.073,00 lei (echivalentul a 110.000 de EURO).

Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal, in perioada 20.07.2021 3.02.2022, conform art. 33 din Regulamentul (UE) 2016/679.

In cadrul investigatiei a rezultat ca s-a accesat de la nivel intern si s-au utilizat in mod neautorizat, in repetate randuri, datele unor clienti din programul informatic detinut de companie si s-au divulgat in mod ilegal, datele personale ale unor clienti in scopul obtinerii unor credite de la societati financiare nebancare in numele acestora.

Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria si numarul cartii de identitate, codul numeric personal, adresa, locul nasterii, poza) si date din adeverinta de salariu (precum: numele si prenumele angajatului, data, semnatura, veniturile realizate, vechimea in munca).

Autoritatea Nationala de Supraveghere a constatat ca Rompetrol Downstream SRL nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea operatorului si are acces la datele cu caracter personal nu le prelucreaza decat la cererea sa si nici nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii.

Intr-o reactie la anuntul Autoritatii pentru Protectia datelor, compania Rompetrol a transmis ca in acest caz vorbim de un incident particular si izolat si care face in prezent obiectul unei anchete penale deschise in baza plangerii din partea companiei (aprilie 2022) impotriva unuia dintre fostii angajati". Totodata, Rompetrol mentioneaza ca circumstantele cazului sunt impotriva tuturor instructiunilor primite de angajatul respectiv din partea companiei si ca este pregatita "sa foloseasca toate procedurile legale pentru a-si pastra reputatia".