În data de 02.07.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul WORLD TRADE CENTER BUCHAREST S.A. și a constatat că acesta a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.
Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.
De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene.
Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.
Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Totodată, considerentul (75) din RGPD precizează:
”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; (…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”