Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Amenzi GDPR

Vizualizari: 3898

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, fiind totodată cea mai mare amendă primită de o autoritate publică din Uniunea Europeană, pentru neasigurarea protecției corespunzătoare a datelor personale.

Mai mult, aceasta este oficial cea de-a doua amendă ca valoare din UE, după intrarea în vigoare a GDPR-ului. Am folosit termenul „oficial” pentru că cele două amenzi de proporții astronomice pe care ICO le-a propus în urma analizelor breșelor de securitate suferite de Marriott International (110 milioane €) și British Airways (230 milioane €) se vor poziționa în fruntea clasamentului la nivelul Uniunii Europene odată ce ICO va lua o decizie finală asupra valorii sancțiunilor după consultarea celorlalte părți implicate în aceste anchete. 

Sancțiune de 5,1 milioane de leva (aproximativ 2,6 milioane de euro)

Autoritatea bulgară pentru protecția datelor cu caracter personal a publicat un comunicat prin care a anunțat sancțiunea de 5,1 milioane de leva (aproximativ 2,6 milioane de euro) acordată Agenției Naționale a Veniturilor (echivalentul ANAF-ului nostru) pentru încălcarea care a dus la furtul datelor cu caracter personal de aproximativ 4,1 milioane de persoane (contribuabili), un procent considerabil din totalul de 7 milioane de locuitori ai Bulgariei.

În comunicat se arată că amenda a fost acordată pentru încălcarea art. 32, 1 litera (b) din Regulamentul (UE) 2016/679, în vederea unei încălcări a datelor privind accesul neautorizat, divulgarea neautorizată și difuzarea datelor cu caracter personal ale persoanelor fizice din bazele de date a agenției. 

Pe langa amenda, autoritatea bulgară a impus o serie de măsuri ce vor trebui implementate de administrația fiscală bulgară în următoarele 6 luni:

  • îmbunătățirea protecției procesării datelor cu caracter personal în serviciile electronice oferite cetățenilor (aplicații);
  • efectuarea analizei de risc a sistemelor și operațiunilor de procesare, inclusiv a normelor și obligațiilor funcționale stabilite pentru prelucrarea fiecărui sistem informațional;
  • efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem și a măsurilor corespunzătoare care trebuie luate;
  • efectuarea unei evaluări de impact la lansarea inițială a noilor sisteme de informații și aplicații.

Oficialii bulgari au declarat că instituțiile publice din Bulgaria nu cheltuiesc suficient pentru securitatea cibernetică. Unii experți care au examinat datele fiscale furate spun că tehnicile utilizate în atac au fost relativ de bază și au indicat lipsa unei protecții adecvate a datelor.

De ce ar trebui să ne îngrijoreze breșa de securitate din Bulgaria? 

Nu este un secret fragilitatea sistemului informatic al ANAF-ului nostru. Acesta a clacat de mai multe ori de-a lungul timpului făcând imposibilă accesarea "Spaţiul Privat Virtual" [SPV].

"În prezent, portalul ANAF generează erori de accesare, deoarece resursele TIC disponibile sunt suprasolicitate. Se identifică soluţii de utilizare optimă a tuturor resurselor." afișa pagina ANAF prin februarie 2019.

Un articol DIGI24 publicat anul trecut trăgea un semna de alarma asupra faptului ca sistemul IT al ANAF pică aproape zilnic, deoarece funcționează la o capacitate de 99,99%.  Curtea de Conturi a atras atunci atenția Guvernului că sistemul e foarte vechi și poate ceda în orice moment. Actualul sistem informatic al ANAF datează din 1998, când au fost cumpărate primele servere şi sisteme de stocare a informaţiei de la IBM, cel care a pus în funcţiune sistemul şi l-a întreţinut până în 2016. Din 2016, IBM a refuzat să mai asigure mentenanţa sistemului IT după ce ANAF ar fi folosit licențe fără să plătească. 

Nu avem sediu, nu avem mentenanță, nu avem upgradările făcute, avem litigiu cu IBM-ul, am blocat proiectul cu Banca Mondială”, declara la acel moment Gelu Diaconu, fost președinte al ANAF.

Judecând după toate acestea, oare cât de mare este riscul ca noi să călcăm pe urme vecinilor bulgari?  Noi nu ne întrebăm DACĂ ci mai degrabă ne întrebăm CÂND?!?

De ce autoritățile publice din România nu fac din protecția datelor o prioritate? Cât de reală este o astfel de amendă ?

Cele 2,6 milioane de euro cu care a fost sancționată  agenția bulgară pot părea o sancțiune mică raportată la dimensiunea și sensibilitatea datelor care au sustrase însă dacă ne raportăm la maximul amenzilor pe care autoritățile din România le riscă, acea amendă capătă proporții astronomice. Să nu uităm și că o amendă aplicată unei autorități nu aduce practic sume suplimentare la bugetul statului, fiind doar mutate sume dintr-un capitol bugetar în altul.  

Conform legislației românești, pentru încălcarea articolului 32 din GDPR, cum a fost cazul în Bulgaria, amenda prevăzută de legea 190 din 18 iulie 2018 este de 10.000 lei până la 100.000 lei (prima treaptă valorică). Practic a fost introdusă această derogare de la regimul juridic al contravenţiilor (OUG 2/2001) prin care autoritățile publice din România beneficiază de un tratament special, atât de special încât am putea să îl considerăm profund discriminatoriu. Mai exact, amenda maxima pe care o institutie publica din România o poate primi este de 200.000 lei, adică puțin peste 40.000 euro iar asta pentru încălcări a regulamentului pentru care o societate privată risca un maxim de 4% sau 20.000.000 euro. Asta da interpretare a principiului proporționalității.

Mai mult, în cazul unei breșe (asta doar dacă nu se poate ascunde existența acesteia) sancționată este instituția, care de altfel va marja pe ideea ca nu a avut buget pentru asigurarea securității datelor. Dar oare este normal să fie sancționată instituția atâta timp cât deciziile aparțin managementului instituției respective? Poate preluarea modelului din Republica Moldova ne-ar ajuta să rezolvăm această dilemă. Mai exact, în Republica Moldova responsabilitatea privind respectarea cerințelor de protecție a datelor aparține factorilor de decizie, acestia fiind direct sanctionabili. 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Amenzi GDPR

Vizualizari: 1736

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor

Două companii din România, Nicola Medical Team 17 SRL și Modern Barber SRL, au fost vizate de investigații din partea Autorității Naționale de Supraveghere (ANSPDCP).

În cadrul procedurii de investigare, autoritatea a solicitat acestora informații suplimentare, fără a primi un răspuns din partea operatorilor.

În primă instanță, în cazul celor doi, autoritatea a dispus sancțiunea acestora cu avertisment și a fost dispusă măsura corectivă constând în obligarea operatorilor de a transmite către Autoritate, în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

Întrucât aceștia nu au dus la îndeplinire măsurile corective impuse, Autoritatea a constatat încălcarea prevederilor art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e), dispunând amendarea celor 2 operatori.

Cât îi costa pe cei doi operatori ignorarea solicitărilor autorității?

  • Modern Barber SRL - 14329,5 lei, echivalentul sumei de 3000 EURO
  • Nicola Medical Team 17 SRL  - 9555,4 lei, echivalentul sumei de 2000 EURO

Dar asta nu este tot! Împreună cu amenzile, cei doi operatori s-au ales și cu o nouă măsură corectivă. Aceștia au obligația de a transmite în scris Autorității Naționale de Supraveghere toate informațiile solicitate anterior, în termen de 5 zile de la comunicarea procesului-verbal.

Cu alte cuvinte, ne putem aștepta ca Autoritatea să-i mai pomenească în viitor, dacă vor insista sa ignore solicitările autorității sau dacă Autoritatea va identifica încălcări ce privesc conformitatea operațiunilor de prelucrare efectuate de acești operatori.

Sursă: dataprotection.ro  |   Sursp foto: profitpoint.eu

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Un nou spital este amendat pentru nerespectarea GDPR

Amenzi GDPR

Vizualizari: 3924

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat.

Amenda finală se bazează pe mai multe încălcări ale Regulamentului general privind protecția datelor în contextul unei proceduri confuze care a dus la identificarea incorectă a pacientului în momentul internării. Această situație a dus la facturarea eronată și a evidențiat deficiențe ale măsurilor tehnice și organizatorice implementate de spital în ceea ce privește managementul pacienților.

Comisarul prof. Dr. Kugelmann subliniază: „Obiectivul principal al măsurilor corective și al sancțiunilor este remedierea deficiențelor existente și îmbunătățirea protecției datelor. Amenzile sunt  doar un instrument. Pe lângă efectul sancționator, acestea conțin întotdeauna un element preventiv. Ceea ce contează pentru mine este faptul că se realizează progrese substanțiale în ceea ce privește protecția datelor privind sănătatea, având în vedere sensibilitatea particulară a datelor. Prin urmare, sper că amenda va fi văzută și ca un semnal și că autoritățile de supraveghere a protecției datelor sunt deosebit de vigilente în domeniul gestionării datelor în asistența medicală. "

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor. Vă reamintim că în luna octombrie […]

O amendă pentru nerespectarea GDPR-ului a zburat către TAROM

Autoritatea Națională de Supraveghere a anunțat pe site-ul său finalizarea unei investigații ce viza cea mai veche companie aeriană din România, TAROM! Autoritatea a constatat că operatorul SC […]

Pensiune amendată pentru nerespectarea GDPR-ului

Royal President SRL, care deține o pensiune din Bragadiru, Ilfov, unde se organizează și evenimente private (nunti, botezuri, aniversari sau evenimente corporate), a făcut obiectul unei investigații a […]

Amendă usturătoare pentru cea mai mare firmă românească de curierat

Autoritatea Națională de Supraveghere (ANSPDCP) a anunțat ce-a de-a IX-a amendă pentru încălcarea prevederilor Regulamentul (UE) 2016/679 (GDPR).  Conform comunicatului emis ieri (25.09.2019) de Autoritate, cea mai mare […]

Cetelem amendat pentru încălcarea GDPR. BONUS! Procedură procesarea cererilor

BNP Paribas Personal  Finance SA Paris Sucursala București, cunoscută sub denumirea de Cetelem IFN România, denumit în continuare Cetelem, unul dintre cei mai activi actori în domeniul creditelor […]

Vodafone amendat cu 10.000 lei de catre ANSPDCP

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma investigației finalizate pe data de 15.10.2019, a constatat încălcarea prevederilor art. 13 alin. (1) lit. q) […]

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

  Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, […]

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]