Aici descoperim
dreptul tehnologiei

padlock-computer-circuit-board_93675-6912.jpg

Până în prezent în România au fost date patru amenzi pentru nerespectarea GDPR. Primele trei amenzi au fost date pentru absența măsurilor tehnice și organizatorice adecvate și pentru breșele de securitate aferente. Pentru prevenirea și managementul adecvat al incidentelor de securitate, politicile și procedurile care trebuie actualizate constant și implementate la nivel de companie.

Ca să respectăm GDPR trebuie să știm să recunoaștem un incident de securitate pentru a-l putea preveni sau a recționa potrivit la el.

Un incident de securitate este definit de #GDPR drept „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”. Așa cum rezultă din definiție, incidentele de securitate nu sunt doar despre furtul sau pierderea datelor personale!

Exemple de incidente de securitate:

  • accesul neautorizat la datele cu caracter personal (de exemplu, o persoană străină are acces la datele cu caracter personal ale companiei, un hacker ne accesează dispozitivul, un angajat pleacă cu baza de date a clienților pe un stick, cineva ne află datele de acces în credențialele de acces pe site, cineva neautorizat ne accesează e-mailul etc);
  • trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de exemplu, utilizând funcția de autocomplete din outlook/gmail putem trimite un e-mail către ioana.popescu@domeniu.ro în loc de ioana.ionescu@domeniu.ro);
  • dispozitive care conțin date personale (laptopuri, tablete, smartphone-uri) au fost pierdute sau furate;
  • alterarea/modificarea datelor cu caracter personal fără permisiune;
  • imposibilitatea de a accesa bazele de date.

 

 

Ce ar trebui să știm:

Trebuie să avem măsuri tehnice (de securitate) și organizatorice (politici, proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.

Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile aferente trebuie nu doar redactate, dar și implementate la nivel de companie. O serie de politici și proceduri pentru respectarea GDPR, prevenirea și managamentul adecvat al incidentelor de securitate se regăsesc în KIT-ul nostru de implementare. 

Trebuie să ne asigurăm că toate entitățile terțe cu care colaborăm (inclusiv PFA-uri) prezintă garanții suficiente pentru securitatea datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze anumite contracte prin care se reglementează protecția datelor. Chestionare pentru verificarea persoanelor împuternicite și modele de acorduri de prelucrare se regăsesc aici. 

Cu alte cuvinte, toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate, firme de mentență IT, HR etc) trebuie auditați că respectă GDPR și au măsuri de securitate adecvate.

De asemenea, cu acești parteneri de afaceri trebuie să avem semnate acorduri scrise prin care reglementăm protecția datelor și respectarea drepturilor persoanelor fizice.

Dacă aveți calitatea de persoană împuternicită (de exemplu, sunteți firmă de IT, contabilitate, HR, avocatură etc) trebuie să vă așteptați la cerințe suplimentare din partea clienților și ar trebui să propuneți chiar dvs. încheierea acestor contracte.

În calitate operator, răspundem pentru incidentele cauzate prin acțiunile sau inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permitem accesul la date dacă nu am implementat măsuri tehnice și organizatorice adecvate (ex: măsuri de securitate, acorduri de confidențialitate, politici de securitate, training-uri, acorduri cu persoanele împuternicite etc). În unele cazuri, putem răspunde chiar și pentru faptele foștilor angajați sau foștilor colaboratori dacă nu am luat măsuri adecvate. 

✅ Cu angajații și cu partenerii de afaceri trebuie încheiate acorduri de confidențialitate și trebuie să efectuăm training-ul intern la angajaților și să îi responsabilizăm să protejeze datele. Un model de acord de confidențialitate se regăsește aici. 

✅Dacă am fost sancționați de ANSPDCP, dar culpa este a altei persoane, ne putem îndrepta cu acțiune în răspundere civilă delictuală pentru recuperarea prejudiciului.

✅Avem 72 de ore de la descoperirea incidentului pentru notificarea incidentelor de securitate către ANSPDCP și/sau către persoanele vizate.

✅Nu orice incident de securitate se notifică, ci se va notifica incidentul către ANSPDCP incidentul care prezintă un risc persoanele vizate, iar persoanele vizate vor fi notificate dacă există un risc ridicat.

✅ Incidentul de securitate se notifică completând online acest formular: https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true

✅Orice incident de securitate trebuie adus la cunoștința responsabilului cu protecția datelor sau persoanei desemnate cu această resposabilitate.

✅Indiferent de risc, orice incident se securitate ar trebui documentat intern, de exemplu, intr-un registru al incidentelor de securitate.

✅Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură pentru managementul adecvat al incidentelor de securitate și să fie desemnată o echipă de răspuns la incident, cu roluri și responsabilități bine stabilite. Aceste proceduri se regăsesc aici.

Câteva lucruri în plus:

  • Lipsa notificării ANSPDCP și/sau a persoanelor vizate poate fi sancționată cu amendă care poate ajunge până la 4% din cifra de afaceri.
  • Chiar dacă notificați în termen, atâta timp cât nu ați luat măsuri adecvate, compania poate fi amendată. De observat că a doua amendă GDPR a fost dată ca urmare a unei notificări trimise la ANSPDCP de însăși compania în cauză.
  • Personalul ar trebui să știe cum să evite un incident de securitate și cum să îl recunoască, de aceea recomandăm training-ul intern. În acest sens vă recomandăm cursul nostru online care poate fi urmat de personalul companiei pentru a înțelege cerințele GDPR.

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

 


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL



 

În ultimele luni, industria tehnologică a început să se concentreze mai mult asupra confidențialității utilizatorilor. Recent, am avut în topul actualităților, subiecte pe tema confidențialității în rețelele sociale. În Uniunea Europeană, în curând vor intra în vigoare legi mai riguroase în privința protecției datelor cu caracter personal. Regulamentul general privind protecția datelor (GDPR) a fost adoptat în aprilie 2016 și se va aplica începând cu data de 25 mai 2018, după o perioadă de tranziție de doi ani.

 

Regulamentul general privind protecția datelor cu caracter personal prevede că societățile trebuie să permită utilizatorilor să descarce un raport cu informații despre contul lor. Instagram, care este deținut de Facebook, a lansat deja un instrument care permite utilizatorilor să-și descarce toate datele de pe conturile lor. Acum, WhatsApp, cea mai populară aplicație de mesagerie bazată pe IP din lume, se pregătește de asemenea să adauge un nou instrument pentru a exporta datele contului de utilizator în conformitate cu GDPR. Merită menționat faptul că WhatsApp are o bază de utilizatori zilnică activă de 1 miliard de utilizatori, ceea ce face ca respectarea GDPR să fie și mai importantă.

 

WABetaInfo a constatat că WhatsApp beta pentru Android versiunea 2.18.128 conține o opțiune de a crea un raport de informații și setări ale contului de WhatsApp al utilizatorilor, pe care aceștia pot să le acceseze sau să le porteze într-o altă aplicație. Compania notează că raportul nu va include mesajele utilizatorilor.

 

 

Utilizatorii pot solicita un raport pentru contul lor de WhatsApp accesând Settings> Account> Request account info, iar compania declară că raportul va fi gata în interval de 1-3 zile. Consumatorii vor avea “câteva săptămâni” să-și descarce raportul înainte de a fi șters și nu pot anula cererea decât dacă își șterg contul. Raportul conține date despre utilizatori, cum ar fi numele grupurilor, contacte, fotografii de profil etc.

 

În acest moment, opțiunea de creare a raportului este disponibilă numai în cea mai recentă versiune de WhatsApp beta pentru Android. Utilizatorii se pot aștepta ca această aplicație să iasă din versiunea beta într-o versiune stabilă în următoarele săptămâni, ceea ce va asigura totodată și faptul că această companie respectă cea mai robustă lege a Uniunii Europene privind protecția datelor.

 

Traducere din: Idrees Patel – https://www.xda-developers.com/latest-whatsapp-beta-export-data-compliance-gdpr/


GDPR.jpg

Se vehiculează des ideea că începând cu 25 mai orice incident de securitate trebuie notificat Autorității de supraveghere. Prin incident de securitate înțelegem înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Exemple: pierderea unui laptop, uitarea unui telefon care conține date personale în taxi, un hacker a intrat în sistem și chiar și un screenshot făcut de un angajat la un ecran unde exista date personale. 

Nu orice astfel de incident trebuie notitifcat autorității, ci doar incidentele care prezintă riscuri pentru persoana vizată.

Și nu o zic eu, o zice Regulamentul prin Art. 33 alin. (1) „ In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons

Ei bine, eroarea vine dintr-o traducere nefericită a textului de mai sus în română. În română sună așa:„În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

 

Te-ar putea interesa și:

 

Aceeași părere o are și:

 

  1. Comisia Europeană: „să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice.” Sursa aici
  2. ANSPDCP aici
  3. Grupul de Lucru Art. 29 aici

 

Cu toate acestea, înainte de a decide dacă vei notifica sau nu, trebuie să evaluezi cu atenție și luând în calcul toate circumanstanțele, dacă există un risc pentru drepturile și libertățile persoanei fizice și să urmezi o procedură pentru identificarea riscului și pentru a decide dacă vei notifica ANSPDCP și/sau persoanele vizate. O astfel de procedură o găsești aici. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 



 

În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

  • software-ul sistemului nu a fost actualizat de câțiva ani;
  • nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
  • compania nu a dispus de măsuri pentru a controla credentialele de acces;
  • nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
  • compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
  • serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
  • sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
  • datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
  • parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security


GDPR.jpg

Este bine cunoscut faptul că UE dispune de legi care oferă o protecție puternică a datelor cu caracter personal. Majoritatea companiilor sunt de părere că acestea sunt mult prea stricte.

Un caz nou în Regatul Unit privind protecția datelor cu caracter personal a avut o soluționare destul de surprinzătoare.

În 2014, un fișier care conținea datele cu caracter personal a 99.998 de angajați ai lanțului de supermarketuri Morrisons din Marea Britanie a fost postat pe un site web de partajare a fișierelor. Fișierul conținea nume, adrese, sex, date de naștere, numere de telefon, numere de cont bancar și informații salariale.

Pe lângă urcarea pe site-urile de torenți, fișierul a fost trimis pe CD către 3 ziare locale, probabil de cineva care le-a găsit pe internet. Așa cum a rezultat din cercetarea judecătorească, toate copiile fișierelor au provenit de la Andrew Skelton, un senior IT Auditor, fost angajat al lanțului de supermarketuri Morrisons. Ca rezultat al faptei sale, respectiv partajarea pe internet a datelor cu caracter personal în 2014, Skelton a fost condamnat la opt ani închisoare.

Cazul actual a fost deschis de aproximativ 5.500 de angajați ale căror date personale au fost dezvăuite, care au solicitat daune de la Morrisons. S-a solicitat, pe de o parte, să intervină răspunderea Morrisons pentru fapta sa (raspundere directă), iar, pe de altă parte, răspunderea pentru fapta fostului angajat (răspundere indirectă).

Instanța a considerat că Morrisons nu este direct răspunzătoare, deoarece făcuse tot ce putea pentru a evita scurgerile de date cu caracter personal. Însă, instanța a considerat că Morrisons trebuie să răspundă în mod indirect, pentru fapta fostului anagajat și să plătească daune morale angajaților.

Urmând raționamentul de mai sus, înseamnă că o companie, chiar dacă va face tot ce este posibil pentru a impiedica divulgarea datelor cu caracter personal, ea poate răspunde indirect pentru fapta unui angajat, chiar dacă fapta este rău-intenționată.

Hotărarea nu este definitivă. Totuși, o concluzie se desprinde: companiile ar trebui să fie mai atente cu privire la informațiile la care au acces angajații, deoarece, pe raționamentul de mai sus, poate interveni răspunderea indirectă a companiei (angajatorului) față de fapta angajatului.

Hotararea

Cum te putem ajuta noi?

 


arhive-incidente-de-securitate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord