Autoritatea pentru protecția datelor personale (ANSPDCP) a sancționat Vodafone Romania SA cu amendă GDPR în valoare de 4.000 EUR pentru accesarea ilegală a datelor clienților săi.
ANSPDCP a încheiat în luna mai 2025 o investigație la Vodafone România SA, în urma căreia a constatat că operatorul a încălcat prevederile art. 25 alin. (1) și alin. (2) din Regulamentul GDPR.
Concret, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal.
Operatorul nu ar fi pus în aplicare măsuri tehnice și organizatorice adecvate atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pentru a respecta principiile de protecție a datelor.
Acest lucru a dus la divulgarea neautorizată și accesul neautorizat la date cu caracter personal ale mai multor clienți ai săi (date de identificare: nume și prenume, identificatorul unic pentru persoana fizică, codul de client Vodafone și cod numeric personal cetățean străin, serie pașaport sau alt echivalent, date de contact: adresă de corespondență, date financiare: suma de plată aferentă facturii).
Ca atare, Vodafone România SA a fost sancționată contravențional cu amendă în cuantum de 20.226 lei, echivalentul a 4.000 EUR.
„De asemenea, în sarcina operatorului s-a dispus măsura corectivă de implementare tehnică și procedurată a unui mecanism aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, având în vedere riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare”, precizează Autoritatea pentru protecția datelor.
Sancțiunile ANSPDCP pot fi contestate în instanță.
Amintim că Tudor Galoș, consultant în domeniul tehnologiei, a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii. Alte greșeli apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
În opinia sa, amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.