Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

Amenzi GDPR

Vizualizari: 7970

Facebooktwittergoogle_plusredditpinterestlinkedinmail

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de grijulii ne place să credem că suntem.

Dar de ce să ne limităm la un stick și să nu luăm în calcul la pierderea oricărui tip de dispozitiv mobil pe care sunt stocate date cu caracter personal? Și aici aș include, pe lângă stick-uri, telefoane mobile, tablete, laptop-uri, HDD-uri externe, mai nou ceasuri, carduri de memorie și nu numai.

Apropo de costuri, v-ar putea interesa și articolul, publicat acum câteva zile, despre cum a ajuns o copie de buletin să coste 10.000 €, atunci când principiile prevăzute de GDPR nu sunt puse în practică. 

Cel mai bine este să învățăm din greșelile altora

Autoritatea de supraveghere maghiară (Autoritatea) a publicat pe site-ul său, în data de 06/25/2019 decizia NAIH/2019/2471/6, ca urmare a finalizării investigației unui incident de securitate raportat de Poliția din Budapesta (Poliția) la 25 februarie 2019.

Conform raportului incidentului, la 11 ianuarie 2019, în îndeplinirea sarcinilor sale la sediul Poliției din Budapesta, un angajat al acestei instituții (să-l numim Politistul X) a pierdut un stick de memorie care conținea o listă a angajaților Poliției alături de dosarele de personal ale acestora. Documentele conțineau informații personale ale celor 1.733 de polițiști, cum ar fi numele nașterii, data nașterii, numele mamei, numărul TAI (probabil CNP), titlul postului.

Cum poți pierde datele a peste 1700 de polițiști?

Polițistul X participase la o ședință a conducerii instituției, datele de pe stick fiind necesare analizei impactului unei schimbări legislative. Între locația unde s-a ținut ședința, hotelul unde a fost cazat și înapoi la sediul poliției în cea de-a doua zi, stick-ul, care ar fi trebui să fie legat la breloc alături de cheile polițistului, a „evadat” din custodia acestuia, fără urmă.

Așa cum era de așteptat, nici stick-ul de memorie și nici fișierele pe care le conținea nu au fost protejate împotriva accesul neautorizat, prin criptare sau parolare, astfel că puteau fi accesate de oricine intra în posesia stick-ului. Cu toate acestea, datele de pe stick erau în copie, putând fi recuperate din alte surse.

Lungmetrajul investigației dispariției misterioase

Deși Politistul X și-a anunțat imediat superiorul cu privire la incidentul de securitate respectiv și cu privire la informațiile pe care stick-ul le conținea, Poliția a informat autoritatea de supraveghere maghiară despre incidentului, în conformitate cu articolul 33 alineatul (5) din Regulamentul general privind protecția datelor, abia după mai bine de o lună de la pierderea stick-ului.

În urma acelei breșe, pentru a evita incidentele similare viitoare și pentru a atenua riscurile, Poliția a efectuat audituri interne pentru a înregistra, gestiona și documenta predarea suporturilor externe de stocare a datelor.

Investigațiile Poliției au durat pană în data de 8 februarie 2019, când DPO-ul instituției a luat legătura cu autoritatea de supraveghere maghiară solicitând o rezoluție cu privire la nivelul de risc prezentat de incident privind drepturile și libertățile persoanelor vizate. 

Autoritatea a opinat că incidentul este considerat fundamental riscant fiind vorba de date personale care nu sunt publice, cum ar fi numele și funcția, însă nu a identificat indicii ale accesului, dezvăluirea sau comunicarea neautorizată în urma pierderii stick-ului.

Cu toate acestea, autoritatea a considerat că riscul expunerii la o încălcare continuă a confidențialității justifică raportarea incidentului la autoritate în temeiul articolului 33 alineatul (1) din Regulamentul general privind protecția datelor. 

Poliția a trimis prin poștă, în data de 25 februarie 2019, Formularul de raportare a incidentelor, completat corespunzător art 33 (5).

Ce a decis autoritatea?

În urma trimiterii formularului, Autoritatea a inițiat procedura formală de investigare prin a constată că Poliția nu a respectat dispozițiile privind protecția datelor cu caracter personal și nu a raportat fără întârziere incidentul, sancționând-o cu o amendă administrativă în valoare de 5.000.000 de HUF, însemnând aproximativ 15.000 de euro.

Morala

Dacă o copie de buletin poate ajunge să coste 10.000 de euro atunci când sunt ignorate prevederile GDPR, iartă că în aceleași condiții pierderea unui stick poate să ne coste chiar mai scump. 

Fiecare dintre noi putem sa ne trezim victime ale unei situații de genul acesta, indiferent ca discutam despre un stick, un telefon, un HDD extern, un laptop sau orice alt dispozitiv mobil care poate conține date personale. 

În cele mai multe cazuri, putem evita o mare bătaie de cap aplicând câteva soluții accesibile tuturor: backup periodic, pseudonimizarea datelor acolo unde este posibil, parolarea dispozitivelor și/sau criptarea lor sau a datelor personale pe care le conțin.

De reținut: Pseudonimizarea, criptarea și/sau parolarea ne pot scăpa de notificarea breșei

Art. 33 din GDPR, care instituie obligația notificării autorității de supraveghere în cazul încălcării securităţii datelor cu caracter personal include o excepție extrem de importantă.

Astfel în cazul în care o breșă de securitate este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, nu este obligatorie notificarea autorității.

Să luam exemplul stick-ului de memorie: dacă pierdem un stick care conține date personale dar este criptat, sau dacă fișierele stocate pe acesta sunt criptate, riscul asociat acestui incident este scăzut, nefiind necesara notificarea autorității. Dacă pierdem telefonul dar acesta este parolat și conținutul acestuia nu poate fi accesat, atunci am scăpat de notificarea autorității.

Apropo, asta nu înseamna că scăpam și de consemnarea acestor breșe în registrul de incidente! 

Cu ceva timp în urmă Elenea Marc ne-a recomandat 6 soluții IT esențiale în procesul de aliniere la GDPR, utile oricărui tip de business. 

Mai mult, unele dintre soluțiile software open source menționate în articolul de mai sus, dar și multe altele, pot fi descărcate și utilizate în mod gratuit de pe site-ul nostru, accesând pagina Resurse Utile > Aplicații software.

 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Corespondența de Marketing fără consimțământ a costat EMAG 3000 euro

Amenzi GDPR

Vizualizari: 3879

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.

Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trei amenzi pentru Vodafone România SA în numai trei zile

Amenzi GDPR

Vizualizari: 3376

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o primă investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor personale stabilite prin prevederile art. 5 alin. (1) lit. d) și f) coroborate cu art. 5 alin. (2) din Regulamentul General privind Protecția Datelor,  Vodafone România SA fiind sancționată contravențional cu amendă în cuantum de 14308,8 lei, echivalentul a 3.000 euro. 

La numai doua zile după aceea, în data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o a doua investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat și dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.

Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.

Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Lipsa asigurării unui nivel de securitate corespunzător a condus la amendarea ENEL cu 3000 Euro

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 […]

Asociația „SOS Infertilitatea” amendată de ANSPDCP cu 2000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de […]

Vodafone România SA primește o amendă GDPR de 3000 euro

În data de 11.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat  principiile de prelucrare a datelor […]

Cipru: 82.000 € amendă pentru utilizarea unui sistem automat de monitorizare a concediilor medicale ale angajaților

Autoritatea de Supraveghere din Cipru a aplicat o amendă de 82.000 de euro unui grup de companii care au folosit un instrument automat pentru a monitoriza concediile medicale […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

2 amenzi, 2 avertismente și 4 măsuri corective pentru o companie din România

Relațiile dintre angajatori și angajați se pot termina cu tensiuni, care pot conduce spre deznodământuri neplăcute pentru părți. Nu este un secret faptul că, de multe ori, angajații […]

Enel Energie S.A a platit o amendă GDPR în valoare de 6000 Euro

Ca urmare a unei plângeri depusă la ANSPDCP prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele reclamanului, in lipsa dovezii obținerii consimțământului […]

Prima amendă GDPR în 2020 aplicată către Hora Credit IFN S.A

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor […]

Amendă GDPR pentru UMIDITATE: 320 000 EUR

Autoritatea engleză pentru protecția datelor (ICO), a emis o amendă de 320 000 EUR împotriva Doorstep Dispensaree Ltd. după ce a constatat că operatorul a stocat un număr […]

Prima Asociație de Proprietari amendată pentru încălcarea GDPR-ului

Autoritatea Națională de Supraveghere a anunțat pe site-ul său prima amendă care vizează o asociație de proprietari. Investigația autorității a pornit de la plângere formulată de un locatar […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Telekom Romania amendată pentru nerespectarea principiului exactității datelor

Sancțiunile impuse de Autoritatea națională de supraveghere (ANSPDCP) în ultima perioadă ne întăresc convingerea că operatorii de date nu riscă amenzi doar în cazul unor breșe de securitate […]

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor Două companii din România, Nicola Medical Team 17 SRL și Modern […]

Un nou spital este amendat pentru nerespectarea GDPR

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat. Amenda finală se bazează pe mai […]