Compania a fost amendată cu suma de 20.226 lei (echivalentul a 4.000 euro), în urma unei breșe de securitate care a condus la divulgarea neautorizată a datelor personale ale mai multor clienți.

Investigația a fost declanșată în baza notificării transmise de Vodafone, în conformitate cu art. 33 din GDPR, referitoare la un incident de securitate a datelor. Pe parcursul verificărilor, ANSPDCP a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea informațiilor cu caracter personal. Aceste măsuri ar fi trebuit să fie aplicate atât în faza de proiectare a prelucrării, cât și pe durata desfășurării acesteia, în conformitate cu articolul 25 alineatele (1) și (2) din Regulament.

Conform concluziilor autorității de supraveghere, deficiențele în sistemele de protecție au permis accesul neautorizat la datele a mai multor persoane vizate, clienți ai Vodafone. Informațiile compromise includ: nume și prenume, cod client, identificator unic al persoanei fizice, cod numeric personal pentru cetățeni străini, seria pașaportului sau documente echivalente, adrese de corespondență și sume de plată aferente facturilor.

În plus față de sancțiunea financiară, ANSPDCP a dispus o măsură corectivă importantă: Vodafone România va trebui să implementeze un mecanism tehnic și procedural care să asigure testarea periodică a eficacității măsurilor de securitate aplicate. Acest mecanism va trebui să fie activ la intervale regulate, în funcție de riscul specific al prelucrărilor efectuate, pentru a preveni incidente similare în viitor.