News Flash:

Ce pot invata companiile din amenzile pentru GDPR de pana acum

12 Septembrie 2019
475 Vizualizari | 0 Comentarii
Newsletter
BZI Live Video Divertisment
Video Monden
Muzica Populara Curs valutar
EUR: 4.7432 RON (0.0000)
USD: 4.2921 RON (0.0000)
Horoscop
berbec
taur
gemeni
rac
leu
fecioara
balanta
scorpion
sagetator
capricorn
varsator
pesti

Pana acum (sep 2019) au fost amendate 4 companii pentru incalcarea Regulamentului de protectie a datelor personale. Cuvantul cheie aici este pana acum. Avand in vedere numarul de 23 de avertismente date doar in primul an de la intrarea in vigoare al GDPR, este foarte posibil ca sa auzim si de alte amenzi in curand. 

Ne-am propus prin acest articol sa trecem in revista cele patru amenzi, motivele pentru care au fost date si niste invataminte care se pot trage in baza lor. 

Oricum, inainte de a trece la amenzi am vrea sa scoatem in evidenta ca prima lectie de invatat care sunt zonele unde s-au constatat cele mai multe nereguli vizate de masurile corective de mai sus conform raportului comunicat de ANSPDCP. 

Plangerile si sesizarile primite au avut, in principal, ca obiect:

  • nerespectarea conditiilor legale ce privesc exercitarea drepturilor persoanelor vizate (de exemplu: drepturile de informare, acces, opozitie, dreptul de a fi uitat);
  • primirea de mesaje comerciale nesolicitate;
  • dezvaluirea de date personale pe Internet;
  • incalcarea principiilor de prelucrare a datelor cu caracter personal in legatura cu prelucrarea datelor in sistemul bancar;
  • conditiile de legalitate cu privire instalarea sistemelor de supraveghere video;
  • incalcarea regulilor de confidentialitate si securitate a prelucrarilor de date cu caracter personal.

Cauzele principale a acestor nereguli stau in opinia noastra pe de-o parte tocmai pe intelegerea si aplicarea eronata a principiilor noului Regulament de catre profesionistii din GDPR, adeseori dublata de o abordare superficiala a managementului operatorilor fata de protectia datelor.

Cum in directia superficialitatii nu puteam face mare lucru, problemele de interpretare si confuziile pe marginea aplicabilitatii normelor GDPR ne-au inspirat sa creem o aplicatie software de audit prin care orice operator de date (companie, institutie publica, ONG) isi poate verifica implementarea existenta sau sa isi implementeze singuri GDPR de la zero strict in baza softului respectiv.   

Captura de ecran din interfata aplicatiei GDPR Audit

Iar acum haideti sa luam lista amenzilor in ordine inversa, incepand cu cea mai recenta. 

1. UTTIS INDUSTRIES SRL, amendata cu 2 500 euro

Operatorul UTTIS INDUSTRIES SRL se adauga listei companiilor amendate in baza GDPR de catre ANSPDCP, fiind al 4-lea la numar.

Dupa cum era de asteptat, in contextul ultimelor ghiduri si discutii pe marginea subiectului CCTV –  supraveghere video, amenda a fost una care vizeaza nerespectarea Regulamentului cu privire la informarea persoanelor vizate de supraveghere video.
Astfel, nu faptul ca Operatorul foloseste un sistem CCTV pentru paza si protectie a fost problema ci lipsa informarii adecvate.

In aceasta situatie, pentru ca normele GDPR sa fie urmate, trebuia facuta o informare a angajatilor cu privire la scopul, durata, locul etc. supravegherii video chiar si prin simpla afisare a unor pictograme in punctele cheie.

3. Legal Company & Tax Hub SRL, amendata cu 3000 de EURO. 
Ironia sortii face ca Legal Company & Tax Hub SRL sa fie chiar o companie de consultanta in domeniul GDPR. Problema in cazul lor a fost un link public catre un fisier neprotejat suficient care continea si datele cu caracter personal ale clientilor companiei respective. 

Oricat de tentante ar fi pentru unii comentariile rautacioase pe tema amenzii luate de un furnizor de servicii GDPR, aceasta amenda este probabil cea mai clara dovada ca i se poate intampla oricui, compania in cauza fiind la urma urmei:

  • O firma mica
  • Cu un site relativ mic
  • Cel mai probabil fara un buget extraordinar
  • Cu un proprietar/manager fara cunostiinte deosebite in IT,  
  • Si un furnizor care face o eroare umana, greu spre imposibil de detectat, atunci cand nu ai cunostiintele tehnice necesare. 

Oare cate mii de astfel de cazuri nedescoperite si neamendate or fi prin Iasi?  

2. Hotelul World Trade Center, amendat cu 15.000 de EURO
Incalcarea a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti,  a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.

Cel mai interesant lucru de retinut in comunicatul Autoritatii despre aceasta amenda este faptul ca operatorul a fost sanctionat pentru ca nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.

Mai pe romaneste, amenda nu pare sa fi fost pentru scurgerea de date in sine. Oricine poate intra intr-un hotel, sa pozeze o lista cu numele de la micul dejun si sa o puna pe Facebook de exemplu. Problema a fost faptul ca operatorul nu a luat masuri ca sa previna astfel de incidente. 

Asadar iata de ce este important ca fiecare companie sa faca eforturi si sa ia masuri de conformare la GDPR, chiar daca erori si scurgeri de date pot aparea oriunde. 

Ceva ne spune ca in cazul acesta, daca hotelul ar fi putut demonstra existenta masurilor in cauza, sa nu mai fi incasat amenda.  

Pai ce masuri ar fi putut lua?

  • Minim, instruirea angajatilor cu privire la ce au si ce nu au voie sa faca cu lista respectiva (eg sa nu o lase ‘nesupravegheata’, la intrarea in restaurant)
  • Ideal, sistemele de oferire a micului dejun care nu necesita scrierea numelor oaspetilor, gen bratari sau cupoane oferite la momentul cazarii special in acest sens. 

1. Unicredit Bank, amenda de 130.000 de EURO pe 27 iunie 2019

In acest caz principala problema reiesita din comunicatul Autoritatii este faptul ca in situatia in care o persoana efectua o plata online prin Unicredit, beneficiarul platii primea si CNP-ul si adresa platitorului in cazul platilor spre conturi din alte banci, respectiv adresa platitorului in cazul platilor interne. 

Aceste informatii apareau in ‘documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor’ - adica in extrasele de cont/detalii.

Desi Unicredit, are categoric dreptul sa colecteze CNP-urile respective, aspectele problematice au fost ca:

  • informatiile divulgate reprezentau o scurgere de date cu caracter personal
  • platitorul nu a fost informat cu privire la transmiterea datelor sale spre persoanele spre care facea platile. 
  • nu s-a respectat principiul privacy by design si privacy by default in directia conformarii aplicatiilor / platformei de plati a operatorului vizat de sanctiune. O posibila solutie ar fi fost ca in loc sa apara CNP-ul complet sa apara doar ultimele 6 cifre. 

In concluzie, merita retinute urmatoarele:

  • GDPR este real. Consumatorii sunt tot mai educati despre drepturile lor, reclama tot mai des probleme semnalate la operatorii cu care intra in contact iar Autoritatea chiar face controale si chiar da amenzi. 
  • Amenzile acestea nu se dau doar pentru bresele sau incidentele de securitate in sine, ci si pentru lipsa unor proceduri menite sa asigure conformarea. In acest sens, o aplicatie de audit GDPR poate fi o solutie convenabila prin care sa va testati conformarea si chiar sa va implementati singuri GDPR. 
  • Nu colectati / nu prelucrati mai multe date decat aveti nevoie si atentie la conformarea la GDPR a furnizorilor cu care lucrati. 

Iar ca o concluzie mai generala, desi interpretarile GDPR pot fi multiple si uneori specificul complicat, pana la urma ceea ce se doreste prin GDPR este pana la urma preocuparea fireasca fata de datele personale ale celor care apeleaza la serviciile / produsele dumneavoastra. 


Acest articol a fost scris in parteneriat cu echipa GDPRComplet
 

Daca ti-a placut articolul, te asteptam si pe pagina de Facebook. Avem si Instagram.

Galerie Foto


gdpr
Distribuie:  

Realitatea.net

RomaniaTV.net

Din aceeasi categorie

Site-ul bzi.ro nu raspunde pentru opiniile postate in rubrica de comentarii, responsabilitatea formularii acestora revine integral autorului comentariului.

Mica publicitate

© 2019 - BZI.ro - Toate drepturile rezervate
Page time :0.8615 (s) | 23 queries | Mysql time :0.736497 (s)