15 Jul, 2019 11:59
3782
“încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”
“măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.”
“(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor")“
“Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.
Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească.”
“(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.”
raportat la art. 32 alin. (1) și alin. (2) din Regulament:
“(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”
Concret, Operatorul de date personale nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii. Astfel, o listă printată pe suport de hârtie, care era folosită de angajați ai WORLD TRADE CENTER BUCHAREST S.A. pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, a fost fotografiată de către persoane neautorizate din afara societății și publicată pe internet.
Autoritatea Naţională de Supraveghere a fost notificată de către Operator privind a această încălcare a Regulamentului, în conformitate cu art. 33 din RGPD, care prevede că:
“(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere...”
Tot în baza nerespectării art. 32 alin. (1) și alin. (2) RGPD a fost aplicată o nouă amendă de către Autoritatea Națională de Supraveghere, operatorului de date cu caracter personal LEGAL COMPANY & TAX HUB SRL. Conform comunicatului publicat pe site-ul Autorității Naționale de Supraveghere:
“Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.
Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.”
Tot în ghidul pentru aplicarea și respecarea prevederilor RGPD sunt sintetizate măsurile tehnice și organizatorice pe care operatorii și persoanele împuternicite de operatori trebuie să le implementeze pentru a asigura securitatea și protecția datelor:
capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
să pună la punct un proces pentru testarea, evaluarea și aprecierea periodice a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării;
pseudonimizarea și criptarea datelor cu caracter personal, după caz (aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii și persoanele imputernicite de aceştia să își îndeplinească obligațiile de protecție a datelor);
asigurarea faptului că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului intern;
aderarea la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată ca element prin care să se demonstreze de către operator sau împuternicit îndeplinirea cerinţelor privind implementarea de măsuri tehnice și organizatorice adecvate.
Pe site-ul Autorității Naționale de Supraveghere https://www.dataprotection.ro/ sunt publicate ghiduri de aplicare a Regulamentului 679/2016 privind protecția datelor, întrebări frecvente și răspunsuri, dar și știri privind anchete și amenzi aplicate, noutăți legislative și modul de aplicare.
Citește și Data Protection – soluții și responsabilități. Un an de la aplicarea GDPR în RomâniaTi-a placut articolul?
Adauga un comentariu
Nume:
Email:
Comentariu*: