Sancționarea incidentelor de securitate care privesc datele cu caracter personal ale copiiilor

Prelucrarea datelor cu caracter personal ale copiilor presupune respectarea unor reguli speciale, deoarece, potrivit Considerentului 38 din Regulament, „copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor.”
Respectarea acestor reguli trebuie să se facă indiferent de situație și indiferent de terții către care sunt dezvăluite datele cu caracter personal ale copiilor.
Recent, ANSPDCP a finalizat o investigație la operatorul IKEA ROMÂNIA SA, în urma căreia s-a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4948.80 lei (echivalentul a 1.000 EURO).
Investigația a fost demarată ca urmare a transmiterii de IKEA ROMÂNIA SA către ANSPDCP a unei notificări de încălcare a securității datelor cu caracter personal.
În concret, IKEA ROMÂNIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participanții au încărcat în platforma online dedicată membrilor desenele proprii, împreună cu formularele de participare, care conțineau datele lor cu caracter personal dar și ale părinților/tutorilor legali, inclusiv consimțământul acestora. În vederea votării celui mai bun desen, pe platforma online au fost publicate, din eroare, desenele copiilor, împreună cu datele cu caracter personal cuprinse în formularele de participare.
La data efectuării investigației s-a constatat că incidentul de securitate produs a condus la divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele și vârsta persoanelor fizice minore, numele, prenumele, orașul, țara, e-mailul, numărul de membru IKEA Family și semnătura olografă a părintelui/tutorelui legal), pe platforma online dedicată membrilor IKEA Family din România, accesibilă doar acestora, timp de aproximativ 40 de ore, fiind afectate un număr de 114 persoane fizice (jumătate dintre aceștia fiind minori).
Ca atare, s-a constatat că acest incident a condus la compromiterea confidențialității datelor, cu încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) din RGPD.

Astfel, chiar dacă datele cu caracter personal ale copiilor au fost accesibile terților pentru o perioadă de timp limitată – 40 ore și ele au putut fi accesate doar de către membrii IKEA Family, și nu de către publicul larg, ANSPDCP a înțeles să aplice o amendă operatorului, deoarece acesta nu a luat măsurile necesare pentru a proteja datele cu caracter personal, în special ale copiilor.
Ori de câte ori un operator prelucrează datele cu caracter personal ale copiilor, trebuie să acorde o atenție sporită modului în care realizează prelucrarea și să se asigure că măsurile de securitate sunt eficiente, astfel încât datele acestora să nu fie divulgate către terții neautorizați.