Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat recent o anchetă privind o companie din domeniul veterinar, în urma căreia a constatat o breșă gravă în protejarea datelor personale. Operatorul a fost sancționat cu o amendă de 24.885,50 lei, echivalentul a 5.000 de euro.

Compania vizată activează în domeniul importului și distribuției de medicamente pentru uz veterinar, hrană și accesorii pentru animale de companie, aparatură și consumabile pentru cabinete și clinici veterinare, precum și furaje, aditivi furajeri și produse pentru igienă și biosecuritate în ferme și industria alimentară.

Investigația a fost declanșată după ce firma a raportat o breșă de securitate, în conformitate cu prevederile articolului 33 din Regulamentul general privind protecția datelor (GDPR). Incidentul a fost provocat de un fost angajat care a copiat și divulgat fără autorizație informații din baza de date internă, pe care ulterior le-a publicat pe site-ul noului său angajator.

Conform concluziilor ANSPDCP, datele expuse au inclus nume, adrese de domiciliu, adrese de e-mail, numere de telefon, coduri numerice personale, copii ale actelor de identitate, informații despre salarii, evaluări profesionale, precum și fotografii ale angajaților și clienților. Aceste informații au fost disponibile online pentru o perioadă limitată, dar suficient de îndelungată pentru a constitui o încălcare majoră a legislației în vigoare.

Ancheta a relevat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni accesul neautorizat la datele personale. De asemenea, compania nu a asigurat că angajații sau colaboratorii care au acces la astfel de date le prelucrează doar în limitele autorizate.

Conform articolului 32 din GDPR, operatorii de date trebuie să asigure un nivel adecvat de securitate, care să includă confidențialitatea și integritatea sistemelor de prelucrare. În acest caz, lipsa unui control eficient a dus la divulgarea datelor a unui număr semnificativ de persoane vizate. Amenda aplicată a fost achitată de companie, dar incidentul servește drept avertisment pentru toate firmele care gestionează volume mari de informații personale.