Autoritatea Națională de Supraveghere a finalizat, în luna mai a anului curent, o investigație la operatorul AUTOMOBILE BAVARIA SRL și a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și d), coroborat cu art. 32 alin. (2) și ale art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).

Ca atare, operatorul a fost sancționat contravențional:

cu amendă în cuantum de 88.563,60 lei, echivalentul a 18.000 EURO pentru încălcarea art. 32 alin. (1) lit. b) și d), coroborat cu art. 32 alin. (2) din RGPD;
cu avertisment pentru încălcarea art. 25 alin. (1) din RGPD.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.

Încălcarea securității datelor s-a produs ca urmare a divulgării neautorizate a datelor cu caracter personal (nume, prenume, oraș, adresa de email, număr de telefon, model autoturism curent, an fabricație autoturism curent, opțiune buy-back, termen de achiziție, modalitate achiziție (cash, credit, leasing), buget aproximativ disponibil, opțiuni consimțământ marketing (contact telefon, contact email, contact SMS, înscriere newsletter)) pentru un număr de 290 clienți/potențiali clienți ai operatorului, în perioada iulie 2022 – 04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului.

În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

De asemenea, s-a constatat că AUTOMOBILE BAVARIA SRL nu a asigurat protecția datelor cu caracter personal, începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default), prin nerespectarea prevederilor prevăzute la art. 25 alin. (1) din RGPD, în sensul că nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD și a proteja drepturile persoanelor vizate.

Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-a dispus măsura corectivă de a implementa un plan care să includă un proces de testare, evaluare și apreciere periodică ale tuturor sistemelor și modificărilor ulterioare ale acestora efectuate de operator sau furnizorii de servicii (persoane împuternicite), prin care se prelucrează date cu caracter personal, în sensul garantării securității prelucrării, începând cu momentul conceperii și în mod implicit (privacy by design și privacy by default).

Direcția juridică și comunicare

A.N.S.P.D.C.P.