Rompetrol a utilizat ilegal datele cu caracter personal ale unor clienți

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personala a finalizat o investigație la operatorul Rompetrol Downstream SRL.

Operatorul Rompetrol Downstream SRL, companie deținută de kazahii de la KazMunayGas, a fost sancționat contravențional cu amendă în cuantum de 546.073,00 lei (echivalentul a 110.000 de EURO).

Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, în perioada 20.07.2021 – 3.02.2022, conform art. 33 din Regulamentul (UE) 2016/679.

În cadrul investigației a rezultat că s-a accesat de la nivel intern și s-au utilizat în mod neautorizat, în repetate rânduri, datele unor clienți din programul informatic deținut de companie și s-au divulgat în mod ilegal, datele personale ale unor clienți în scopul obținerii unor credite de la societăți financiare nebancare, în numele acestora.

Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (cum ar fi: numele, prenumele, seria și numărul cărții de identitate, codul numeric personal, adresa, locul nașterii, poza)  și date din adeverința de salariu (precum: numele și prenumele angajatului, data, semnătura, veniturile realizate, vechimea în muncă).

Autoritatea Națională de Supraveghere a constatat că Rompetrol Downstream SRL nu a luat măsuri pentru a asigura că orice persoană fizică ce acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa și nici nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Reacția companiei

”Rompetrol Downstream a luat act de încheierea investigatiei deschise de ANSPDCP cu privire la incidentul legat de GDPR.

Mentionăm ca incidentul a fost inițial raportat de companie in martie 2022, iar Autoritatea a beneficiat de tot sprijinul nostru pe întreaga perioadă, într-o manieră completă și transparentă.

Securitatea și siguranța datelor cu caracter personal ale clienților Rompetrol Downstream reprezintă o prioritate in activitatea companiei.

In contextul dat, Rompetrol Downstream considera ca a luat măsuri ferme care să protejeze datele cu caracter personal ale clienților, să respecte pe deplin regulile GDPR și să implementeze toate măsurile tehnice și organizatorice care vizează acest scop.

În acest caz vorbim de un incident particular și izolat și care face în prezent obiectul unei anchete penale deschise în baza plângerii din partea companiei (aprilie 2022) împotriva unuia dintre foștii săi angajați.

Trebuie să reținem faptul că circumstanțele deosebite ale acestui caz, în care anumite date cu caracter personal au fost dezvăluite și folosite în temeiul unui scop fraudulos, cu rea-credință, sunt împotriva tuturor instrucțiunilor, instruirilor și procedurilor primite de angajat din partea companiei.

În plus, Rompetrol Downstream este pregătită să folosească toate drepturile recunoscute și procedurile legale pe care le are la dispoziție pentru a-și păstra și apăra reputația în acest caz.”