Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat că a sancționat compania IKEA România SA cu o amendă în valoare de 1.000 de euro pentru încălcarea unor prevederi din Regulamentul General de Protecție a Datelor (RGPD). Firma a fost acuzată că a dezvăluit datele cu caracter personal ale unor copii care au participat la un concurs de desene organizat de cunoscutul lanț de magazine de mobilă și produse pentru casă.
Autoritatea Națională de Supraveghere a început investigația după ce a fost notificată de IKEA România în legătură cu încălcarea securității datelor cu caracter personal în timpul unui concurs de desene dedicat copiilor membrilor IKEA Family.
”Participanții au încărcat în platforma online dedicată membrilor desenele proprii, împreună cu formularele de participare, care conțineau date lor cu caracter personal, dar și ale părinților/tutorilor legali, inclusiv consimțământul acestora. În vederea votării celui mai bun desen, pe platforma online au fost publicate, din eroare, desenele copiilor, împreună cu datele cu caracter personal cuprinse în formularele de participare”, se arată într-un comunicat al Autorității.
În timpul investigației s-a constatat că incidentul de securitate produs a condus la divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele și vârsta persoanelor fizice minore, numele, prenumele, orașul, țara, e-mailul, numărul de membru IKEA Family și semnătura olografă a părintelui/tutorelui legal), pe platforma on-line dedicată membrilor IKEA Family din România, accesibilă doar acestora. Datele au fost vizibile timp de aproximativ 40 de ore, fiind afectate 114 persoane, dintre care jumătate sunt minori.
”În acest context, subliniem faptul că, potrivit considerentului 38 din RGPD «Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor »”, se mai arată în informarea Autorității Naționale de Supraveghere.
