La mai bine de un an de la intrarea in vigoare a GDPR, apar tot mai multe nereguli cu privire la prelucrarea datelor cu caracter personal. Pana in prezent, in Romania au fost acordate patru amenzi pentru incalcarea Regulamentului General pentru Protectia Datelor.
A treia amenda din Romania a fost acordata companiei Legal Company & Tax Hub SRL, care ofera consultanta din domeniul GDPR. Conform site-ului Autoritatii Nationale de Supraveghere, compania nu a respectat regulile de securitate a datelor cu caracter personal.
Compania a fost amendata cu 3.000 de euro din cauza unui link public catre un fisier neprotejat suficient care continea si datele cu caracter personal ale clientilor.
Amenda a fost acordata dupa ce a fost facuta o sesizare in decembrie 2018. Site-ul pentru care s-au sesizat nereguli este avocatoo.ro, detinut de Ana-Maria si Florin Udriste, prin Legal Company & Tax Hub SRL.
Avocata Ana-Maria Udriste a explicat ca site-ul ei a avut o bresa de securitate, in 2018, cand a mutat hostingul si a facut o schimbare de brand.
Ce spune autoritatea care a amendat avocatoo.ro
“In data de 05.07.2019 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul LEGAL COMPANY & TAX HUB SRL si a constatat ca acesta a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
Operatorul LEGAL COMPANY & TAX HUB SRL a fost sanctionat contraventional cu amenda in cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.
Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate, in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzactii receptionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenta, email, telefon, loc de munca, detalii tranzactii efectuate), documente accesibile public, in perioada 10 decembrie 2018 – 1 februarie 2019.
Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Subliniem ca, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
De asemenea, Regulamentul General privind Protectia Datelor prevede, in art. 32 ca: ”(1) Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
a) pseudonimizarea si criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
(2) La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.”
Ce a declarat avocata dupa ce a primit amenda
Avocata Ana-Maria Udriste, care detine avocatoo.ro, a anuntat intr-o postare publica care au fost urmarile acestei amenzi si ce a invatat din aceasta experienta.
“La un moment dat, in decursul anului trecut, am decis sa mutam site-ul avocatoo.ro de pe hostingul unde era in alta parte si sa facem un fel de mini-rebranding. Am apelat la niste cunoscuti pentru partea de IT, pentru ca, desi orice antreprenor se pricepe sa faca de toate, nu sunt atat de inteligenta incat sa am cunostinte avansate de programare.
Am semnat contractul, am stabilit ce vreau, cum sa arate, functionalitati noi, ce pastram din cele vechi etc. Exact cum faci si tu cand vrei sa achizitionezi niste servicii – gasesti un furnizor, te vezi cu el, stabilesti detaliile si te apuci de treaba.
Am muncit, am mutat site-ul, am adus functionalitati noi, toate bune si frumoase, fara niciun fel de probleme la momentul respectiv. Pentru ca una din chestiile interesante este ca nu vezi intotdeauna greselile la momentul la care se fac, pentru ca nu ai de unde sa stii. Ne-am uitat sa fie totul in regula, am facut testele obisnuite de securitate, mergea totul ok.
De ce spun asta?
Conform GDPR, in calitate de operator de date cu caracter personal, ai obligatia principala de a implementa masuri de securitate menite sa protejeze datele cu caracter personal ale persoanelor cu care intri in contact (in cazul nostru, clientii care achizitionau produse si servicii prin intermediul site-ului).
(...) Pentru o bresa de securitate, avocatoo.ro, in calitate de operator de date cu caracter personal, a primit o amenda din partea ANSPDCP in cuantum de 3.000 euro pentru nerespectarea obligatiilor de securitate conform GDPR.
Aparent, in momentul in care s-a facut migratia de pe un server pe altul, un fisier care continea date criptate despre un numar limitat de tranzactii B2B (business-to-business, nu persoane fizice) a putut fi accesat pe baza de link direct (adica doar daca stiai in mod expres unde sa cauti).”
Mai multe despre experienta avocatei cu privire la amenda GDPR poti citi pe site-ul avocatoo.ro, in postarea publica.
Cateva informatii despre GDPR
Ce este GDPR
GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).
GDPR a fost publicat in Jurnalul Oficial al Uniunii Europene L119/4 mai 2016, a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene.
GDPR contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.
Cine este obligat sa implementeze GDPR
GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE.
In cele din urma, inseamna ca aproape fiecare corporatie majora din lume va trebui sa fie pregatita la intrarea in vigoare a GDPR. Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.
La ce se refera regulamentul GDPR
Toate firmele, organizatiile si autoritatile sunt nevoite sa respecte noile obligatii, altfel risca amezi foarte mari si procese cu clientii sau angajatii. Iata cele mai importante lucruri pe care trebuie sa le stii despre acest regulament.
Prin date personale, regulamentul se refera la:
♦ Numele unei persoane fizice.
♦ Numerele de identificare.
♦ Date despre localizare.
♦ Orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.
♦ Orice operator de astfel de date trebuie:
♦ Sa se asigure ca datele colectate au un scop clar si nu sunt folosite in alt scop, arata o analiza GpeC.
♦ In cazul unui grup care detine mai multe firme sau al unui unei firme care detine mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectarii a fost diferit.
♦ Sa resctrictioneze accesul la datele clientilor doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu;
♦ Sa detina un registru al evidentelor in care sa tina cont de activitatile de prelucrare a datelor deoarece activitatea acestora nu este ocazionala.
♦ Sa se asigure ca tertii cu care lucreaza sunt in UE, Spatiul Economic European, sau in alte state cu regim adecvat si ca asigura securitatea datelor; prin terti se intelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colecteaza date personale, inclusiv Facebook Pixel;
♦ Sa informeze clientii, in pagina de check-out, cu privire la folosirea datelor pe care le acestia le ofera (datele de facturare si livrare) intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor;
♦ Sa stearga datele la cererea clientului, daca cererea are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil;
♦ Sa aiba acordul cu privire la procesarea datelor cu caracter personal al angajatilor firmei.
Sanctiuni
Nerespectarea prevederilor GDPR poate avea drept rezultat o amenda de la 10 milioane de euro la 20 de milioane de euro, respectiv intre 2% si 4% din cifra de afaceri anuala globala a companiei vizate.
Amenzile vor depinde de severitatea incalcarii regulamentului si daca se considera ca firma a luat in serios masurile necesare pentru a asigura securitatea datelor.
Amenda maxima de 20 de milioane de euro sau 4% din cifra de afaceri anuala globala a companiei se va acorda la incalcarea drepturilor persoanelor vizate, transferul neautorizat international de date cu caracter personal si neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale.
Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuala globala vor fi aplicate companiilor care folosesc datele cu caracter personal in alte moduri. Acestea includ nesemnalizarea cazurilor de incalcare a securitatii datelor si neasigurarea confidentialitatii si a protectiei datelor in prima etapa a proiectului.
Te-ar putea interesa si: Un hotel din Bucuresti, amendat pentru incalcarea GDPR!
