Aici descoperim
dreptul tehnologiei

Un-rinichi-sau-datele-personale-ale-altcuiva_.png

Instanța: Judecătoria Sectorului 2 București

Nr. Hotărârii: 7764/2019

Sursa: rolii.ro

Situația de fapt. Ce s-a întâmplat pe scurt?

Reclamantul (îl vom numi Andrei ca să ne fie mai ușor) a dat în judecată Vodafone România pentru că o alta persoană (necunoscută în prezentul dosar) i-a folosit datele de identificare pentru a face un abonament RED 25 Plus în numele acestuia pentru a intra în posesia unui Iphone X nou-nouț.

Andrei a aflat de această situație atunci când a primit factura pe e-mail, factură pe care a și plătit-o pentru a nu i se întrerupe serviciile de telefonie mobilă.

Ulterior, reclamantul a dat în judecată Vodafone România solicitând, printre altele, daune morale pe tărâmul răspunderii civile delictuale pentru fapta salariaților Vodafone de a nu proceda la identificarea persoanei care a făcut abonamentul în numele lui.

S-a menționat, totodată, că în cauza de față sunt îndeplinite condițiile angajării răspunderii civile delictuale, după cum urmează:

a) fapta ilicită – prin care a fost încălcat un drept și a fost cauzat un prejudiciu – alocarea unui nou abonament voce și achiziționarea unui telefon mobil marca Apple Iphone X, de către o terță persoană, cu utilizarea datelor personale ale reclamantului și implicit emiterea unei facturi semnificative pe numele subsemnatului.

b) săvârșirea cu vinovăție, constând în intenția, neglijența sau imprudența celui care a acționat – terțul a achiziționat un telefon cu o valoare de piață semnificativă, fără a-i fi verificată identitatea de către salariatul pârâtei și fără a încheia și semna un contract. Angajatul societății pârâte avea obligația să legitimeze și să identifice persoana respectivă.

c) existența unui prejudiciu – rezultatul dăunător de natură patrimonială, nepatrimonială, ca efect al încălcării drepturilor și interesului legitim – a achitat o factură cu o valoare enormă față de valoarea lunară a abonamentului, determinând o diminuare a patrimoniului subsemnatului. De asemenea, a fost necesar să aloce un timp mai mult decât rezonabil soluționării acestei situații, prin învoirea de la serviciu și prin deplasare personală din Călărași până la sediul pârâtei, întrucât aceasta nu a dat curs sesizărilor transmise în format electronic.

 

Te-ar putea interesa și:

 

d) raportul de cauzalitate între prejudiciu și fapta ilicită – s-a produs un prejudiciu moral, nefiind respectată confidențialitatea ce trebuia păstrată cu privire la datele cu caracter personal, fiind distrusă încrederea în serviciile prestate de societatea pârâtă. Stresul și pierderea de timp au avut efecte negative, iar după după ce a fost sesizată, societatea pârâtă nu a dat dovadă că înțeles consecințele produse prin fapta sa, în vederea evitării apariției în viitor a unor situații similare.

Potrivit reclamantului, conform art. 5 din GDPR, datele cu caracter personal trebuie să fie prelucrate într-un mod care să asigure securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri sau deteriorări, utilizând corespunzător măsuri tehnice sau organizatorice corespunzătoare.

De asemenea, dispozițiile art. 32 din Regulament stabilesc clar obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică.

Persoana fizică identificată sau identificabilă, definită „persoană vizată” în sensul GDPR (art. 4 pct. 1), adică persoană vizată de prelucrarea datelor sale cu caracter personal de către un operator de date cu caracter personal, poate pretinde de la operatorul care nu respectă prevederile GDPR daune materiale sau morale. Astfel, potrivit art. 79 alin. 1 din GDPR “fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament”.

Conform art. 82 alin. 1 din GDPR, orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a Regulamentului, are dreptul să obțină despăgubiri de la operator și, corelativ, orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă regulamentul (art. 82 alin. 2 din GDPR). Exonerarea de răspundere este posibilă doar dacă operatorul dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul (art. 82 alin. 3 din GDPR), ceea ce înseamnă că răspunderea este angajată și în caz de culpă.

Potrivit art. 33 alin. 1 din GDPR “în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

 

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

Ce a decis instanța?

Instanța a „dat dreptate” reclamantului și a hotărât angajarea răspunderii Vodafone România pentru fapta angajaților săi de a nu proceda la verificarea identității persoanei care a făcut abonamentul în numele reclamantului prin plata unor daune morale de 2000 de lei. 

„La stabilirea faptei ilicite, instanța are în vedere și aplicabilitatea dispozițiilor Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare, „Regulament”) ,raportat la data intrării în vigoare a acestui act normativ – 25.05.2018, și data încheierii contractului – 26.06.2018, dispoziții pe care în mod corect reclamantul și-a întemeiat acțiunea.

Astfel, conform art. 4 pct. 1, 2 și 7 din Regulament, pârâta deține calitatea de operator , iar informațiile reclamantului, a căror accesare a fost permisă de pârâta – CNP, adresă de domiciliu, telefon, cetățenie, reprezintă fără îndoială date cu caracter personal, operațiunea de utilizare și accesare a acestora reprezentând „prelucrare”, în sensul Regulamentului. Conform art. 5 alin. 1 lit. a) și f) din Regulament, datele cu caracter personal se impun a fi prelucrate în mod legal, echitabil și transparent față de persoana vizată, iar operațiunea de prelucrare trebuie realizată într-un mod care asigură securitatea adecvată acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”) . Cu privire la legalitatea prelucrării, trebuie subliniat că în speță nu au fost respectate dispozițiile art. 6 alin. 1 din Regulament, accesarea datelor personale ale reclamantului fiind realizată fără consimțământul persoanei vizate și fără un temei legal în dreptul intern . Totodată, în cauză nu sunt incidente nici dispozițiile de excepție ale art. 6 alin. 4, care permit prelucrarea fără consimțământ, sarcina probei acestor cazuri revenind pârâtei și nefiind complinită.

 

 

Răspunderea operatorului pentru prelucrarea datelor cu caracter personal cu nesocotirea principiilor sus-expuse intervine în temeiul art. 5 alin. 2, raportat la art. 24 din Regulament, care stabilesc în sarcina acestuia obligația de a pune în aplicare o politică adecvată de protecție a datelor cu caracter personal și de a implementa măsuri tehnice și administrative eficiente pentru a atinge acest rezultat . Or, prin modalitatea în care pârâta a acționat – fără a putea dovedi că reclamantul a semnat contractul de abonament, fără a proba parcurgerea unei eventuale operațiuni de legitimare a persoanei care a încheiat contractul și fără a prezenta un mandat (în cazul încheierii acestuia de către un terț), s-au nesocotit flagrant dispozițiile legale privind prelucrarea datelor cu caracter personal, sus-citate.

c) Cu privire la cea de-a treia condiție, și aceasta este îndeplinită, din moment ce, la data săvârșirii faptei ilicite, presupusul se afla în exercitarea atribuțiilor conf erite de către angajatorul său, aspect necontestat.

d) În ceea ce privește raportul de cauzalitate dintre faptă și prejudiciu , se reține că în cauză legătura de cauzalitate este directă, lanțul cauzal nefiind întrerupt : urmare a acțiunii prepusului pârâtei, a fost posibilă încheierea pe numele reclamantului a unui contract de către o persoană rămasă neidentificată.

e ) Referitor la prejudiciul cauzat , instanța reține, cu titlu preliminar, că, raportat atât la conținutul acțiunii introductive, cât și la precizările incluse în răspunsul la întâmpinare, prin prezenta acțiune se solicită exclusiv repararea prejudiciului moral.

KIT GDPR Premium

 

La modul general, î n ceea ce privește condițiile reparării prejudiciului, se reține că dreptul de a cere obligarea autorului faptei ilicite la reparare se naște dacă sunt îndeplinite cumulativ două condiții, respectiv ca prejudiciul să fie cert și să nu fi fost reparat încă. Referitor la caracterul cert al prejudiciului, se reține că prejudiciul este cert atunci când este sigur, atât sub aspectul existenței, cât si al întind erii sale. Este considerat cert prejudiciul actual, precum și prejudiciul viitor , în măsura în care sunt sigure atât apariția acestui prejudiciu, cât și posibilitatea de a fi determinat .

Sub aspectul evaluării prejudiciului , instanța are în vedere faptul că daunele morale nu pot fi probate, ci cuantumul acestora trebuie să fie echitabil, de natură a oferi o compensație rezonabilă, prin raportare la consecințele negative concrete suferite de reclamant pe plan psihic, gravitatea vătămării, importanța valorilor lezate, măsura în care au fost lezate aceste valori, intensitatea cu care au fost percepute consecințele vătămării. Nu în ultimul rând, trebuie subliniat faptul că se prezumă existența unui prejudiciu moral din simpla accesare a datelor cu caracter personal de către o terță persoană (neidentificată), devenită posibilă prin concursul pârâtei.

Totodată , instanța are în vedere și principiul potrivit căruia antrenarea răspunderii civile delictuale nu trebuie să reprezinte o îmbogățire fără justă cauză a reclamantului. Or , instanța apreciază suma de xxxxx euro solicitată cu titlu de daune morale ca fiind vădit disproporționată și neavând un caracter de reparație a unui prejudiciu suferit, ci, mai degrabă, de îmbogățire fără just temei a reclamantului .

Pentru a reține astfel, se are în vedere vătămarea concretă adusă reclamantului , constând în starea de stres cauzată acestuia prin emiterea unei facturi care includea în sarcina sa costuri pe care nu le-a contractat, de o valoare medie , precum și faptul că durata de soluționare a sesizării reclamantului a fost de o lună, aspect necontestat de pârâtă. Totodată, se are în vedere și faptul că aspectele semnalate de reclamant au ocazionat în sarcina acestuia deplasări din localitatea rurală de domiciliu a acestuia la sediul pârâte i , ca urmare a refuzului pârâtei de a da curs sesizărilor electronice formulate , aspect, de asemenea, necontestat.

Nu în ultimul rând, se are în vedere și atitudinea pârâtei, care a încercat a minimiza prejudiciul produs prin ajustarea soldului facturilor și a remediat situația semnalată anterior sesizării instanței.

Pe cale de consecință, pentru a asigura un echilibru just între dimensiunea punitivă si cea reparatorie a daunelor morale, dar și a evita crearea premiselor pentru o eventuală îmbogățire fără justă cauză a reclamantului , neputându-se corecta consecințele unei fapte ilicite printr-un alt abuz, instanța urmează a admite în parte cererea formulată, în limita sumei de 2000 lei cu titlu de daune morale , pe care instanța o apreciază ca fiind su ficientă și rezonabilă ȋn cauză.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat astfel:

  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (5) lit. a) din RGPD – amendă în cuantum de 14336,1 lei, echivalentul a 3000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amendă în cuantum de 47787 lei, echivalentul a 10.000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amendă în cuantum de 4778,7 lei, echivalentul a 1000 euro.

Te-ar putea interesa și:

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane.

Deși respectiva eroare a fost sesizată atât operatorului, cât și call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail.

În urma investigației s-a constatat că Hora Credit IFN SA a prelucrat datele fără să dovedească aplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD.

De asemenea, s-a constatat că operatorul nu a luat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să evite dezvăluirea neautorizată și accesibilă a datelor persoale către terți.

Totodată, Hora Credit IFN SA nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 din RGPD, în termen de 72 de ore de la data la care a luat cunoștință de acesta.

 

 

În același timp, oeratorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale în scopul încheierii și executării contractelor de împrumut, în special, sub aspectul verificării datelor personale colectate, precum adresa de poștă electronică, ce permit comunicarea la distanță a datelor personale, prin implementarea unor metode eficiente de validare a exactității datelor – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță (de exemplu, prin poșta electronică), prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (precum criptarea), cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din RGPD – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



metal-security-lock-with-password-computer-keyboard_35355-5620.jpg

Atunci când permitem unei persoane accesul la un sistem informatic (cel personal) prin intermediul anumitor sisteme, trebuie să avem în vedere și faptul că informațiile accesate pot să fie stocate și utilizate cu încălcarea prevederilor legale. Informațiile obținute printr-o asemenea procedură intră în sfera ilicitului, în mod special atunci când vizează modificări semnificative și urmăresc limitarea accesului persoanei la propriu sistem informatic. O atare situație este reflectată la nivel jurisprudențial național, purtând denumirea de acces fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate. În această situație, atunci când instanțele de judecată constată săvârșirea infracțiunii de accesare fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate, dispun măsurile necesare pentru sancționare și pentru reparare a prejudiciului produs.

Ce presupune accesul fără drept la un sistem informatic?

În legislația națională, accesul fără drept la un sistem informatic constituie infracțiune. Această infracțiune se pedepsește, conform Codului penal român, cu închisoarea de la 3 luni la 3 ani sau cu amendă. Conform art. 360, alin. (2) din Codul penal, atunci când accesul fără drept la un sistem informatic se realizează în scopul obținerii datelor informatice ale persoanelor, pedeapsa închisorii crește considerabil, de la 6 luni la 5 ani. Pentru săvârșirea faptei cu privire la un sistem informatic la care accesul este fie interzis, fie restricționat anumitor categorii de utilizatori, pedeapsa aplicabilă este închisoarea de la 2 la 7 ani.

 

 

Jurisprudență națională: accesul la un sistem informatic prin Team Viewer

În materie penală, vom avea în vedere Sentința nr. 1794/2013 pronunțată de Judecătoria Focșani în dosarul nr. 6981/231/213, ce face referire la accesul la un sistem informatic prin intermediul aplicației Team Viewer. Pornind de la situația de fapt, aflăm că în data de 29.01.2013 partea vătămată a oferit acces la distanță, prin intermediul calculatorului personal (instalat la domiciliul său, conectat la Internet prin aplicația Team Viewer) unei alte persoane neidentificate. Pe această din urmă persoană o cunoștea prin intermediul rețelelor de profil de pe Internet.

Persoana neidentificată și-a oferit ajutorul pentru instalarea de la distanță a unor aplicații în sistemul informatic al persoanei vătămate, prin intermediul Team Viewer. Persoana avea astfel acordul persoanei vătămate pentru instalarea aplicației Team Viewer, în scopul dezvoltării de la distanță a unor operațiuni de joc pe un anumit site (a se vedea în acest sens platforma legeaz.net). În această situație, în sistemul informatic al persoanei vătămate a fost instalată și o altă aplicație informatică cu rolul înregistrării datelor introduse de la tastatură și transmiterii lor către o destinație stabilită. Mai mult, persoana care s-a ocupat de instalare a modificat anumite setări dintr-un browser pentru facilitarea transmiterii datelor informatice către un server extern. După instalare, persoana vătămată nu a mai putut accesa contul personal de pe un anumit site, parola sa fiind schimbată. Totodată, aceasta a observat că anumite e-mail-uri primite pe o adresă electronică au fost șterse, în mod inexplicabil.

În urma efectuării de percheziții la domiciliul persoanei care efectuase instalarea, s-a identificat un sistem informatic de tip desktop, alături de 30 de medii de stocare a datelor informatice, dar și aplicația Team Viewer, împreună cu aplicația instalată în sistemul informatic al persoanei vătămate. În plus, s-au găsit fișiere ce conțineau date privind conturi și parole, metode de trecere a măsurilor de siguranță ale mai multor persoane.

Cu privire la efectuarea perchezițiilor asupra inculpatului, Codul de procedură penală al României prevede o modalitate specială de efectuare a acestora asupra sistemului informatic, denumită percheziția informatică. Conform art. 168 din Codul de procedură penală, percheziția în sistem informatic sau a unui suport de stocare a datelor informatice presupune:

  • Un procedeu de cercetare, descoperire, identificare, strângere a probelor care sunt stocate într-un sistem informatic sau care sunt stocate într-un suport de stocare a datelor informatice;
  • Un procedeu realizat prin mijloace tehnice și proceduri adecvate;
  • Un procedeu de natură să asigure integritatea informațiilor conținute.

Măsura se dispune în cursul urmăririi penale de către judecătorul de drepturi și libertăți.

Ca urmare a efectuării perchezițiilor și a descoperirii faptului că inculpatul deținea informațiile din sistemul informatic al persoanei vătămate, instanța a dispus aplicarea pedepsei cu închisoarea pentru săvârșirea infracțiunii de accesare fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate (a se vedea în acest sens platforma legeaz.net). Pedeapsa aplicată a fost suspendată condiționat pe durata unui termen de încercare de 3 ani și 4 luni. De asemenea, au fost confiscate sistemele de stocare a datelor.

La ce trebuie să fim atenți atunci când acordăm acces unei persoane la sistemul informatic propriu?

Deși relațiile interumane trebuie să fie guvernate de principiul bunei-credințe, în sfera online acest principiu își pierde sensul. Practic, a acorda acces la propriul sistem informatic unei persoane a cărei identitate este necunoscută este considerat fie un act de curaj, fie un act de inconștiență. Atunci când acordăm acces unei persoane la sistemul informatic propriu, trebuie să ținem cont de:

  • Posibilitatea de identificare a persoanei care are acces direct la propriul sistem informatic;
  • Evitarea pe cât posibil a utilizării aplicațiilor care conferă acces nelimitat la propriul sistem informatic;
  • Păstrarea caracterului confidențial al datelor personale precum: adrese de e-mail, parole de acces, date de contact;
  • Apelarea la specialiști în domeniu, în situații care conferă acces nelimitat la propriul sistem informatic;

Concluzionând, în urma situațiilor expuse (inclusiv de la nivel jurisprudențial), persoanele trebuie să acorde atenție sporită oricărui tip de acces la propriul sistem informatic.

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Până în prezent în România au fost date patru amenzi pentru nerespectarea GDPR. Primele trei amenzi au fost date pentru absența măsurilor tehnice și organizatorice adecvate și pentru breșele de securitate aferente. Pentru prevenirea și managementul adecvat al incidentelor de securitate, politicile și procedurile care trebuie actualizate constant și implementate la nivel de companie.

Ca să respectăm GDPR trebuie să știm să recunoaștem un incident de securitate pentru a-l putea preveni sau a recționa potrivit la el.

Un incident de securitate este definit de #GDPR drept „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”. Așa cum rezultă din definiție, incidentele de securitate nu sunt doar despre furtul sau pierderea datelor personale!

Exemple de incidente de securitate:

  • accesul neautorizat la datele cu caracter personal (de exemplu, o persoană străină are acces la datele cu caracter personal ale companiei, un hacker ne accesează dispozitivul, un angajat pleacă cu baza de date a clienților pe un stick, cineva ne află datele de acces în credențialele de acces pe site, cineva neautorizat ne accesează e-mailul etc);
  • trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de exemplu, utilizând funcția de autocomplete din outlook/gmail putem trimite un e-mail către ioana.popescu@domeniu.ro în loc de ioana.ionescu@domeniu.ro);
  • dispozitive care conțin date personale (laptopuri, tablete, smartphone-uri) au fost pierdute sau furate;
  • alterarea/modificarea datelor cu caracter personal fără permisiune;
  • imposibilitatea de a accesa bazele de date.

 

 

Ce ar trebui să știm:

Trebuie să avem măsuri tehnice (de securitate) și organizatorice (politici, proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.

Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile aferente trebuie nu doar redactate, dar și implementate la nivel de companie. O serie de politici și proceduri pentru respectarea GDPR, prevenirea și managamentul adecvat al incidentelor de securitate se regăsesc în KIT-ul nostru de implementare. 

Trebuie să ne asigurăm că toate entitățile terțe cu care colaborăm (inclusiv PFA-uri) prezintă garanții suficiente pentru securitatea datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze anumite contracte prin care se reglementează protecția datelor. Chestionare pentru verificarea persoanelor împuternicite și modele de acorduri de prelucrare se regăsesc aici. 

Cu alte cuvinte, toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate, firme de mentență IT, HR etc) trebuie auditați că respectă GDPR și au măsuri de securitate adecvate.

De asemenea, cu acești parteneri de afaceri trebuie să avem semnate acorduri scrise prin care reglementăm protecția datelor și respectarea drepturilor persoanelor fizice.

Dacă aveți calitatea de persoană împuternicită (de exemplu, sunteți firmă de IT, contabilitate, HR, avocatură etc) trebuie să vă așteptați la cerințe suplimentare din partea clienților și ar trebui să propuneți chiar dvs. încheierea acestor contracte.

În calitate operator, răspundem pentru incidentele cauzate prin acțiunile sau inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permitem accesul la date dacă nu am implementat măsuri tehnice și organizatorice adecvate (ex: măsuri de securitate, acorduri de confidențialitate, politici de securitate, training-uri, acorduri cu persoanele împuternicite etc). În unele cazuri, putem răspunde chiar și pentru faptele foștilor angajați sau foștilor colaboratori dacă nu am luat măsuri adecvate. 

✅ Cu angajații și cu partenerii de afaceri trebuie încheiate acorduri de confidențialitate și trebuie să efectuăm training-ul intern la angajaților și să îi responsabilizăm să protejeze datele. Un model de acord de confidențialitate se regăsește aici. 

✅Dacă am fost sancționați de ANSPDCP, dar culpa este a altei persoane, ne putem îndrepta cu acțiune în răspundere civilă delictuală pentru recuperarea prejudiciului.

✅Avem 72 de ore de la descoperirea incidentului pentru notificarea incidentelor de securitate către ANSPDCP și/sau către persoanele vizate.

✅Nu orice incident de securitate se notifică, ci se va notifica incidentul către ANSPDCP incidentul care prezintă un risc persoanele vizate, iar persoanele vizate vor fi notificate dacă există un risc ridicat.

✅ Incidentul de securitate se notifică completând online acest formular: https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true

✅Orice incident de securitate trebuie adus la cunoștința responsabilului cu protecția datelor sau persoanei desemnate cu această resposabilitate.

✅Indiferent de risc, orice incident se securitate ar trebui documentat intern, de exemplu, intr-un registru al incidentelor de securitate.

✅Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură pentru managementul adecvat al incidentelor de securitate și să fie desemnată o echipă de răspuns la incident, cu roluri și responsabilități bine stabilite. Aceste proceduri se regăsesc aici.

Câteva lucruri în plus:

  • Lipsa notificării ANSPDCP și/sau a persoanelor vizate poate fi sancționată cu amendă care poate ajunge până la 4% din cifra de afaceri.
  • Chiar dacă notificați în termen, atâta timp cât nu ați luat măsuri adecvate, compania poate fi amendată. De observat că a doua amendă GDPR a fost dată ca urmare a unei notificări trimise la ANSPDCP de însăși compania în cauză.
  • Personalul ar trebui să știe cum să evite un incident de securitate și cum să îl recunoască, de aceea recomandăm training-ul intern. În acest sens vă recomandăm cursul nostru online care poate fi urmat de personalul companiei pentru a înțelege cerințele GDPR.

KIT GDPR Premium

 

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

 


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL



 

În ultimele luni, industria tehnologică a început să se concentreze mai mult asupra confidențialității utilizatorilor. Recent, am avut în topul actualităților, subiecte pe tema confidențialității în rețelele sociale. În Uniunea Europeană, în curând vor intra în vigoare legi mai riguroase în privința protecției datelor cu caracter personal. Regulamentul general privind protecția datelor (GDPR) a fost adoptat în aprilie 2016 și se va aplica începând cu data de 25 mai 2018, după o perioadă de tranziție de doi ani.

 

Regulamentul general privind protecția datelor cu caracter personal prevede că societățile trebuie să permită utilizatorilor să descarce un raport cu informații despre contul lor. Instagram, care este deținut de Facebook, a lansat deja un instrument care permite utilizatorilor să-și descarce toate datele de pe conturile lor. Acum, WhatsApp, cea mai populară aplicație de mesagerie bazată pe IP din lume, se pregătește de asemenea să adauge un nou instrument pentru a exporta datele contului de utilizator în conformitate cu GDPR. Merită menționat faptul că WhatsApp are o bază de utilizatori zilnică activă de 1 miliard de utilizatori, ceea ce face ca respectarea GDPR să fie și mai importantă.

 

WABetaInfo a constatat că WhatsApp beta pentru Android versiunea 2.18.128 conține o opțiune de a crea un raport de informații și setări ale contului de WhatsApp al utilizatorilor, pe care aceștia pot să le acceseze sau să le porteze într-o altă aplicație. Compania notează că raportul nu va include mesajele utilizatorilor.

 

 

Utilizatorii pot solicita un raport pentru contul lor de WhatsApp accesând Settings> Account> Request account info, iar compania declară că raportul va fi gata în interval de 1-3 zile. Consumatorii vor avea “câteva săptămâni” să-și descarce raportul înainte de a fi șters și nu pot anula cererea decât dacă își șterg contul. Raportul conține date despre utilizatori, cum ar fi numele grupurilor, contacte, fotografii de profil etc.

 

În acest moment, opțiunea de creare a raportului este disponibilă numai în cea mai recentă versiune de WhatsApp beta pentru Android. Utilizatorii se pot aștepta ca această aplicație să iasă din versiunea beta într-o versiune stabilă în următoarele săptămâni, ceea ce va asigura totodată și faptul că această companie respectă cea mai robustă lege a Uniunii Europene privind protecția datelor.

 

Traducere din: Idrees Patel – https://www.xda-developers.com/latest-whatsapp-beta-export-data-compliance-gdpr/


GDPR.jpg

Se vehiculează des ideea că începând cu 25 mai orice incident de securitate trebuie notificat Autorității de supraveghere. Prin incident de securitate înțelegem înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Exemple: pierderea unui laptop, uitarea unui telefon care conține date personale în taxi, un hacker a intrat în sistem și chiar și un screenshot făcut de un angajat la un ecran unde exista date personale. 

Nu orice astfel de incident trebuie notitifcat autorității, ci doar incidentele care prezintă riscuri pentru persoana vizată.

Și nu o zic eu, o zice Regulamentul prin Art. 33 alin. (1) „ In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons

Ei bine, eroarea vine dintr-o traducere nefericită a textului de mai sus în română. În română sună așa:„În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

 

Te-ar putea interesa și:

 

Aceeași părere o are și:

 

  1. Comisia Europeană: „să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice.” Sursa aici
  2. ANSPDCP aici
  3. Grupul de Lucru Art. 29 aici

 

Cu toate acestea, înainte de a decide dacă vei notifica sau nu, trebuie să evaluezi cu atenție și luând în calcul toate circumanstanțele, dacă există un risc pentru drepturile și libertățile persoanei fizice și să urmezi o procedură pentru identificarea riscului și pentru a decide dacă vei notifica ANSPDCP și/sau persoanele vizate. O astfel de procedură o găsești aici. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 



 

În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

  • software-ul sistemului nu a fost actualizat de câțiva ani;
  • nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
  • compania nu a dispus de măsuri pentru a controla credentialele de acces;
  • nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
  • compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
  • serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
  • sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
  • datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
  • parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security


GDPR.jpg

Este bine cunoscut faptul că UE dispune de legi care oferă o protecție puternică a datelor cu caracter personal. Majoritatea companiilor sunt de părere că acestea sunt mult prea stricte.

Un caz nou în Regatul Unit privind protecția datelor cu caracter personal a avut o soluționare destul de surprinzătoare.

În 2014, un fișier care conținea datele cu caracter personal a 99.998 de angajați ai lanțului de supermarketuri Morrisons din Marea Britanie a fost postat pe un site web de partajare a fișierelor. Fișierul conținea nume, adrese, sex, date de naștere, numere de telefon, numere de cont bancar și informații salariale.

Pe lângă urcarea pe site-urile de torenți, fișierul a fost trimis pe CD către 3 ziare locale, probabil de cineva care le-a găsit pe internet. Așa cum a rezultat din cercetarea judecătorească, toate copiile fișierelor au provenit de la Andrew Skelton, un senior IT Auditor, fost angajat al lanțului de supermarketuri Morrisons. Ca rezultat al faptei sale, respectiv partajarea pe internet a datelor cu caracter personal în 2014, Skelton a fost condamnat la opt ani închisoare.

Cazul actual a fost deschis de aproximativ 5.500 de angajați ale căror date personale au fost dezvăuite, care au solicitat daune de la Morrisons. S-a solicitat, pe de o parte, să intervină răspunderea Morrisons pentru fapta sa (raspundere directă), iar, pe de altă parte, răspunderea pentru fapta fostului angajat (răspundere indirectă).

Instanța a considerat că Morrisons nu este direct răspunzătoare, deoarece făcuse tot ce putea pentru a evita scurgerile de date cu caracter personal. Însă, instanța a considerat că Morrisons trebuie să răspundă în mod indirect, pentru fapta fostului anagajat și să plătească daune morale angajaților.

Urmând raționamentul de mai sus, înseamnă că o companie, chiar dacă va face tot ce este posibil pentru a impiedica divulgarea datelor cu caracter personal, ea poate răspunde indirect pentru fapta unui angajat, chiar dacă fapta este rău-intenționată.

Hotărarea nu este definitivă. Totuși, o concluzie se desprinde: companiile ar trebui să fie mai atente cu privire la informațiile la care au acces angajații, deoarece, pe raționamentul de mai sus, poate interveni răspunderea indirectă a companiei (angajatorului) față de fapta angajatului.

Hotararea

Cum te putem ajuta noi?

 


arhive-incidente-de-securitate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord