Operatorul de telecomunicații Telekom România a primit două amenzi în valoare de peste 63.000 de lei din partea Autorității Naționale de Supraveghere pentru încălcarea unor prevederi din Regulamentul General privind Protecția Datelor. Potrivit investigației finalizate în luna februarie a acestui an, Telekom România a divulgat, dintr-o eroare, datele cu caracter personal a aproape 100.000 de clienți. În plus, neluarea unor măsuri tehnice pentru asigurarea securității prelucrării datelor ceea ce a condus la accesul neautorizat la informațiile personale din conturile MyAccount a 413 clienți ai operatorului.
Conform unui comunicat al Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Telekom România Mobile Communications SA a fost sancționat contravențional:
- cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor;
- cu amendă în cuantum de 15.000 lei, pentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004
”În investigația efectuată s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane vizate/clienți. Astfel, adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise clienților”, se arată într-un comunicat al Autorității Naționale de Supraveghere.
În plus, Autoritatea a constatat că operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal pentru a le proteja împotriva stocării, prelucrării, accesării ori divulgării ilicite. Aceasta a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple) a 413 persoane vizate/clienți Telekom România.
”Subliniem că, operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată”, se arată în comunicatul ANSPDCP.
Dispozițiile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004, modificată și completată, prevăd că:
”(1) Furnizorul unui serviciu de comunicații electronice destinat publicului are obligația de a lua măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicații electronice destinate publicului va lua aceste măsuri împreună cu furnizorul rețelei publice de comunicații electronice.”
”(3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puțin următoarele condiții:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării ori divulgării ilicite.”
Autoritatea Națională de Supraveghere a anunțat că, în urma investigației, operatorului Telekom România i-au fost aplicate și măsuri corective, constând în:
- revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice;
- implementarea unui proces pentru testarea, evaluarea și aprecierea periodică ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, conform prevederilor RGPD.