Autoritatea Națională de Supraveghere a finalizat, în luna octombrie 2023, o investigație la operatorul Rompetrol Downstream SRL și a constatat încălcarea dispozițiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 546.073,00 lei (echivalentul a 110 000 de EURO).
Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, în perioada 20.07.2021 – 3.02.2022, conform art. 33 din Regulamentul (UE) 2016/679.
În cadrul investigației a rezultat că s-a accesat de la nivel intern și s-au utilizat în mod neautorizat, în repetate rânduri, datele unor clienți din programul informatic deținut de companie și s-au divulgat în mod ilegal, datele personale ale unor clienți în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora.
Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria și numărul cărții de identitate, codul numeric personal, adresa, locul nașterii, poza) și date din adeverința de salariu (precum: numele și prenumele angajatului, data, semnătura, veniturile realizate, vechimea în muncă).
Autoritatea Națională de Supraveghere a constatat că Rompetrol Downstream SRL nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa și nici nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Sursa:A.N.S.P.D.C.P