Oana Coșman
De data aceasta este vorba despre British Aiways, iar amenda ar fi una consistentă: circa 204 milioane de euro, fiind chiar mai mare decât cea în valoare de 50 milioane de euro primită de Google, sau de cea în valoare de aproape 560.000 de euro primită de Facebook în urma scandalului Cambridge Analytica.
Cei de la British Airways așteaptă decizia organelor competente în ceea ce privește încălcarea prevederilor GDPR în urmă cu un an. În acel moment, site-ul companiei aeriene a fost spart de hackeri, fiind expuse datele a aproximativ 380.000 de tranzacții (s-au aflat date precum nume, adrese de mail, numărul și codul CVV de pe carduri, data de expirare a acestora).
În ceea ce privește amenda primită la nivel local de Unicredit Bank pentru nerespectarea prevederilor regulamentului european de protecție a datelor cu caracter personal, consultantul GDPR Tudor Galoș face o serie de precizări pe pagina sa de Facebook:
- Aud deseori expresia "noi avem GDPR". Minunat - ai testat cum funcționează politicile și procedurile? Știi ce să faci când primești o cerere de acces la date? Știi ce să faci în caz de data breach? Când ai programată următoarea revizie a modului în care sunt prelucrate datele cu caracter personal? GDPR înseamnă risk-based approach. Riscurile se schimbă deci monitorizarea conformității trebuie să fie continuă.
- Prelucrarea CNP-ului se face în exces de către 99% din firmele din România. Marea majoritate a prelucrărilor de CNP (care nu sunt cerute de către diverse legi) pot fi înlocuite cu alte acțiuni similare dar cu risc scăzut pentru persoanele vizate.
- Nu apare niciunde nimic despre consimțământ. Aviz amatorilor care credeau că totul în #GDPR este despre consimțământ.
- Contează practica. Cum prelucrezi datele cu caracter personal. Respecți privacy by design și by default? Ai luat măsurile tehnice și organizaționale necesare pentru a demonstra asta? Unicredit expunea CNP-ul plătitorului către beneficiar, prelucrare ce nu respecta principiul minimizării datelor, nu respecta privacy by design și by default, crea riscuri mari (și inutile) pentru persoanele vizate.
- Nu contează că ai politici și proceduri clare care să respecte principiile GDPR dacă nu le aplici. Sunt sigur că undeva în politicile Unicredit problematica limitării expunerii CNP era adresată. Doar că nu era implementată în soluția de banking sau era programată.
- Dacă ai făcut implementarea GDPR doar ca să nu iei amendă ai făcut-o degeaba. Abia când înțelegi că faci o astfel de implementare doar pentru a-ți proteja clienții, angajații, partenerii și pentru a le arăta respectul și siguranța datelor lor cu caracter personal, cât și pentru a demonstra seriozitate în piață, abia atunci ai o implementare de succes.
