Ce înseamnă încălcarea securității datelor cu caracter personal și care sunt consecințele încălcării prevederilor RGPD

Regulamentul European pentru Protecția Datelor cu Caracter Personal (RGPD) – cunsocut și ca Regulamentul European 679/2016, reglementează drepturile persoanelor vizate privind protecția datelor personale, precum și obligațiile operatorilor de date, fie că sunt instituții publice sau firme private.

Conform ghidului de întrebări și răspunsuri privind aplicarea RGPD, realizat de Autoritatea Națională de Supraveghere (A.N.S.P.D.C.P),

“încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”

Urmările neprotejării datelor personale pot fi multiple, de la discriminare, furt de identitate sau pierderi financiare, până la compromiterea reputației sau pierderea confidențialității datelor protejate prin secret profesional. Sancțiunile pentru încălcarea prevederilor RGPD și a legislației privind protecția datelor merg de la avertisment și amendă, până limitarea sau interdicția de a mai prelucra date cu caracter personal.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P) a finalizat mai multe anchete privind încălcarea Regulamentului European pentru Protecția Datelor cu Caracter Personal (RGPD) și a facut publice amenzile aplicate, precum și cauzele care au determinat aplicarea acestora. Prezentăm și noi 3 dintre aceste cazuri.

1. Amendă de 130.000 euro pentru nerespectarea articolului 25 "Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit" din RGPD

Prima și cea mai mediatizată amendă pentru încălcarea RGPD a fost aplicată operatorului de date cu caracter personal UNICREDIT BANK S.A., în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro. Ancheta a fost demarată în urma unei sesizări pe care A.N.S.P.D.C.P a primit-o în data de 22.11.2018.

Operatorul de date personale nu a respectat Articolul 25 "Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit" din RGPD, care prevede punerea în aplicare de

“măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.”

Conform articolului 5 alin. 1 lit. c) din RGPD ”Principii legate de prelucrarea datelor cu caracter personal”, operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele. Acesta trebuie să se asigure că datele personale sunt:

“(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor")“

De asemenea, în motivarea (78) din Regulamenul 679/2016 se precizează:

“Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.

Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească.”

Concret, operatorul de date cu caracter personal nu a implementat un sistem adecvat și eficient de protecție a datelor, ceea ce a făcut posibilă dezvăluirea în mediul online de documente cu detalii ale tranzacţiilor clienților băncii, date confidențiale precum CNP și adresa plătitorului, pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.

2. Amendă de 15.000 euro aplicată unui operator de date personale pentru încălcarea prevederilor art. 32 din RGPD referitor la "Securitatea prelucrării"

O nouă amendă pentru neaplicarea corespunzătoare a RGPD a fost făcută publică pe site-ul Autorității Naționale de Supraveghere la începutul acesti luni. Amenda din 02.07.2019 a fost dată operatorului WORLD TRADE CENTER BUCHAREST, în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Operatorul a fost sancționat pentru încălcarea prevederilor din art. 32 alin. (4) care face referire la "Securitatea prelucrării":

“(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.”

• raportat la art. 32 alin. (1) și alin. (2) din Regulament:

“(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”

 

Concret, Operatorul de date personale nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii. Astfel, o listă printată pe suport de hârtie, care era folosită de angajați ai WORLD TRADE CENTER BUCHAREST S.A. pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, a fost fotografiată de către persoane neautorizate din afara societății și publicată pe internet.

Autoritatea Naţională de Supraveghere a fost notificată de către Operator privind a această încălcare a Regulamentului, în conformitate cu art. 33 din RGPD, care prevede că:

“(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere...”

 

3. Amendă de 3.000 euro pentru divulgarea neautorizată și accesul neautorizat la datele cu caracter personal

Tot în baza nerespectării art. 32 alin. (1) și alin. (2) RGPD a fost aplicată o nouă amendă de către Autoritatea Națională de Supraveghere, operatorului de date cu caracter personal LEGAL COMPANY & TAX HUB SRL. Conform comunicatului publicat pe site-ul Autorității Naționale de Supraveghere:

“Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.” 

 

Ce măsuri trebuie să ia operatorii pentru asigurarea securităţii prelucrării datelor cu caracter personal?

Tot în ghidul pentru aplicarea și respecarea prevederilor RGPD sunt sintetizate măsurile tehnice și organizatorice pe care operatorii și persoanele împuternicite de operatori trebuie să le implementeze pentru a asigura securitatea și protecția datelor:

• capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

• capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

• să pună la punct un proces pentru testarea, evaluarea și aprecierea periodice a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării;

• pseudonimizarea și criptarea datelor cu caracter personal, după caz (aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii și persoanele imputernicite de aceştia să își îndeplinească obligațiile de protecție a datelor);

• asigurarea faptului că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului intern;

• aderarea la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată ca element prin care să se demonstreze de către operator sau împuternicit îndeplinirea cerinţelor privind implementarea de măsuri tehnice și organizatorice adecvate.

Pe site-ul Autorității Naționale de Supraveghere https://www.dataprotection.ro/ sunt publicate ghiduri de aplicare a Regulamentului 679/2016 privind protecția datelor, întrebări frecvente și răspunsuri, dar și știri privind anchete și amenzi aplicate, noutăți legislative și modul de aplicare.

Citește și  Data Protection – soluții și responsabilități. Un an de la aplicarea GDPR în România