O firmă de recuperare creanțe a fost amendată pentru încălcarea excesivă a GDPR - Ancora Protect

O firmă de recuperare creanțe a fost amendată pentru încălcarea excesivă a GDPR

Sanctiune GDPR pentru IKEA Romania
28 aprilie 2022

O firmă de recuperare creanțe a fost amendată pentru încălcarea excesivă a GDPR

Autoritatea Națională de Supraveghere a finalizat în luna aprilie 2022 o investigație la operatorul  Kredyt Inkaso Investments RO S.A. și a constatat încălcarea dispozițiilor art. 5, art. 6, art. 9 și art. 33 din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat contravențional astfel:

  • amendă în cuantum de 24.740 lei (echivalentul sumei de 5000 EURO) pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), c), alin. (2), art. 6 și art. 9 din Regulamentul General privind Protecția Datelor;
  • avertisment pentru încălcarea dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor.

Investigația a fost demarată ca urmare a unei plângeri formulate de o persoană vizată care a reclamat faptul că operatorul Kredyt Inkaso Investments RO S.A. a dezvăluit datele sale personale și ale copilului său minor către anumite unități medicale.

În cadrul investigației efectuate, s-a constatat că operatorul a dezvăluit datele petentei (adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical) către anumiți medici și anumite unități medicale cu care aceasta nu avea niciun fel de raporturi juridice.

De asemenea, s-a constatat că prelucrarea datelor privind starea de sănătate ale petentei nu putea fi efectuată în temeiul interesului legitim întrucât acesta nu se regăsește printre condițiile de prelucrare prevăzute de art. 9 din RGPD.

Așadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvăluirea ilegală și excesivă a acestora, inclusiv a datelor privind starea de sănătate, cu încălcarea principiilor de prelucrare pevăzute de art. 5 alin. (1) lit. a), c), alin. (2) și a condițiilor de legalitate prevăzute de art. 6 și art. 9 din RGPD.

Totodată, s-a constatat că operatorul Kredyt Inkaso Investments RO S.A. nu a respectat termenele pentru notificarea incidentului de securitate produs în momentul dezvăluirii datelor petentei către un medic cu care petenta nu avea raporturi juridice, încălcându-se astfel prevederile art. 33 din RGPD.

Sursa articol: https://www.dataprotection.ro/?page=Comunicat_Presa_18_05_2022&lang=ro