Autoritatea Națională de Supraveghere a finalizat în data de 14.10.2021 o investigație la operatorul IKEA ROMÂNIA SA, în urma căreia s-a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4948.80 lei (echivalentul a 1.000 EURO).
Investigația a fost demarată ca urmare a transmiterii de IKEA ROMÂNIA SA către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a unei notificări de încălcare a securității datelor cu caracter personal.
Astfel, conform mențiunilor din formularul de notificare, IKEA ROMÂNIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participanții au încărcat în platforma on-line dedicată membrilor desenele proprii, împreună cu formularele de participare, care conțineau date lor cu caracter personal dar și ale părinților/tutorilor legali, inclusiv consimțământul acestora. În vederea votării celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, împreună cu datele cu caracter personal cuprinse în formularele de participare.
La data efectuării investigației s-a constatat că incidentul de securitate produs a condus la divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele și vârsta persoanelor fizice minore, numele, prenumele, orașul, țara, e-mailul, numărul de membru IKEA Family și semnătura olografă a părintelui/tutorelui legal), pe platforma on-line dedicată membrilor IKEA Family din România, accesibilă doar acestora, timp de aproximativ 40 de ore, fiind afectate un număr de 114 persoane fizice (jumătate dintre aceștia fiind minori).
Ca atare, s-a constatat că acest incident a condus la compromiterea confidențialității datelor, cu încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) din RGPD.
În acest context, subliniem faptul că, potrivit considerentului 38 din RGPD ”Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor.”
Sursa A.N.S.P.D.C.P.