ANSPDCP a sancționat OTP Leasing pentru accesul neautorizat în sistemul MyLeasing

25.11.2022 | JURIDICE.ro

Secţiuni: Banking, C. contravențional, Cyberlaw, Data protection, Selected

Vineri, 25 noiembrie 2022, Autoritatea Națională de Supraveghere a anunțat că a finalizat o investigație la operatorul OTP LEASING ROMANIA IFN SA, în cadrul căreia a constatat încălcarea dispozițiilor art. 25 alin. (1), art. 32 alin. (1) lit. b) și d) și precum și art. 32 alin. (2) din Regulamentul General privind Protecția Datelor, potrivit unui comunicat.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 14.675,7 lei (echivalentul sumei de 3.000 EURO).

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal în temeiul art. 33 din Regulamentul General privind Protecția Datelor.

În notificarea transmisă, operatorul a susținut că a fost informat de către o persoană fizică că aceasta a putut accesa în mod neautorizat platforma informatică My Leasing, prin alterarea adresei de URL și crearea unui cont de administrator. Astfel, a putut accesa datele clienților operatorului, persoane juridice, care și-au creat cont pe platformă în vederea urmăririi informațiilor legate de contractele de leasing.

În cadrul investigației s-a constatat că unii dintre clienții operatorului, persoane juridice, și-au înrolat în platformă, ca date de contact, adrese de email care conțineau nume, prenume, adresă de email și număr de telefon ale reprezentanților (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate în mod neautorizat pe platformă (MyLeasing).

Accesul neautorizat în sistemul MyLeasing a fost determinat de lipsa unui nivel adecvat de securitate, corespunzător riscurilor prelucrării, care ar fi trebuit să fie asigurat de OTP LEASING. Astfel, s-a încălcat confidențialitatea datelor cu caracter personal prelucrate prin intermediul platformei MyLeasing pentru persoanele fizice vizate, înregistrate ca persoane de contact pentru persoanele juridice din platformă.

Operatorul nu a informat persoanele vizate cu privire la producerea incidentului de securitate a datelor cu caracter personal, deși datele divulgate în mod neautorizat pot conduce la prejudicii aduse acestor persoane fizice, reprezentanți ai persoanelor juridice.

Cuvinte cheie: ANSPDCP, Autoritatea Națională de Supraveghere, date cu caracter personal, GDPR, Operator sancționat, Regulamentul General privind Protecția Datelor

Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments

Inline Feedbacks

View all comments

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.