Штраф более 70 000 леев для компании Continental Automotive за нарушение GDPR
Компания Continental была оштрафована на сумму более 70 000 леев за нарушение регламента GDPR, сообщает Национальный орган по надзору за обработкой персональных данных в заявлении, опубликованном на сайте учреждения (www.dataprotection.ro).
Компания Continental Automotive Products стала объектом тщательного расследования со стороны Управления по надзору за персональными данными.
Государственное учреждение обнаружило серьезное нарушение Общего регламента защиты данных (GDPR). Расследование началось с отправленного самим оператором уведомления об инциденте с безопасностью персональных данных.
Штраф на сумму более 70 000 леев для Continental Automotive
Расследование показало, что медицинские данные сотрудников неоднократно передавались внутри компании без адекватных мер безопасности.
Власти наложили два отдельных штрафа и ввели обязательные корректирующие меры.
По итогам проверок надзорный орган установил нарушение ст. 5 пункт. (1) букв. в) и пункт. (2) Регламента (ЕС) 2016/679, который касается принципов обработки данных, включая их минимизацию.
За это нарушение компания Continental Automotive Products SRL была оштрафована на 25 455 леев, что эквивалентно 5 000 евро. При этом нарушения ст. 32 пункт. (1) букв. б) и п. (2) GDPR относительно безопасности обработки данных.
За отсутствие адекватных технических и организационных мер компания получила второй штраф в размере 50 911 леев, что эквивалентно 10 000 евро.
Таким образом, общая стоимость санкций превышает 76 тысяч леев.
В ведомстве подчеркивают, что санкции были применены с учетом серьезности деяния и большого количества затронутых лиц.
Медицинские данные сотрудников передаются внутри компании без достаточной защиты
Согласно информации, содержащейся в форме уведомления, инцидент заключался в неоднократной внутренней рассылке среди сотрудников компании файла Excel, содержащего централизатор.
В документ вошли данные, извлеченные из медицинских справок сотрудников и бывших сотрудников, относящиеся к определенному периоду времени.
Расследование установило, что доступ к делу не был должным образом ограничен. Отсутствие эффективных мер безопасности позволило получить несанкционированный доступ к персональным данным значительного количества людей.
Власти пришли к выводу, что оператор не продемонстрировал адекватный уровень ответственности при обращении с этой конфиденциальной информацией. Кроме того, отсутствовали четкие процедуры мониторинга и контроля, которые позволяли бы быстро выявлять инциденты безопасности.
Помимо штрафов, власти назначили обязательную меру по исправлению положения. Continental Automotive Products SRL должна реализовать полные технические и организационные процедуры для всех процессов, связанных с обработкой персональных данных.
