Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna aprilie 2024 o investigație detaliată la operatorul S.C. Rompetrol Downstream S.R.L. și a constatat multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR). Drept urmare, operatorul a fost sancționat contravențional cu o amendă de 9.935,60 lei, echivalentul a 2.000 EURO.
Cum s-a încălcat GDPR?
Investigația ANSPDCP a fost declanșată de două notificări primite de la Rompetrol Downstream S.R.L. referitoare la incidente de securitate a datelor cu caracter personal. Aceste incidente implicau prelucrarea necorespunzătoare prin intermediul aplicației de mesagerie WhatsApp și dezvăluirea neautorizată a datelor personale pe două rețele de socializare. Datele compromise includeau imagini ale clienților, numere de înmatriculare și marca autoturismelor acestora, înregistrate de sistemele de supraveghere video din două stații de carburant ale Rompetrol Downstream S.R.L.
ANSPDCP a constatat că Rompetrol Downstream S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prezentat de prelucrarea datelor. Această neglijență a dus la compromiterea confidențialității datelor cu caracter personal ale clienților, prin divulgarea neautorizată a acestora pe rețele de socializare.
Te-ar putea interesa și:
Ce trebuie să știe firmele care utilizează sisteme CCTV ?
Pentru a preveni divulgarea neautorizată a imaginilor înregistrate de camerele CCTV, operatorii trebuie să implementeze o serie de măsuri concrete tehnice și organizatorice. În primul rând, trebuie să se asigure controlul accesului la date, limitând accesul la imaginile CCTV doar la persoanele autorizate care au nevoie de acestea pentru îndeplinirea atribuțiilor lor de serviciu. Este nevoie ca firma să elaboreze o Politică privind managementul accesului la informații. O astfel de procedură se găsește în KIT-ul nostru de implementare GDPR. În același KIT se găsește o politică privind supravegherea video CCTV care stabilește toate aspectele care trebuie urmate pentru a folosi camerele de supraveghere fără a avea probleme legale, inclusiv cine poate accesa imaginile CCTV și în ce condiții.
Totodată, este important să se utilizeze metode de autentificare puternică, cum ar fi parole complexe și autentificarea multi-factor, pentru a accesa sistemele CCTV. De asemenea, este esențial să se mențină un jurnal detaliat al tuturor accesărilor și modificărilor efectuate asupra datelor CCTV pentru a putea audita cine și când a accesat informațiile.
Măsurile tehnice de securitate sunt de asemenea cruciale. Criptarea datelor atât în tranzit, cât și în stocare este necesară pentru a preveni accesul neautorizat în caz de interceptare sau furt. Utilizarea rețelelor dedicate și segmentate pentru sistemele CCTV poate limita accesul direct din rețeaua corporativă sau publică. Totodată, trebuie să se asigure că toate echipamentele și software-ul asociat sistemelor CCTV sunt actualizate și patch-uite pentru a evita vulnerabilitățile de securitate.
Implementează GDPR și evită amenzile!
Politicile și procedurile de securitate trebuie să fie bine stabilite și comunicate personalului (un model de Politica de securitate se găsește în KIT-ul nostru de implementare GDPR). Procedurile de management al incidentelor trebuie să fie bine definite pentru a gestiona detectarea, raportarea și răspunsul la accesările neautorizate (un model de Politica privind prevenirea și managementul incidentelor de securitate se găsește în KIT-ul nostru de implementare GDPR). Politicile de retenție a datelor trebuie să fie respectate pentru a șterge înregistrările CCTV care nu mai sunt necesare (un model de Politica de retenție se găsește în KIT-ul nostru de implementare GDPR).
Instruirea și conștientizarea angajaților reprezintă un alt aspect important. Oferirea de training periodic angajaților privind protecția datelor și utilizarea corectă a sistemelor CCTV este necesară, la fel și promovarea conștientizării importanței protecției datelor personale și a consecințelor juridice și reputaționale ale încălcării securității. În KIT-ul nostru de implementare GDPR se găsesc materiale (inclusiv acorduri și angajamente de confidențialitate) privind responsabilizarea personalului privind protecția datelor.
Colaborarea cu partenerii și furnizorii este, de asemenea, importantă. Contractele cu furnizorii și partenerii care au acces la datele CCTV trebuie să includă cerințe clare de securitate și protecție a datelor, iar conformitatea acestora cu cerințele GDPR și ale altor reglementări relevante trebuie verificată periodic. În KIT-ul nostru de implementare GDPR se găsesc acorduri de prelucrare a datelor pentru parteneri și furnizori.
Cum te putem ajuta?
În plus față de KIT-ul GDPR cu ajutorul căruia îți poți face singur implementarea, oferim servicii de consultanță personalizată pentru prevenirea amenzilor GDPR și respectarea GDPR (inclusiv procedurile pentru camerele CCTV). Dacă ai nevoie de ajutor în implementarea prevederilor GDPR, scrie-mi la adresa de e-mail av.ruxandra.sava@gmail.com.