S-a atins și culmea GDPR-ului în România: firma unei avocate care este expert în GDPR se numără printre primele trei firme românești care au fost amendate de statul român pentru încălcarea Regulamentului General pentru Protecția Datelor, adică vestitul și temutul GDPR.

În decembrie 2018 cineva a făcut o reclamație iar zilele acestea Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat cu 3.000 de euro site-ul avocatoo.ro, deținut de Ana-Maria și Florin Udriște, prin Legal Company & Tax Hub SRL, pentru că nu ar fi protejat suficient datele personale colectate.

Avocata Ana-Maria Udriște a explicat că site-ul ei a avut o breșă de securitate, în 2018, când a mutat hostingul și a făcut o schimbare de brand.

Ce spune autoritatea care a amendat avocatoo.ro pe GDPR:

În data de 05.07.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul LEGAL COMPANY & TAX HUB SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor). Operatorul LEGAL COMPANY & TAX HUB SRL a fost sancționat contravențional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro. Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019. Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri. Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”). De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: ”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: a) pseudonimizarea şi criptarea datelor cu caracter personal; b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare; c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. (2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”

Ana-Maria Udriște: Nu sunt atât de inteligentă încât să am cunoștinte avansate de programare

Avocata Ana-Maria Udriște, care deține avocatoo.ro, a anunțat într-o postare pe acest site, că cea de-a treia amendă pe GDPR din România „pică pe umerii unui site care scrie despre și furnizează, printre altele și servicii de conformare GDPR. Este vorba despre noi, avocatoo.ro”.

Experta GDPR a explicat cum a ajuns ca firma ei să fie amendată fix pentru încălcarea GDPR:

La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. Am apelat la niște cunoscuți pentru partea de IT, pentru că, deși orice antreprenor se pricepe să facă de toate, nu sunt atât de inteligentă încât să am cunoștinte avansate de programare. Am semnat contractul, am stabilit ce vreau, cum să arate, funcționalități noi, ce păstram din cele vechi etc. Exact cum faci și tu când vrei să achiziționezi niște servicii – găsești un furnizor, te vezi cu el, stabilești detaliile și te apuci de treabă. Am muncit, am mutat site-ul, am adus funcționalități noi, toate bune și frumoase, fără niciun fel de probleme la momentul respectiv. Pentru că una din chestiile interesante este că nu vezi întotdeauna greșelile la momentul la care se fac, pentru că nu ai de unde să știi. Ne-am uitat să fie totul în regulă, am făcut testele obișnuite de securitate, mergea totul ok.

De ce spun asta? Conform GDPR, în calitate de operator de date cu caracter personal, ai obligația principală de a implementa măsuri de securitate menite să protejeze datele cu caracter personal ale persoanelor cu care intri în contact (în cazul nostru, clienții care achiziționau produse și servicii prin intermediul site-ului). (...) Pentru o breșă de securitate, avocatoo.ro, în calitate de operator de date cu caracter personal, a primit o amendă din partea ANSPDCP în cuantum de 3.000 euro pentru nerespectarea obligațiilor de securitate conform GDPR. Aparent, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B (business-to-business, nu persoane fizice) a putut fi accesat pe bază de link direct (adică doar dacă știai în mod expres unde să cauți).

Citește pe avocatoo.ro lecția învățată de Ana Maria Udriște...

Celelalte două amenzi date în România pentru încălcarea GDPR au fost la banca Unicredit și la hotelul World Trade Center din București.

Regulamentul general pentru protecția datelor personale (GDPR) a intrat în vigpare din 25 mai 2018 în statele Uniunii Europene, inclusiv România.

Toate firmele, organizaţiile şi autorităţile sunt nevoite să respecte noile obligaţii, altfel riscă amezi foarte mari şi procese cu clienţii sau angajaţii. Iată cele mai importante lucruri pe care trebuie să le ştii despre acest regulament.

Prin date personale, regulamentul se referă la:

numele unei persoane fizice,

numerele de identificare,

date despre localizare,

orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

Orice operator de astfel de date trebuie:

Să se asigure că datele colectate au un scop clar și nu sunt folosite în alt scop, arată o analiză GpeC.

În cazul unui grup care deţine mai multe firme sau al unui unei firme care deține mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectării a fost diferit.

Să resctricționeze accesul la datele clienților doar angajaților care au nevoie de acele date pentru a-și îndeplini sarcinile de serviciu;

Să dețină un registru al evidențelor în care să țină cont de activitățile de prelucrare a datelor deoarece activitatea acestora nu este ocazională.

Să se asigure că terții cu care lucrează sunt în UE, Spațiul Economic European, sau în alte state cu regim adecvat și că asigură securitatea datelor; prin terți se înțelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colectează date personale, inclusiv Facebook Pixel;

Să informeze clienții, în pagina de check-out, cu privire la folosirea datelor pe care le aceștia le oferă (datele de facturare și livrare) întrucât informarea clienților cu privire la datele colectate este obligatorie din momentul colectării datelor;

Să șteargă datele la cererea clientului, daca cererea are un temei legal, indiferent dacă acest lucru se face prin suprascriere sau ștergere definitivă, atât timp cât procesul este ireversibil;

Să aibă acordul cu privire la procesarea datelor cu caracter personal al angajaţilor firmei.

Citește și: