Acasă » ȘTIRI » Firma unei avocate expert în GDPR a fost amendată pentru încălcarea Regulamentului. Este a treia amendă dată de ANSPDCP

Firma unei avocate expert în GDPR a fost amendată pentru încălcarea Regulamentului. Este a treia amendă dată de ANSPDCP

Firma unei avocate care este expert în GDPR este a treia entitate din România, după banca UniCredit și hotelul World Trade Center, amendată pentru încălcarea Regulamentului General pentru Protecția Datelor, mai cunoscut cu prescurtarea din engleză – GDPR.

Potrivit, startupcafe.ro, în decembrie 2018 cineva a făcut o reclamație iar zilele acestea Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat cu 3.000 de euro site-ul avocatoo.ro, deținut de Ana-Maria și Florin Udriște, prin Legal Company & Tax Hub SRL, pentru că nu ar fi protejat suficient datele personale colectate.

Comunicatul Autorității Naționale de Supraveghere:

”În data de 05.07.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul LEGAL COMPANY & TAX HUB SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul LEGAL COMPANY & TAX HUB SRL a fost sancționat contravențional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.

Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”).

De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: ”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

a) pseudonimizarea şi criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”

Explicația avocatei:

Avocata Ana-Maria Udriște din Baroul București a explicat că site-ul ei a avut o breșă de securitate, în 2018, când a mutat hostingul și a făcut un rebranding.

”La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. Am apelat la niște cunoscuți pentru partea de IT, pentru că, deși orice antreprenor se pricepe să facă de toate, nu sunt atât de inteligentă încât să am cunoștinte avansate de programare.

Am semnat contractul, am stabilit ce vreau, cum să arate, funcționalități noi, ce păstram din cele vechi etc. Exact cum faci și tu când vrei să achiziționezi niște servicii – găsești un furnizor, te vezi cu el, stabilești detaliile și te apuci de treabă.

Am muncit, am mutat site-ul, am adus funcționalități noi, toate bune și frumoase, fără niciun fel de probleme la momentul respectiv. Pentru că una din chestiile interesante este că nu vezi întotdeauna greșelile la momentul la care se fac, pentru că nu ai de unde să știi. Ne-am uitat să fie totul în regulă, am făcut testele obișnuite de securitate, mergea totul ok.
De ce spun asta?

Conform GDPR, în calitate de operator de date cu caracter personal, ai obligația principală de a implementa măsuri de securitate menite să protejeze datele cu caracter personal ale persoanelor cu care intri în contact (în cazul nostru, clienții care achiziționau produse și servicii prin intermediul site-ului).

(…) Pentru o breșă de securitate, avocatoo.ro, în calitate de operator de date cu caracter personal, a primit o amendă din partea ANSPDCP în cuantum de 3.000 euro pentru nerespectarea obligațiilor de securitate conform GDPR.

Aparent, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B (business-to-business, nu persoane fizice) a putut fi accesat pe bază de link direct (adică doar dacă știai în mod expres unde să cauți).”, a scris Udriște.

Comments

comentarii

Lasă un răspuns