Hora Credit IFN, amendat GDPR pentru transmitere eronata de documente personale

Hora Credit IFN, amendat GDPR pentru transmitere eronata de documente personale

Autoritatea Nationala pentru protectia datelor cu caracter personal continua sa acorde amenzi si in 2020, prima pe anul acesta fiind acordata operatorului Hora Credit IFN S.A.

Operatorul a fost sanctionat cu trei amenzi, in valoare totala de 14.000 de euro, pentru nerespectarea Regulamentului General:

 

♦ amenda in cuantum de 14336,1 lei, echivalentul a 3.000 de euro

♦ amenda in cuantum de 47787 lei, echivalentul a 10.000 de euro

♦ amenda in cuantum de 4778,7 lei, echivalentul a 1.000 de euro

 

Pentru ce a fost amendat operatorul Hora Credit IFN

 

Potrivit informatiilor oficiale disponibile pe dataprotection.ro, Sanctiunile au fost aplicate operatorului ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.

Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN Sa nu a remediat acest aspect, trimitand in continuare mesaje pe adresa de e-mail.

 

Ce spune Autoritatea

 

“Autoritatea Nationala de Supraveghere a finalizat, in data de 10.12.2019, o investigatie la o Hora Credit IFN S.A. si a constatat incalcarea anumitor dispozitii din Regulamentul General privind Protectia Datelor (RGPD).

 

Operatorul a fost sanctionat astfel:

 

♦ pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14336,1 lei, echivalentul a 3000 euro;

♦ pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47787 lei, echivalentul a 10.000 euro;

♦ pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4778,7 lei, echivalentul a 1000 euro.

Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.

Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.

In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.

De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.

Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.

 

In acelasi timp, oeratorului i s-au aplicat si urmatoarele masuri corective:

♦ masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de colectare si prelucrare ulterioara a datelor personale in scopul incheierii si executarii contractelor de imprumut, in special, sub aspectul verificarii datelor personale colectate, precum adresa de posta electronica, ce permit comunicarea la distanta a datelor personale, prin implementarea unor metode eficiente de validare a exactitatii datelor - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din RGPD);

♦ masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale in scopul incheierii si executarii contractelor de imprumut, in vederea respectarii secretului profesional si a confidentialitatii datelor personale ale clientilor sai, in special, in cazul transmiterii unor documente si mesaje ce contin date personale la distanta (de exemplu, prin posta electronica), prin implementarea unor masuri adecvate si eficiente de securitate, atat din punct de vedere tehnic (precum criptarea), cat si din punct de vedere organizatoric, prin instruirea persoanelor ce prelucreaza date sub autoritatea sa, in vederea identificarii si limitarii imediate a riscurilor ce pot afecta persoanele vizate - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din RGPD);

♦ masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale in scopul implementarii unei politici interne adecvate pentru identificarea riscurilor, analiza acestora si notificarea catre ANSPDCP in cazul producerii unei incalcari a securitatii, in conditiile prevazute de art. 33 alin. (1) din RGPD - in termen de 30 zile de la data comunicarii procesului-verbal de contraventie (art. 58 alin. (2) lit. d) din RGPD).” - A.N.S.P.D.C.P.

 

Amenzi similare au fost acordate in 2019 altor institutii financiare din Romania. Banca Unicredit a fost sanctionata cu 130.000 de euro in data de 27.06.2019 pentru afisarea datelor personale ale clientilor prin intermediul tranzactiilor online, iar Raiffeisen Bank si Vreau Credit au fost amendate pentru transmiterea de date personale prin WhatsApp.

Cateva informatii despre GDPR

GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date.

GDPR a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene. Regulamentul contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.

GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE. Scopul acestuia este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.

 

Te-ar putea interesa si articolele:

Asociatie de Proprietari, amendata cu suma modica pentru GDPR

Telekom Romania, amendat GDPR pentru facturi emise gresit

Firma din Bucuresti, amendata cu o suma modica pentru incalcarea GDPR

Noi amenzi pentru incalcarea GDPR

Tarom, amendat GDPR pentru divulgarea datelor unor clienti!

ING Romania, amenda uriasa pentru incalcarea GDPR!

Fan Curier, amendat GDPR!

Vodafone Romania, amendat pentru trimitere de mesaje comerciale!

Cetelem.ro, amendat GDPR!

Firma din Polonia amendata cu 220.000 de euro!

Amenda GDPR pentru transmiterea datelor personale prin WhatsApp!

Amenda GDPR pentru transmiterea de mesaje comerciale prin e-mail!

Avocatnet.ro, amendat pentru nereguli la crearea de cont!

Amenda pentru transmiterea datelor personale prin WhatsApp!

Amenda GDPR pentru camere de supraveghere video!

Expert GDPR, amendat cu 3.000 de euro!

Un hotel din Bucuresti, amendat pentru nerespectarea GDPR!

Cea mai mare amenda GDPR din Romania!

Elefant.ro, amendat pentru trimiterea de oferte prin e-mail!