În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.
Operatorul Vodafone România SA a fost sancționat contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro.
Sancțiunea a fost aplicată operatorului întrucât a prelucrat greșit date personale ale unei persoane fizice în scopul soluționării reclamației acesteia, ceea ce a determinat ulterior transmiterea răspunsului operatorului către o adresă de e-mail eronată, nefiind adoptate suficiente măsuri de securitate împotriva prelucrării ilegale a datelor personale ale persoanei respective, cu încălcarea principiilor de prelucrare prevăzute de art. 5 alin. (1) lit. d) și f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.
Totodată, operatorului Vodafone România SA i s-a aplicat și o măsură corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor.
Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a exactității datelor, inclusiv în cazul colectării datelor, precum adresa de poștă electronică. În acest sens, s-a dispus punerea în practică a unor măsuri adecvate și eficiente de securitate din punct de vedere tehnic și organizatoric, inclusiv prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului, în termen de 30 zile de la data comunicării procesului-verbal de sancționare.
În acest context, reliefăm prevederile art. 5 alin. (1) din Regulament General privind Protecția Datelor, care prevăd că ”datele cu caracter personal sunt:
d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere (“exactitate”);
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate şi confidenţialitate”).”
De asemenea, art. 5 alin. (2) din Regulament prevede că ”Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”)”.