Amendă de peste 70.000 de lei pentru compania Continental Automotive pentru încălcarea GDPR

Continental a fost amendată cu peste 70.000 de lei pentru încălcarea Regulamentului GDPR, anunță Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal printr-un comunicat publicat pe site-ul instituției (www.dataprotection.ro).

Compania Continental Automotive Products a fost vizată de o amplă investigație a Autorității de Supraveghere a Datelor cu Caracter Personal.

Instituția de stat a constatat o încălcare gravă a Regulamentului general privind protecția datelor (GDPR). Ancheta a pornit de la o notificare transmisă chiar de operator, referitoare la un incident de securitate a datelor cu caracter personal.

Amendă de peste 70.000 de lei pentru Continental Automotive

Investigația a arătat că datele medicale ale angajaților au fost distribuite intern, în mod repetat, fără măsuri adecvate de protecție.

Autoritatea a aplicat două amenzi distincte și a impus măsuri corective obligatorii.

În urma verificărilor, autoritatea de supraveghere a constatat încălcarea art. 5 alin. (1) lit. c) și alin. (2) din Regulamentul (UE) 2016/679, care vizează principiile prelucrării datelor, inclusiv minimizarea acestora.

Pentru această abatere, Continental Automotive Products SRL a fost sancționată cu o amendă de 25.455 lei, echivalentul a 5.000 de euro. Totodată, au fost identificate încălcări ale art. 32 alin. (1) lit. b) și alin. (2) din GDPR, referitoare la securitatea prelucrării datelor.

Pentru lipsa unor măsuri tehnice și organizatorice adecvate, compania a primit o a doua amendă, în valoare de 50.911 lei, echivalentul a 10.000 de euro.

Valoarea totală a sancțiunilor depășește astfel 76.000 de lei.

Autoritatea subliniază că sancțiunile au fost aplicate ținând cont de gravitatea faptei și de numărul mare de persoane vizate.

Date medicale ale angajaților, distribuite intern fără protecție suficientă

Potrivit informațiilor incluse în formularul de notificare, incidentul a constat în distribuirea internă repetată a unui fișier Excel care conținea un centralizator cu salariații companiei.

Documentul includea date extrase din certificatele medicale ale angajaților și foștilor angajați, aferente unei anumite perioade de timp.

În cadrul investigației s-a stabilit că accesul la fișier nu a fost restricționat corespunzător. Lipsa unor măsuri de securitate eficiente a permis accesul neautorizat la datele personale ale unui număr semnificativ de persoane.

Autoritatea a concluzionat că operatorul nu a demonstrat un nivel adecvat de responsabilitate în gestionarea acestor informații sensibile. În plus, nu existau proceduri clare de monitorizare și control care să permită identificarea rapidă a incidentelor de securitate.

Pe lângă amenzi, autoritatea a dispus o măsură corectivă obligatorie. Continental Automotive Products SRL trebuie să implementeze proceduri tehnice și organizatorice complete pentru toate procesele care implică prelucrarea datelor cu caracter personal.