Vodafone România, al doilea jucător local de telecomunicații mobile, a fost amendat cu circa 3.000 euro pentru că nu ar fi luat măsurile tehnice adecvate pentru evitarea divulgării neautorizate și/sau accesului neautorizat la datele cu caracter personal ale unui număr de 6 persoane fizice, în perioada 16 noiembrie 2020 - 18 mai 2021, încălcând astfel prevederile Regulamentului General privind Protecția Datelor (GDPR). De asemenea, operatorul a fost sancționat pentru că ar fi prelucrat datele cu caracter personal ale 64 persoane fizice prin accesarea neautorizată a datelor acestora de către angajații companiei, în intervalul 4 noiembrie 2020 – 22 iunie 2021.
În luna octombrie a acestui an, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la Vodafone România și a constatat încălcarea dispozițiilor articolului 32, aliniatul (1), litera b) și aliniatul (4) din Regulamentul General privind Protecția Datelor (RGPD), precum și încălcarea dispozițiilor articolului 3, aliniatul (1) și aliniatul (3), litera a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
"Operatorul a fost sancționat contravențional cu amendă în cuantum de 7.421,25 lei, echivalentul a 1.500 euro, pentru încălcarea dispozițiilor articolului 32, aliniatul (1), litera b) și aliniatul (2) din RGPD și amendă în cuantum de 7.000 lei pentru încălcarea dispozițiilor articolului 3, aliniatul (1) și aliniatul (3), litera a) și b) din Legea nr. 506/2004", conform instituției.
Investigația a fost inițiată în urma transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentul General privind Protecția Datelor sau al Regulamentului (UE) nr. 611/2013.
"În ceea ce privește încălcările de securitate notificate în temeiul RGPD, ANSPDCP a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului cu excepția cazului în care această obligație îi revine în dreptul Uniunii sau dreptului intern și în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor. Această situație a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal ale unui număr de 6 persoane fizice, în perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajaților operatorului la datele cu caracter personal ale clienților Vodafone România fără a exista solicitări din partea acestora)", potrivit Autorității.
Cu privire la încălcările de securitate notificate în temeiul Regulamentului (UE) nr. 611/2013, ANSPDCP a constatat că operatorul nu ar fi implementat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, care să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate în scopurile autorizate de lege și să protejeze datele cu caracter personal stocate sau transmise împotriva prelucrării, accesării ori divulgării ilicite.
"Astfel, operatorul a prelucrat datele cu caracter personal ale 64 persoane fizice prin accesarea neautorizată a datelor acestora de către angajații operatorului în perioada 4 noiembrie 2020 – 22 iunie 2021", susține instituția.
Vodafone România este al doilea jucător de profil după numărul de clienți și cifra de afaceri din 2020.
