[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Securitate IT

România se află pe locul doi în topul amenzilor pentru încălcarea GDPR

Cuantumul primei amenzi pentru încălcarea GDPR plasează România pe locul 2 în Europa Centrală și de Est se arată într-un studiu realizat de compania Deloitte.

Cel mai important moment pentru companiile din ţara noastră, după intrarea în vigoare a GDPR, a fost în 27 iunie, când Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus prima amendă, în cuantum de aproximativ 130.000 de euro, pentru încălcarea regulamentului 2016/679 de către o instituţie bancară, potrivit unui comunicat Deloitte, citat de bursa.ro.

La efectuarea unei plăţi, indiferent dacă aceasta era iniţiată de un titular de cont la banca sancţionată sau de către un terţ utilizator al sistemului de plăţi interbancar, CNP-ul şi adresa plătitorului erau accesibile beneficiarului plăţii prin extrasul de cont sau prin detaliile plăţii oferite de bancă. În urma investigaţiei, ANSPDCP a concluzionat că prelucrarea acestor date încalcă principiul data privacy by design, conform căruia operatorii au obligaţia ca, de la momentul creionării procesului de prelucrare şi până la finalizarea acestuia, să implementeze măsuri tehnice şi organizatorice adecvate în raport cu natura şi riscurile prelucrării, precum şi cu posibilităţile tehnologice şi financiare, pentru a asigura respectarea GDPR, arată comunicatul.

Principiul data privacy by design – implicaţii juridice şi asupra sistemelor IT

Principiul data privacy by design activează ca o umbrelă şi presupune încorporarea celorlalte principii din GDPR sub o singură prevedere – spre exemplu, principiul minimizării datelor. Conformarea cu data privacy by design implică o etapă preliminară de evaluare a riscului prelucrării, prin intermediul căreia operatorii identifică eventuale măsuri de implementat. Mai mult decât atât, pe lângă evaluarea de natură juridică (de exemplu, identificarea datelor prelucrate ca fiind necesare în raport cu scopurile, perioada de retenţie, temeiul utilizat etc.), acest principiu presupune verificarea temeinică a infrastructurii IT (sisteme, aplicaţii etc.), urmată de remodelarea acesteia, în cazul în care se identifică neconformităţi. Astfel, respectarea data privacy by design nu se va putea realiza prin simpla adoptare a unor proceduri şi politici, ci numai prin implementarea şi testarea periodică a bunei funcţionări a modificărilor sistemice ce asigură respectarea procedurilor şi politicilor în materie de protecţie a datelor. Implementarea unui nou proces de business sau a unui nou software în cadrul companiei ar trebui făcută cu sprijinul responsabililor de protecţia datelor, arată sursa precizată.

Cea mai bună metodă de a verifica dacă atât controalele tehnice, cât şi cele non-tehnice funcţionează este de a simula periodic un incident cibernetic ce are ca rezultat accesul neautorizat la date cu caracter personal.

În ceea ce privește proporționalitatea amenzii, este interesant de menționat faptul că încălcarea principiului data privacy by design este încadrată de GDPR la o amendă de maximum 10 milioane de euro sau 2% din cifra de afaceri globală anuală, și nu la pragul superior de 20 de milioane de euro sau 4%, scrie comunic.ro.

În plus, în individualizarea cuantumului amenzii, ANSDPCP a trebuit să aibă în vedere numărul mare de persoane vizate – 337.042 – și alte aspecte, precum categoriile de date implicate, intenția sau caracterul neglijent al faptei operatorului, potențiale acțiuni de diminuare a prejudiciului suferit de persoanele vizate etc.

România, a doua cea mai mare amendă din Europa Centrală și de Est

Raportată la amenzile acordate în Europa Centrală și de Est, sancțiunea impusă de ANSPDCP este a doua cea mai mare după amendă emisă, după cea de 220.000 de euro din Polonia cu privire la cazul Bisnode, care utiliza date cu caracter personal din surse publice fără respectarea obligațiilor de informare a persoanelor vizate. Astfel, în baza unui studiu efectuat de Deloitte Legal în Europa Centrală și de Est, cuantumul acestei prime amenzi situează România în topul amenzilor acordate în acest prim an de aplicare a GDPR. Studiul mai relevă că, în Bulgaria, cea mai mare amendă nu a depășit 27.000 de euro, în Ungaria, 40.000 de euro, iar în Lituania, 61.500 euro.
Industria financiar-bancară a fost printre cele mai vizate de investigațiile ANSPDCP, atât înainte, cât și după intrarea în vigoare a GDPR. Mai mult decât atât, ANSPDCP a comunicat că plângerile și sesizările primite au avut în vedere încălcarea principiilor de prelucrare a datelor personale în sistemul bancar și a regulilor de confidențialitate și securitate a prelucrărilor de date personale.

Din datele oficiale comunicate de ANSPDCP, la finalul lunii mai 2019 se aflau în desfășurare aproximativ 1.000 de investigații și este de așteptat ca entitățile ce vor fi supuse unor sancțiuni și măsuri corective să conteste în instanță aceste decizii.

La scurt timp de la prima amendă, ANSPDCP a anunțat încă două sancțiuni, în valoare de 15.000 și respectiv de 3.000 de euro. Rămâne de văzut dacă valoarea și frecvența acestora va crește, având în vedere apetitul persoanelor vătămate de a formula și acțiuni directe în instanță (acțiuni scutite de plata taxei de timbru), cât timp introducerea unor astfel de acțiuni nu împiedică sesizarea, în paralel, a ANSPDCP și nici nu obligă ANSPDCP la suspendarea sau clasarea plângerilor.

În cazul celei de-a treia amenzi, în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro a vizat firma unei avocate care este expert în GDPR. Avocata Ana-Maria Udriște, care deține avocatoo.ro, a anunțat într-o postare pe acest site, că cea de-a treia amendă pe GDPR din România „pică pe umerii unui site care scrie despre și furnizează, printre altele și servicii de conformare GDPR. Este vorba despre noi, avocatoo.ro“, citează telegrafonline.ro.

Sancţiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată şi accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacţii recepţionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenţă, email, telefon, loc de muncă, detalii tranzacţii efectuate), documente accesibile public, în perioada 10 decembrie 2018-1 februarie 2019, precizează adevarul.ro.

În urma publicării comunicatului de presă, Ana-Maria Udrişte, Fondator Avocatoo & JURIO a declarat pentru dpo-NET.ro, citat de adevarul.ro:

„[…]La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro pe un nou serviciu de hosting şi să demarăm o procedură de rebranding. Am apelat la o firmă terţă de IT, în speranţa că vom obţine rezultate optime. După ce a fost efectuat transferul, am efectuat o serie de teste de securitate de bază şi am fost asiguraţi de faptul că totul este pus la punct din perspectivă tehnică. În ciuda acestui lucru, după cum aveam să aflăm ulterior, în urma investigaţiei ANSPDCP, în momentul în care s-a făcut migraţia de pe un server pe altul, un fişier care conţinea date criptate despre un număr limitat de tranzacţii B2B a putut fi accesat pe bază de link direct, doar dacă se ştia adresa exactă la care putea fi accesat acest fişier. Pentru a asigura clienţii Avocatoo de confidenţialitatea datelor lor merită menţionat faptul că este vorba despre un fişier de tranzacţii vechi, inactiv, care nu a fost accesat de persoane neautorizate. Cerem scuze tuturor celor care ar fi putut fi afectaţi de această vulnerabilitate. Nici furnizorul de servicii şi nici noi, ulterior, nu am identificat un potenţial risc, deşi ar fi trebuit. Au fost luate măsuri suplimentare pentru a asigura securitatea site-ului Avocatoo.ro şi a datelor vizitatorilor, utilizatorilor şi clienţilor noştri. Suntem de părere că legea GDPR este una dintre cele mai importante şi valoroase măsuri aplicate la nivel european în ceea ce priveşte protecţia utilizatorilor de internet şi privim măsura luată de ANSDCP drept o lecţie din care am învăţat lucruri, o lecţie pe care o putem aplica şi atunci când venim în sprijinul partenerilor noştri de business.

Share
Publicat de
C. R.

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019