În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au fost luate măsuri de securitate adecvate în privința prelucrării datelor cu caracter personal.
- La sfarșitul anului 2019, ANSPDCP aplica o modestă amendă de 2000 Euro după ce a constatat încălcarea principiului prelucrării datelor cu caracter personal prevăzut la art. 5 alin. (1) lit. d) din GDPR (exactitatea datelor) și securitatea datelor cu caracter personal, respectiv art. 32 alin. (1) lit. b) și art. 32 alin. (2). Cu alte cuvinte, pe lângă faptul că Telekom nu a luat toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte sunt șterse sau rectificate fără întârziere, autoritatea a constatat și faptul că operatorul de telecomunicații „nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor cu caracter personal, fapt care a condus la dezvăluirea datelor cu caracter personal ale unui client al operatorului prin expedierea pe adresa petentului a unor facturi emise pe numele clientului respectiv.”
- Filiala din Slovacia a companiei Telekom a primit, tot în 2019, o amendă de 40,000 euro din partea Autorității de Supraveghere, tot pentru încălcarea art. 32.
- Mai mult, din raportul de activitate a Autorității de Supraveghere din România pentru anul 2018, am aflat că Telekom a primit ca măsură obligația de a răspunde unei cereri de stergere precum și un avertisment prentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004, deoarece operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, ceea ce a condus la transmiterea eronată a unor e-mail-uri conținând link-urile aferente facturilor unor clienți, către alți clienți decât titularii facturilor, precum și la accesarea și divulgarea ilicită a unor date cu caracter personal ale clienților.
În data de 11 iunie 2020 ANSPDCP a anunțat finalizarea unei noi investigații, constatând încălcarea tot a dispozițiilor art. 32 din Regulamentul General privind Protecția Datelor și a decis aplicarea unei amenzi în cuantum de 14524.2 lei, echivalentul a 3.000 EURO.
Investigația a fost demarată în urma primirii unor plângeri prin care petentul a reclamat utilizarea frauduloasă a datelor sale personale la încheierea unor contracte pe numele său de către Telekom Romania Communications SA. În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a implementat suficiente măsuri de securitate care să includă verificarea exactității datelor personale colectate telefonic (la distanță) în scopul încheierii contractelor.
Acest fapt a condus la o prelucrare ilegală a datelor petentului prin încheierea unor contracte de abonament pe numele său, folosind datele personale din contractul preexistent, fără verificarea corectitudinii acestora, contrar obligațiilor prevăzute de art. 32 din RGPD. În acest sens, art. 32 prevede, printre altele, la alin. (1) lit. b) și obligația operatorului de a implementa măsuri tehnice şi organizatorice adecvate, incluzând capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare.
De asemenea, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor proceduri eficiente de identificare a persoanelor, care să prevină prelucrarea ilegală a datelor personale și dezvăluirea lor neautorizată, atât de către angajații/colaboratorii Telekom Romania Communications SA, cât și de către persoanele împuternicite și angajații/colaboratorii acestora, precum și instruirea regulată a acestora și verificarea periodică a respectării instrucțiunilor date, raportat la art. 58 alin. (2) lit. d) din RGPD.