6 millió forint bírság figyelmetlenség miatti adatvédelmi incidensért

A Román Adatvédelmi Hatóság (ANSPDCP) kapcsán legutóbb arról számoltunk be, amikor az Estee Lauder és a Telekom kapott tőlük bírságot nem megfelelő jogalap használatáért. A Hatóság friss, július 9-én kiadott közleménye szerint 15.000 EUR-nak megfelelő összegű bírságot szabott ki a Proleasing Motors SRL cég ellen, mivel az az álláspontjuk szerint nem alkalmazott megfelelő szervezési és technikai intézkedéseket, melyekkel megakadályozhatta volna egy adatvédelmi incidens bekövetkezését.

Az adatvédelmi incidenst maga az adatkezelő jelentette be a GDPR rendelkezéseinek megfelelően. Az incidens abból eredt, hogy az adatkezelő egy nyereményjátékot hirdetett meg Facebook oldalán. Később, az adatkezelő tévesen közzétett egy bejegyzést az említett Facebook oldalon. A bejegyzés tartalmazott egy képernyőképet a weboldal forráskódjáról, ahol a belépési jelszó is látható volt, melynek segítségével hozzáférhető volt a részvevők által kitöltött adatlap, ezáltal számos személyes adatuk.

Az adatkezelő jelentése szerint az incidens 436 felhasználót érintett, akiknek az adatai így illetéktelenül hozzáférhetővé váltak, megsértve ezzel a GDPR 32, az adatkezelés biztonságáról szóló cikkét.

A GDPR minden adatkezelőtől elvárja, hogy megfelelő szervezési és technikai intézkedéseket tegyen annak érdekében, hogy megfelelően kezelje a személyes adatokat. A hatóság álláspontja szerint az, hogy előfordulhatott, hogy egy olyan poszt kikerül, melyen látható a rendszerbe történő belépéshez szükséges jelszó, önmagában igazolja, hogy az adatkezelő nem tett eleget a 32. cikk szerinti kötelezettségeinek.

Az ANSPDCP a Rendelet 58. cikk (2) bekezdésének d) pontja alapján elmarasztalta az adetkezelőt, ezzel egyidőben utasította a GDPR által megkövetelt technikai és szervezeti intézkedések bevezetésére, illetve meglevő intézkedéseinek felülvizsgálatára.