În luna decembrie 2024, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o serie de investigații asupra operatorului de telecomunicații Vodafone România S.A., constatând încălcarea prevederilor Regulamentului (UE) 2016/679 (Regulamentul General privind Protecția Datelor – GDPR). Ca urmare a acestor constatări, operatorul a fost sancționat cu o amendă de 74.526 lei (aproximativ 15.000 euro), transmite ANSPDCP.

Investigațiile au fost demarate după ce Vodafone România a transmis mai multe notificări privind încălcarea securității datelor cu caracter personal, conform articolului 33 din GDPR, și ca urmare a unor sesizări primite de la persoane vizate. Aceste notificări și sesizări au fost legate de incidente repetate în care datele personale ale clienților companiei au fost expuse unor riscuri de securitate.

Încălcările descoperite

În urma cercetărilor, autoritatea a constatat că Vodafone România a făcut erori grave în protejarea confidențialității datelor personale ale clienților săi. Printre incidentele identificate se numără:

• Transmiterea neautorizată a datelor personale: O fotografie cu detalii ale unei facturi a fost trimisă unui terț fără consimțământul persoanei vizate,
• Expunerea adreselor de e-mail ale destinatarilor: În cadrul unui mesaj trimis mai multor persoane vizate, angajații Vodafone nu au ascuns adresele de e-mail ale acestora, expunându-le în mod public,
• Transmiterea de date prin aplicații nesigure: Un angajat al unui partener al Vodafone a trimis prin WhatsApp o fotografie ce conținea date sensibile, extrase din interfața aplicației operatorului,
• Erori de transmitere a facturilor: O factură destinată unei persoane vizate a fost trimisă din greșeală unui terț.

Aceste incidente au dus la divulgarea și accesul neautorizat la datele personale ale mai multor clienți ai operatorului, ceea ce reprezintă o încălcare semnificativă a securității datelor.

ANSPDCP a concluzionat că Vodafone România nu a implementat măsuri tehnice și organizatorice adecvate pentru a proteja datele personale ale utilizatorilor. Mai exact, operatorul nu a asigurat un nivel corespunzător de securitate, inclusiv prin implementarea de măsuri care să garanteze confidențialitatea și integritatea datelor. De asemenea, nu au fost stabilite măsuri clare pentru a se asigura că angajații și partenerii companiei prelucrează datele doar conform instrucțiunilor primite și în condiții de siguranță.

Consecințe și sancțiuni

În urma investigațiilor, autoritatea a decis aplicarea unei amenzi contravenționale în valoare de 74.526 lei, ca urmare a nerespectării regulamentului GDPR. Această sancțiune subliniază importanța respectării legislației în vigoare privind protecția datelor personale și necesitatea ca operatorii economici să implementeze măsuri corespunzătoare pentru a preveni orice risc de încălcare a securității datelor.

Sursa: BIHON.RO