Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat cu amendă de 18.000 euro Automobile Bavaria, importator al mărcilor BMW, Mini, MAN și Ineos în România, cu argumentul că ar fi divulgat neautorizat date cu caracter personal pentru 290 clienți/potențiali clienți, în perioada iulie – august 2022, aceste date fiind accesibile public pe pagina web a societății.
„Autoritatea a finalizat, în luna mai 2022, o investigație la operatorul Automobile Bavaria SRL și a constatat încălcarea prevederilor articolului 32, aliniatul (1), litera b) și d), coroborat cu articolul 32, aliniatul (2) și ale articolului 25, aliniatul (1) din Regulamentul General privind Protecția Datelor (RGPD). Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 88.563,60 lei, echivalentul a 18.000 euro pentru încălcarea articolului 32, aliniatul (1), litera b) și d), coroborat cu articolul 32, aliniatul (2) din RGPD, și cu avertisment pentru încălcarea articolului 25, aliniatul (1) din RGPD”, se arată într-un anunț al instituției. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor (RGPD).
„Încălcarea securității datelor s-a produs ca urmare a divulgării neautorizate a datelor cu caracter personal (nume, prenume, oraș, adresa de email, număr de telefon, model autoturism curent, an fabricație autoturism curent, opțiune buy-back, termen de achiziție, modalitate achiziție (cash, credit, leasing), buget aproximativ disponibil, opțiuni consimțământ marketing (contact telefon, contact email, contact SMS, înscriere newsletter)) pentru un număr de 290 clienți/potențiali clienți ai operatorului, în perioada iulie – 4 august 2022, aceste date fiind accesibile public pe pagina web a operatorului”, se mai spune în anunț.
În cadrul investigației, echipa de control a constatat că operatorul nu ar fi implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
De asemenea, autoritatea a constatat că Automobile Bavaria nu ar fi asigurat protecția datelor cu caracter personal, începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default, în sensul că nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD și a proteja drepturile persoanelor vizate. Totodată, autoritatea a obligat societatea să implementeze un plan care să includă un proces de testare, evaluare și apreciere periodică ale tuturor sistemelor și modificărilor ulterioare ale acestora efectuate de operator sau furnizorii de servicii (persoane împuternicite), prin care se prelucrează date cu caracter personal, în sensul garantării securității prelucrării, începând cu momentul conceperii și în mod implicit (privacy by design și privacy by default).
Automobile Bavaria SRL a încheiat anul fiscal 2022 cu un profit net de 33,86 milioane de lei, de la 26,6 milioane de lei în 2021, la o cifră de afaceri de 1,13 miliarde de lei, comparativ cu 946,77 milioane de lei în anul precedent. Compania este deținută de MHS IMMO Sarl (Luxemburgh) – 99,9826% și MHS Holding Gmbh (Austria), potrivit termene.ro.
