Hotelurile omului de afaceri George Copos, fostul patron al Rapidului, au primit o amendă GDPR de 8.000 EUR de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în urma unei investigații.
ANSPDCP a demarat o investigație la firma Ana Hotels SRL, controlată de George Copos, „ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal” în temeiul GDPR. Firma deține trei hoteluri în Poiana Brașov, unul în Eforie Nord și două în Capitală: Crowne Plaza Bucharest și Athénée Palace (care a trecut recent la brandul InterContinental).
Autoritatea a descoperit că încălcarea securității prelucrării datelor s-a produs ca urmare a unui „atac informatic de tip ransomware”, în urma căruia au fost divulgate date cu caracter personal prelucrate și stocate prin sistemele informatice ale Ana Hotels SRL, „pentru un număr semnificativ de persoane vizate, angajați ai operatorului”.
Astfel, în urma investigației ce s-a finalizat în luna iulie 2024, ANSPDCP a aplicat firmei Ana Hotels SRL o amendă de 39.763 lei, echivalentul a 8.000 EUR.
Ce mai spune ANSPDCP:
„Ca atare, raportat la criteriile de individualizare a sancțiunilor prevăzute de art. 83 din RGPD, s-a stabilit sancționarea cu amendă pentru încălcarea prevederilor art. 32 alin. (1) lit. b) și d) coroborat cu art. 32 alin. (2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa un plan procedural care să includă un proces de testare, evaluare și apreciere periodică a tuturor sistemelor IT ale operatorului prin care se prelucrează date cu caracter personal, în sensul garantării securității prelucrării, care să cuprindă și jurnalizarea continuă din punct de vedere atât al accesului, cât și a traficului de date asupra serverelor infrastructurii IT a operatorului Ana Hotels SRL pe cel puțin 30 zile calendaristice, inclusiv aplicarea unui proces de backup asupra acesteia pe un interval de timp similar”.
Amintim că sancțiunile Autorității de Protecție a Datelor Personale pot fi contestate în instanțe.