Autoritatea Națională de Supraveghere a Prelucrării Datelor cu
Caracter Personal a finalizat o
investigație la operatorul VESTAS CEU ROMÂNIA SRL și a constatat
încălcarea dispozițiilor art. 32 alin. (1) lit. b) și art. 32 alin. (2) și
alin. (4) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional cu amendă
în cuantum de 14.928 lei (echivalentul a 3 000 de EURO).
Investigația a fost demarată ca urmare a transmiterii de către
operator a unei notificări de încălcare a securității datelor cu caracter
personal, conform art. 33 din Regulamentul (UE) 2016/679.
Încălcarea securității datelor s-a produs ca urmare a divulgării
neautorizate a datelor cu caracter personal (numele, localitatea de domiciliu,
salariul, CV-ul (care conținea, în funcție de caz: fotografie, detalii de
contact, adresa, naționalitate, data nașterii, gen, stare civila, status
privind serviciul militar, trimiteri către profiluri pe rețele sociale,
experiența profesionala, educație, abilitați tehnice), precum copii de
pașapoarte) pentru un număr semnificativ de angajați, aceste date fiind
accesate de la nivel intern, în repetate rânduri, și divulgate în mod ilegal
către un terț.
În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și
organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător riscului prezentat de prelucrare, generat în special, de
divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal
stocate.
Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-a
dispus față de operatorul VESTAS CEU ROMÂNIA SRL și măsura corectivă de
implementare a unei soluții de monitorizare a aplicării procedurilor de lucru
implementate, pentru evitarea unor incidente de securitate similare
Sursa:A.N.S.P.D.C.P