- 23 August 2023
UiPath, amendă GDPR pentru un data breach care a expus 600.000 de conturi
Departamentul de comunicare al UiPath a revenit către noi cu o declarație privind amenda pe care compania a primit-o de la autoritatea din România care reglemenentează prelucrarea datelor cu caracter personal, precizând faptul că la nivelul companiei s-a luat decizia ca amenda în valoare de 70.000 de euro să fie contestată.
”La 1 decembrie 2020, UiPath a luat la cunoștință un incident care a dus la dezvăluirea neautorizată a unui fișier care conținea informații personale limitate despre utilizatorii UiPath Academy, portalul său de training online. Fișierul includea următoarele detalii: nume, adresă de e-mail, nume de utilizator, numele companiei, țara, și detaliile certificării UiPath.
Între timp, incidentul a fost investigat de autoritățile române prin intermediul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), o autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor cu caracter personal. După o investigație care s-a întins pe o perioadă de aproximativ 2 ani și 6 luni de la data notificării, ANSPDCP a informat UiPath, la 1 august 2023, că aplică o amendă de 70.000 de euro. UiPath a decis să conteste amenda și va aștepta decizia finală care va fi emisă de către instanțele competente”, ne-au transmis reprezentanții UiPath.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, instituția care reglementează domeniul protecției datelor personale la nivel local, a finalizat în luna iulie o investigație la UiPath SRL și a constatat încălcarea prevederilor art. 25 și art. 32 din Regulamentul (UE) 679/2016.
”În cazul de față, având în vedere că sediul central al UIPATH SRL este în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competentă să acționeze în calitate de autoritate principală pentru prelucrarea transfrontalieră efectuată de UiPath SRL în conformitate cu procedura prevăzută la art. 60 din Regulamentul (UE) 679/2016”, se transmite într-un comunicat al autorității.
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor, se mai precizează în comunicat.
În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Uipath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Acest fapt a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.
”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidenţialității datelor cu caracter personal.
Autoritatea Națională de Supraveghere a apreciat că circumstanțele cazului menționat mai sus prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevăzute la articolul 83 aliniatul (2) și (3) din RGDP, în special cele referitoare la:
- natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
- caracterul neglijent al vinovăției operatorului în acest caz;
- măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
- gradul de cooperare cu autoritatea de supraveghere;
- categoriile de date cu caracter personal prelucrate (nume și prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) .
În urma investigației efectuate, Autoritatea Naţională de Supraveghere a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.
Având în vedere faptul că Uipath SRL a efectuat o prelucrare transfrontalieră, s-au aplicat dispozițiile art. 60 din Regulamentul (UE) 679/2016, precum și cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicată, care prevăd aplicarea sancțiunilor/măsurilor corective prin decizie a președintelui ANSPDCP, care are la bază procesul-verbal de constatare şi raportul de control.
Ca atare, Uipath SRL a fost sancționat contravențional cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO”.