O noua amenda GDPR....Kaufland Romania

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în 2024 o investigatie la operatorul Kaufland Romania SCS ca urmare a unor notificari de incalcare a securitatii datelor,in temeiul dispozitiilor srt.33 din Regulamentul (UE) 2016/679, care au fost transmise de catre Kaufland Romania SCS

Ca atare, s-a constatat că operatorul Kaufland România SCS a încălcat dispozițiile art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679 și a fost sancționat cu 3 amenzi în cuantum total de 34.839 lei (echivalentul sumei de 7000  EURO).

În cadrul investigației efectuate la operatorul Kaufland România SCS, în urma transmiterii mai multor notificări de încălcare a securității datelor cu caracter personal, s-a constatat încălcarea prelucrării datelor pentru următoarele situații:

          Astfel, o primă situație a vizat înregistrarea cu telefonul mobil de către agenții de pază ai operatorului a unor imagini surprinse de camerele de supraveghere ale magazinului cu privire la un incident petrecut în incintă. Aceasta situație a condus, la accesarea neautorizată și divulgarea acestor imagini către una dintre persoanele vizate, la cererea ei.

În cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, încălcând astfel prevederile art. 32 alin. (1) lit. b) și alin. (4) din Regulamentul (UE) 2016/679.

Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 9.954 lei (echivalentul sumei de 2000 EURO).

O a două situațe privește fotografierea, cu telefonul mobil, ale unor imagini din camera de monitorizare a operatorului. Astfel, o clientă a sesizat agentului de pază al operatorului sustragerea telefonului din geantă și a solicitat imaginile video ale incidentului. Agentul de pază i-a permis clientei accesul în camera de monitorizare. Aceasta a fotografiat imaginile cu presupusa persoană (persoana vizată) și ulterior le-a postat pe contul său de Facebook. Situația creată a condus la accesul neautorizat al unui terț și divulgarea neautorizată în mediul on-line a imaginii unui client.  Acest fapt poate duce, în special, la prejudicii fizice, materiale sau morale aduse persoanei fizice afectate, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.

În cadrul investigației, s-a constatat că operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea și integritatea sistemelor și serviciilor de prelucrare, încălcând astfel dispozițiile art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679.

Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 14.931 lei (echivalentul sumei de 3000 EURO).

A treia situație se referă la pierderea confidențialității datelor, întrucât o angajată Kaufland implicate în procesul de recrutare al unui candidat (persoana vizată) a transmis, din eroare, un e-mail către o altă persoană, deținătoare a unui domeniu de internet. Această situație a condus la accesul neautorizat și divulgarea neautorizată către deținătorul domeniului de internet a datelor cu caracter personal (precum, numele, prenumele, locația magazinului unde a aplicat) ale unei persoane care a aplicat pentru un job în cadrul operatorului.  

          Ca urmare a investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului și în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, încălcând astfel art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.

Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 9.954 lei (echivalentul sumei de 2000 EURO).

În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus operatorului și măsura corectivă de desemnare a unei/unor persoane la nivelul operatorului/persoanei împuternicite de operator care să monitorizare desfășurarea activităților de prelucrare a datelor cu caracter personal ale persoanelor care acționează sub autoritatea operatorului/persoanei împuternicite de operator, în conformitate cu procedurile de lucru, pentru evitarea unor incidente de securitate similare.

Menționăm că operatorul a achitat amenda aplicata.

Sursa:A.N.S.P.D.C.P