Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Amenzi GDPR

Vizualizari: 5361

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Cel mai mare furt de date din Balcani (așa cum l-am numit în  articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, fiind totodată cea mai mare amendă primită de o autoritate publică din Uniunea Europeană, pentru neasigurarea protecției corespunzătoare a datelor personale.

Mai mult, aceasta este oficial cea de-a doua amendă ca valoare din UE, după intrarea în vigoare a GDPR-ului. Am folosit termenul „oficial” pentru că cele două amenzi de proporții astronomice pe care ICO le-a propus în urma analizelor breșelor de securitate suferite de Marriott International (110 milioane €) și British Airways (230 milioane €) se vor poziționa în fruntea clasamentului la nivelul Uniunii Europene odată ce ICO va lua o decizie finală asupra valorii sancțiunilor după consultarea celorlalte părți implicate în aceste anchete. 

Sancțiune de 5,1 milioane de leva (aproximativ 2,6 milioane de euro)

Autoritatea bulgară pentru protecția datelor cu caracter personal a publicat un comunicat prin care a anunțat sancțiunea de 5,1 milioane de leva (aproximativ 2,6 milioane de euro) acordată Agenției Naționale a Veniturilor (echivalentul ANAF-ului nostru) pentru încălcarea care a dus la furtul datelor cu caracter personal de aproximativ 4,1 milioane de persoane (contribuabili), un procent considerabil din totalul de 7 milioane de locuitori ai Bulgariei.

În comunicat se arată că amenda a fost acordată pentru încălcarea art. 32, 1 litera (b) din Regulamentul (UE) 2016/679, în vederea unei încălcări a datelor privind accesul neautorizat, divulgarea neautorizată și difuzarea datelor cu caracter personal ale persoanelor fizice din bazele de date a agenției. 

Pe langa amenda, autoritatea bulgară a impus o serie de măsuri ce vor trebui implementate de administrația fiscală bulgară în următoarele 6 luni:

  • îmbunătățirea protecției procesării datelor cu caracter personal în serviciile electronice oferite cetățenilor (aplicații);
  • efectuarea analizei de risc a sistemelor și operațiunilor de procesare, inclusiv a normelor și obligațiilor funcționale stabilite pentru prelucrarea fiecărui sistem informațional;
  • efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem și a măsurilor corespunzătoare care trebuie luate;
  • efectuarea unei evaluări de impact la lansarea inițială a noilor sisteme de informații și aplicații.

Oficialii bulgari au declarat că instituțiile publice din Bulgaria nu cheltuiesc suficient pentru securitatea cibernetică. Unii experți care au examinat datele fiscale furate spun că tehnicile utilizate în atac au fost relativ de bază și au indicat lipsa unei protecții adecvate a datelor.

De ce ar trebui să ne îngrijoreze breșa de securitate din Bulgaria? 

Nu este un secret fragilitatea sistemului informatic al ANAF-ului nostru. Acesta a clacat de mai multe ori de-a lungul timpului făcând imposibilă accesarea "Spaţiul Privat Virtual" [SPV].

"În prezent, portalul ANAF generează erori de accesare, deoarece resursele TIC disponibile sunt suprasolicitate. Se identifică soluţii de utilizare optimă a tuturor resurselor." afișa pagina ANAF prin februarie 2019.

Un articol DIGI24 publicat anul trecut trăgea un semna de alarma asupra faptului ca sistemul IT al ANAF pică aproape zilnic, deoarece funcționează la o capacitate de 99,99%.  Curtea de Conturi a atras atunci atenția Guvernului că sistemul e foarte vechi și poate ceda în orice moment. Actualul sistem informatic al ANAF datează din 1998, când au fost cumpărate primele servere şi sisteme de stocare a informaţiei de la IBM, cel care a pus în funcţiune sistemul şi l-a întreţinut până în 2016. Din 2016, IBM a refuzat să mai asigure mentenanţa sistemului IT după ce ANAF ar fi folosit licențe fără să plătească. 

Nu avem sediu, nu avem mentenanță, nu avem upgradările făcute, avem litigiu cu IBM-ul, am blocat proiectul cu Banca Mondială”, declara la acel moment Gelu Diaconu, fost președinte al ANAF.

Judecând după toate acestea, oare cât de mare este riscul ca noi să călcăm pe urme vecinilor bulgari?  Noi nu ne întrebăm DACĂ ci mai degrabă ne întrebăm CÂND?!?

De ce autoritățile publice din România nu fac din protecția datelor o prioritate? Cât de reală este o astfel de amendă ?

Cele 2,6 milioane de euro cu care a fost sancționată  agenția bulgară pot părea o sancțiune mică raportată la dimensiunea și sensibilitatea datelor care au sustrase însă dacă ne raportăm la maximul amenzilor pe care autoritățile din România le riscă, acea amendă capătă proporții astronomice. Să nu uităm și că o amendă aplicată unei autorități nu aduce practic sume suplimentare la bugetul statului, fiind doar mutate sume dintr-un capitol bugetar în altul.  

Conform legislației românești, pentru încălcarea articolului 32 din GDPR, cum a fost cazul în Bulgaria, amenda prevăzută de legea 190 din 18 iulie 2018 este de 10.000 lei până la 100.000 lei (prima treaptă valorică). Practic a fost introdusă această derogare de la regimul juridic al contravenţiilor (OUG 2/2001) prin care autoritățile publice din România beneficiază de un tratament special, atât de special încât am putea să îl considerăm profund discriminatoriu. Mai exact, amenda maxima pe care o institutie publica din România o poate primi este de 200.000 lei, adică puțin peste 40.000 euro iar asta pentru încălcări a regulamentului pentru care o societate privată risca un maxim de 4% sau 20.000.000 euro. Asta da interpretare a principiului proporționalității.

Mai mult, în cazul unei breșe (asta doar dacă nu se poate ascunde existența acesteia) sancționată este instituția, care de altfel va marja pe ideea ca nu a avut buget pentru asigurarea securității datelor. Dar oare este normal să fie sancționată instituția atâta timp cât deciziile aparțin managementului instituției respective? Poate preluarea modelului din Republica Moldova ne-ar ajuta să rezolvăm această dilemă. Mai exact, în Republica Moldova responsabilitatea privind respectarea cerințelor de protecție a datelor aparține factorilor de decizie, acestia fiind direct sanctionabili. 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Amenzi GDPR

Vizualizari: 2576

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția Datelor, prin raportare la art. 17 din același Regulament.

Operatorul S.C. Viva Credit IFN S.A. a fost sancționat contravențional cu amendă în cuantum de 9680 lei, echivalentul sumei de 2000 EURO.

Investigația s-a desfășurat ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor, potrivit art. 17 din Regulamentul General privind Protecția Datelor.

De asemenea, operatorul nu a furnizat petentului informații cu privire la acțiunile întreprinse în urma cererii acestuia în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Astfel, operatorul S.C. Viva Credit IFN S.A. a încălcat prevederile art. 12 alin. (3) și (4), raportat la art. 17 din Regulamentul General privind Protecția Datelor.

Operatorul are obligaţia, potrivit art. 12 alin. (3), de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii, iar conform alin. (4) al aceluiași articol ”dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

În același timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, acesta fiind obligat să transmită un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Compania Națională Poșta Română a fost amendată cu 2000 euro

Amenzi GDPR

Vizualizari: 2250

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul Compania Națională Poșta Română a fost sancționat contravențional cu amendă în cuantum de 9.686,60 lei lei, echivalentul a 2000 euro.

Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate (de exemplu, pseudonimizarea), atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, astfel încât să se pună în aplicare, în mod eficient, principiile de protecție a datelor și să se  integreze în acestea garanțiile necesare prelucrării, astfel încât să fie duse la îndeplinire cerințele RGPD și să se protejeze drepturile persoanelor vizate.

Operatorul Compania Națională Poșta Română a fost sancționat deoarece nu a luat măsurile tehnice şi organizatorice adecvate care să prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând Companiei Naționale Poșta Română, ceea ce a dus la compromiterea confidențialității datelor personale a 81 de persoane vizate.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a primirii din partea operatorului a unei notificări de încălcare a securității datelor, conform dispozițiilor art. 33 din RGPD.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]

Estee Lauder Romania SRL amendată de ANSPDCP cu 3000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și […]

Banca Comercială Română amendată cu 5000 EURO pentru prelucrarea datelor prin aplicația Whatsapp

Autoritatea Națională de Supraveghere a finalizat, în data de 14.04.2020, o investigație la operatorul Banca Comercială Română S.A., constatând încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. […]

Conflictul de interese al DPO-ului, sancționat cu 50.000 euro de către Autoritatea din Belgia

Autoritatea pentru Protecția Datelor din Belgia a surprins pe toată lumea când a publicat, în data de 28 aprilie 2020, decizia sa prin care a sancționat operatorul Proximus […]

Corespondența de Marketing fără consimțământ a costat EMAG 3000 euro

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 […]

Trei amenzi pentru Vodafone România SA în numai trei zile

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o primă investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare […]

Lipsa asigurării unui nivel de securitate corespunzător a condus la amendarea ENEL cu 3000 Euro

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 […]

Asociația „SOS Infertilitatea” amendată de ANSPDCP cu 2000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de […]

Vodafone România SA primește o amendă GDPR de 3000 euro

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor […]

Cipru: 82.000 € amendă pentru utilizarea unui sistem automat de monitorizare a concediilor medicale ale angajaților

Autoritatea de Supraveghere din Cipru a aplicat o amendă de 82.000 de euro unui grup de companii care au folosit un instrument automat pentru a monitoriza concediile medicale […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații […]

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului […]