Prima amendă GDPR în Belgia a fost aplicată unui primar

Brese de securitate

Vizualizari: 4352

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea de supraveghere din Belgia a impus prima penalizare financiară de la intrarea în vigoare a GDPR, ne informează Comitetul European pentru Protecția Datelor.

Probabil mulți dintre cititori vor închide pagina acestui când vor afla cuantumul amenzii, însa vă atragem atenția că interesant este motivul aparent minor pentru care a fost acordata această sancțiune și mesajul transmit de autoritatea belgiană.

Pe scurt: Un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 (doi) locuitori ai orașului său.

Cei doi reclamanți au intrat în contact cu primarul municipalității, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților.

În urma audierii părților, Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrate primarului.

Utilizarea datelor personale de către reprezentanții politici în scopuri electorale reprezintă o problemă de mare preocupare pentru cetățeni. Este important să ne amintim că agenții publici trebuie să respecte legea”, declara Hielke Hijmans, Președintele Camerei de soluționare a litigiilor.

Conform principiilor legate de prelucrarea datelor cu caracter personal, respectiv art. 5 (b) din GDPR, datele pot fi “colectate în scopuri determinate, explicite şi legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri”. Prin urmare, adresele e-mail-urilor primite de către primar într-un scop precis, au fost utilizate într-un alt scop, acest lucru fiind o încălcare a dispozițiilor Regulamentului general de protecție a datelor.

Pe cat de mica este amenda pe atât de puternic este mesajul

La o lună de la preluarea mandatului noului Consiliu de administrație au autorității belgiene, acesta transmite un mesaj foarte important: “protecția datelor este responsabilitatea tuturor”.

Camera de litigii a autorității belgiene consideră că respectarea principiului scopului este unul dintre regulile cruciale ale GDPR-ului și că titularii unui mandat public (cum este primarul în cauză), cărora cetățenii le-au încredințat date personale, trebuie să fie în mod special vigilenți. Ei trebuie să realizeze că datele obținute în serviciul public nu pot fi reutilizate niciodată pentru câștig personal.

Hielke Hijmans, recent numit Director al Autorității belgiene pentru protecția datelor și Președinte al Camerei de litigii, a afirmat: "Respectarea GDPR-ului se aplică tuturor operatorilor și, desigur, pentru deținătorii unui mandat public. Este de așteptat ca un primar să fie conștient de reglementări și să-și respecte obligațiile".

După ce am schițat acest articol, l-am recitit și inevitabil am zâmbit. Voi vă puteți imagina un funcționar public, cu funcție de conducere, amendat în România pentru transmiterea a doua mail-uri fără respectarea principiilor protecției datelor personale? Exact, nici eu..

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Un funcționar public condamnat la 6 luni cu suspendare pentru încalcarea GDPR

Brese de securitate

Vizualizari: 844

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform unui comunicat transmis de Autoritata de Supraveghere din Marea Britanie (ICO),  un fost angajat în cadrul Departamentului de asistență și servicii sociale din Dorset a fost urmărit penal pentru accesarea dosarelor de asistență socială fără autorizație. Astfel, în urma unei anchete interne s-a constatat că doamna Shipsey a accesat în mod necorespunzător registrele de asistență socială a patru persoane cunoscute de aceasta, fără să aibă o împuternicire în acest sens.

Michelle Shipsey s-a prezentat în fața Curții de Justiție și a recunoscut infracțiunea de obținere ilegală a datelor cu caracter personal, încălcând astfel art. s170 din Legea privind protecția datelor, fiind condamnată cu suspendare la 6 luni și la plata cheltuielilor de lire sterline 700 plus o suprataxă de 20 de lire sterline.

Hazel Padmore, șeful comisiei de investigare a declarat: "Deși nouă în această funcție, Doamna Michelle Shipsey a fost instruită atât domeniul protecției datelor cât și în domeniul securității cibernetice și, prin urmare, era perfect conștientă de responsabilitățile pe care le avea față de păstrarea confidențialității persoanelor. Acestă condamnare trimite un mesaj clar, că vom lua măsuri ferme împotriva persoanelor care abuzeaze poziția de încredere.”

Nu este prima dată când scriem despre factorul uman în top 3 cauze ale breșelor de securitate. Vezi și articolul Sunt angajații un risc de securitate?

Concluzia rămâne valabilă: Carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale este un factor de risc. Acesta poate fi diminuat substanțial în urma instituirii angajatilor cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ATENȚIE! SCRISOARE INȘELATOARE (SCAM LETTER) TRANSMISĂ COMPANIILOR DIN ROMÂNIA

Brese de securitate

Vizualizari: 1283

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La nivelul UE, de la începutul acestui an, o tentativă de înșelăciune circulă sub forma unor scrisori care sunt transmise de regulă în format fizic (hârtie) la registratura companiilor vizate. Practica a fost raportată și în România. Prima scrisoare de acest gen despre care am fost informați a fost emisă în luna februarie 2019 și am analizat în detaliu la acea dată particularitățile de redactare ale acestor adrese, care dau de gol tentativa de înșelăciune – oferim în continuare linkul articolului de la acea dată, pentru o aprofundare amănunțită a fenomenului (accesibil utilizatorilor Linkedin): https://www.linkedin.com/pulse/analiza-unei-tentative-actuale-de-phisihing-alex-gheorghe/.

În această lună, am fost informați că scrisori de înșelăciune au fost deja emise în format fizic unor companii din țară. În cazul în care primiți o astfel de scrisoare înșelătoare, vă oferim câteva recomandări pentru a evita capcana și totodată a preveni, pentru voi, pentru alte companii din grup, chiar pentru parteneri de afaceri și de ce nu, pentru concurenți (până la urmă, vă asigurăm că piața ar fi anostă fără ei!):

  • Instruiți-vă angajații care activează în cadrul recepției/registraturii sau care răspund la adresele de mail generale de tipul office@......, contact@........., suport@....... să pună la îndoială veridicitatea unor astfel de adrese care par a avea un caracter oficial, administrativ, adică având antet, multe chenare, cadrane, par a fi emise de autorități din UE (cum ar fi European Central Register, European Register of Commerce, European Business Number, NET GmbH sau DAD GmbH sau iată cazul din prezentul articol), toate acestea având ca scop generarea unei stări de panică, urmată de o acțiune imediată de conformare la cele solicitate în scrisoare. Aceste scrisori nu se vor completa cu informații, nu se vor semna de către reprezentanții companiei și nu vor fi retransmise expeditorului!
  • Angajații susmenționați ar trebui să primească informațiile unei singure persoane din intern pe care să o contacteze în astfel de situații: DPO sau InfoSec manager, iar pentru companiile care nu au desemnat un Responsabil cu protecția datelor, persoana desemnată din cadrul departamentului juridic sau conformitate (compliance) pentru a răspunde (în sensul de a fi sesizată) în astfel de situații. În general recomandăm evitarea plasării multiplelor adrese de mail în CC așa cum știm că se practică în corporațiile din România, practică care conduce în opinia noastră la escaladarea greoaie a unor informații care ar trebui să ajungă cu maximă rapiditate la persoanele specializate în gestionarea acestor tipuri de situații;
  • După identificarea adresei ca având un conținut „înșelător” și soluționarea internă, ar trebui să învățăm din această întâmplare care constituie un mijloc de împrospătare a igienei organizaționale (din punct de vedere al securității fizice a informațiilor și Cybsersecurity). Astfel, recomandăm arhivarea adresei primite și reconstituirea traseului parcurs în intern până la momentul în care a fost oferită o rezoluție unanim acceptată instituțional cu privire la gestionarea acesteia, observând propunerile de îmbunătățire a timpilor de răspuns (a reacției), educarea angajaților cu o recurență necesară, etc. Ulterior, adresa ar trebui arhivată într-un dosar de „Cazuri securitatea datelor” spre exemplu pentru că astfel de tentative se vor repeta în viitor, chiar dacă într-un format mai mult sau mai puțin diferit, așa că, ne vom mai întoarce la trecut!
  • Nu ezitați să împărtășiți informații despre astfel de tentative! Nu numai că puteți contribui la bunăstarea mediului de business în care activați, dar puteți beneficia de învățăturile și experiența altora, care poate au trecut deja prin experiențe similare și dețin mai multe informații. La urma urmei, naivii învață din experiențele lor, deștepții învață din experiențele altora, spune un înțelept!

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

A început Războiul de independență al operatorilor de date din România

Nu știu alții cum sunt dar eu când mă gândesc la operatorii de date cu caracter personal care își proclamă independența peste noapte mă apucă panica. Numai în […]

Legea care a permis partidelor să copieze listele suplimentare încalcă GDPR-ul!?

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Regulamentului general privind protecţia datelor), în vigoare de la 31 iulie 2018, „riscă” să fie […]

Atac necruțător asupra sistemelor IT ale Edenred

La finalul săptămânii trecute, Grupul Edenred, unul dintre principalii emitenți de carduri, tichete și soluții pentru beneficii extra-salariale la nivel mondial, anunța pe site-ul său că sistemele IT ale companiei […]

Amendă usturătoare pentru cea mai mare firmă românească de curierat

Autoritatea Națională de Supraveghere (ANSPDCP) a anunțat ce-a de-a IX-a amendă pentru încălcarea prevederilor Regulamentul (UE) 2016/679 (GDPR).  Conform comunicatului emis ieri (25.09.2019) de Autoritate, cea mai mare […]

Dacă ai votat pe listele suplimentare partidele au aflat totul despre tine. Iată ce poți face

Peste 1.700.000 de votanți au fost înscriși pe listele suplimentare din țară și din străinătate în timpul alegerilor pentru Președintele României din data de 10 Noiembrie 2019. Dacă […]

UniCredit a suferit o nouă breșă de securitate. Datele a 3 mil. de clienți italieni compromise

UniCredit a descoperit o nouă încălcare a datelor care implică înregistrările a 3 milioane de clienți italieni, anunță agenția de presă Reuters. Acesta este cel de-al treilea incident […]

Platformele digitale ale Garanti Bank indisponibile în urma unui atac cibernetic

  Banca Garanti BBVA (banca-mamă a Garanti Bank România și totodată a doua mare bancă privată din Turcia) şi compania de telecomunicaţii Türk Telekom au fost țintele unor […]

Johannesburg asediat de atacurile hackerilor. Infrastructură IT a orașului a fost paralizată

Ziua de ieri a fost una tensionată pentru orașul Johannesburg. Două grupuri de hackeri aparent separate au amenință că vor închide sectorul financiar și administrația locală a orașului […]

7,5 milioane de conturi Adobe au fost expuse

Datele a  7,5 milioane de utilizatori Adobe Creative Cloud au fost descoperite de un cercetător de securitate în această lună într-o bază de date expusă inadecvat și care […]

Un nou atac phishing vizeaza compania FanCourier

La numai trei luni de la un astfel de incident in cadrul aceleiasi companii, FanCourier anunta, tot printr-un comunicat postat pe pagina web, ca fost lansat un nou […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Soluții pentru managementul și securitatea dispozitivelor mobile

Telefoanele mobile și tabletele nu mai sunt doar simple gadget-uri pe care le folosim ocazional ci au devenit extensii ale noastre, fără de care nu mai putem lipsi. […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Sursa Wall-Street.ro bănuită de Nemo Express că a participat la atacul cibernetic

Într-un drept la replică solicitat portalului Wall-Street.ro, Nemo Express confirmă un atac cibernetic care a avut drept tinta platforma myAWB, sectiunea de Confirmari, afirmând că scopul evident a […]