Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în 2024 o investigatie la Operatorul Kruk Romania SRL ca urmare a unor notificari de incalcare a securitatii datelor, in temeiul dispozitiilor art.33 din Regulamentul (UE) 2016/679, care au fost transmise de catre Kruk Romania.
Ca atare, s-a constatat că operatorul Kruk România SRL a încălcat dispozițiile art. 32 alin. (1) lit. b) coroborat cu art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 14.922,3 RON (echivalentul sumei de 3000 EURO).
În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat faptul că, în calitate de împuternicit al operatorului, Kruk România SRL a transmis eronat o serie de notificări de cesiune de creanță către mai mulți destinatari și notificări privind posibilitatea de a încheia un angajament de plată cu debitorii prin efectuarea de operațiuni manuale de prelucrare necorespunzătoare asupra bazei de date transmise de un partener contractual în baza unui contract de cesiune de creanțe.
Această situație a condus, la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal (precum, numele, prenumele, adresa, data și numărul de contract, suma datorată, creditorul inițial, creditorul și administratorul de creanțe) cuprinse în respectivele documente.
Din verificările efectuate, a rezultat că, împuternicitul operatorului, Kruk România SRL nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
În același timp, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsuri tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, în vederea asigurării protecției datelor prelucrate (manual) împotriva prelucrării neautorizate, a pierderii, distrugerii sau deteriorării accidentale și a unor măsuri privind instruirea persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor Regulamentului (UE) 2016/679, inclusiv cu privire la riscurile și consecințele pe care le implică divulgarea neautorizată/accesul neautorizat/pierderea datelor cu caracter personal.
Menționăm că operatorul a achitat amenda aplicata.
Sursa:A.N.S.P.D.C.P