A treia amendă GDPR în România. Contextul în care a fost dată

Vineri seara, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a dat publicității faptul că a acordat cea de-a treia amendă la nivel național pentru nerespectarea prevederilor regulamentului GDPR.

”În data de 05.07.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul LEGAL COMPANY & TAX HUB SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)”, se spune în comunicat.

Autoritatea a sancționat compania cu o amendă în valoare de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Amenda a fost dată platformei avocatoo.ro, un site care scrie despre și furnizează, printre alte servicii de consultanță juridică, servicii de GDPR.

Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Breșă de securitate

Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.

Ana-Maria Udriște, avocat și specialist GDPR, precum și fondatorul Avocatoo, a venit cu o serie de precizări privind contextul în care a fost primită această sancțiune.

”La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. [] Ne-am uitat să fie totul în regulă, am făcut testele obișnuite de securitate, mergea totul ok. Conform GDPR, în calitate de operator de date cu caracter personal, ai obligația principală de a implementa măsuri de securitate menite să protejeze datele cu caracter personal ale persoanelor cu care intri în contact (în cazul nostru, clienții care achiziționau produse și servicii prin intermediul site-ului)”, scrie Ana-Maria.

Însă, câteva luni mai târziu, site-ul a fost victima unei breșe de securitate, pentru câteva minute, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B, putând fi accesat pe bază de link direct.

Astfel, în calitate de operator de date cu caracter personal, pentru această breșă care a expus date cu caracter personal, firma din spatele platformei Avocatoo a primit o amendă din partea ANSPDCP în cuantum de 3.000 euro pentru nerespectarea obligațiilor de securitate conform GDPR.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri. 

”Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”)”, se precizează în comunicatul autorității.

De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că:

”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

a) pseudonimizarea şi criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”

Ce ar trebui să faci și tu în calitate de operator când prelucrezi datele cu caracter personal?
  • să îți faci periodic un semi-audit al datelor personale și al stadiului în care acestea se află, mai ales când vrei să schimbi/modifici ceva (cum ar fi să adaugi servicii noi sau să le modifici pe cele existente).
  • să te asiguri că persoanele cu care decizi să colaborezi au la rândul lor certificările necesare și implementate măsurile de securitate, chiar dacă îți sunt prieteni sau cunoscuți (inclusiv prin audituri, solicitare de rapoarte, furnizarea accesului la loguri, anexe de confidențialitate etc.).
  • în contractele cu furnizorii/prestatorii de servicii să introduci clauze de atragere a răspunderii în cazul în care primești o amendă (așa-numitele ”clauze de regres”) și care-ți permit să soliciți în fața unei instanțe judecătorești cuantumul amenzii drept despăgubire pentru neîndeplinirea sau îndeplinirea necorespunzătoare a obligațiilor.
  • să te asiguri periodic că ai măsuri de securitate și că toate plug-in-urile, software-urile terțe pe care le folosești sunt și ele securizate și aduse la zi. Chiar dacă nu se întâmplă nimic despre care să știi, e bine să faci din când în când o verificare.

Poți citi, pe larg, o postare a Anei-Maria Udriște în care vorbește despre ”ce înveți după o amendă pe GDPR” accesând acest link. Totodată, Ana-Maria lansează un apel către specialiștii GDPR de la noi pentru o colaborare în realizarea unui ghid gratuit cu recomandări util antreprenorilor și managerilor, pentru ca aceștia să poată să se conformeze cerințelor regulamentului GDPR.



Citeste si