Incidentul a pornit de la o campanie de promovare desfășurată pe rețelele sociale. În cadrul unei tombole organizate pentru clienți, agenția a publicat pe Facebook un tabel cu numele câștigătorilor. Însă, pe lângă nume și prenume, tabelul conținea și informații sensibile: destinațiile alese de participanți, perioada sejurului și chiar numerele de rezervare sau hotelurile rezervate.

ANSPDCP a considerat această practică drept o dezvăluire neautorizată de date personale. În lipsa unor măsuri tehnice și organizatorice care să protejeze aceste informații, agenția a fost sancționată cu o primă amendă de 5.000 de euro. În plus, pentru că nu a notificat autoritatea cu privire la această breșă de securitate, a fost aplicată o a doua sancțiune, în valoare de 1.000 de euro.

Investigația a mai scos la iveală și alte deficiențe. Printre ele, lipsa unui răspuns complet adresat clienților care au cerut acces la propriile date. Drept urmare, ANSPDCP a emis și un avertisment oficial.

Pe lângă sancțiuni, autoritatea de supraveghere a impus agenției o serie de măsuri corective. Printre acestea se numără implementarea unor politici clare de securitate a datelor, instruirea angajaților care au acces la datele clienților și introducerea unor proceduri interne de raportare și gestionare a incidentelor de securitate. De asemenea, agenția va trebui să răspundă prompt tuturor solicitărilor venite din partea persoanelor vizate.

Cazul readuce în atenție importanța respectării reglementărilor GDPR în activitatea comercială, mai ales atunci când este vorba de campanii publice care implică date ale clienților. Un simplu gest de promovare, făcut fără o minimă evaluare a riscurilor, se poate transforma într-un cost semnificativ pentru orice companie.