Amenda de 3000 de euro pentru încălcarea normelor privind securitatea datelor cu caracter personal

Article Amenda GDPR pentru expunerea publica de date personale

Starea de fapt; cum și de ce  a acționat ANSPDCP în modul în care a facut-o:

La 15 ianuarie 2024, ANSPDCP a emis o amendă unui operator de date din România, pentru încălcarea obligațiilor care îi revin în temeiul Articolului 32 GDPR, în valoare de aproximativ 15.000 de lei (echivalentul a 3.000 de euro). ANSPDCP a fost sesizată de încălcare și a început o anchetă. Rezultatul a fost descoperirea unei abateri constând în publicarea datelor cu caracter personal (ID, adresă, nume, prenume, adresă de e-mail, denumire companie, vânzări, abonament la buletine informative și ultimele date de conectare) ale unui număr semnificativ de clienți ai operatorului, pe site-ul  acestuia.

Această încălcare a datelor constituie, în conformitate cu articolul 32 GDPR, o divulgare neautorizată a datelor cu caracter personal. În acest caz operatorul avea obligația să țină seama de riscul producerii unui eveniment similar și, mai important, să ia măsuri de prevenire a acestuia. Astfel trebuie amintit ca, adoptarea GDPR a însemnat introducerea unui nou regim de responsabilitate atât pentru operatorii de date cu caracter personal, cât și pentru persoanele împuternicite de către aceștia. Din acestea putem aminti obligația de a securiza prelucrarea datelor cu caracter personal ale persoanelor vizate prescrisă la Articolul 32. Potrivit acestuia, atât operatorii, cât și persoanele imputernicite au obligația de a:

-        Evalua riscul care ar putea fi atribuit prelucrării datelor cu caracter personal ale persoanelor vizate;

-        Lua măsuri de natură tehnică și organizationala, astfel încât să se asigure că datele prelucrate sunt securizate, în raport cu riscul atribuit acestei prelucrări.

Analizând raportul oficial al ANSPDCP, putem observa că operatorul a notificat autoritatea din proprie inițiativă, urmând procedura instituită de articolul 33 GDPR. Aceasta arată că efectul încălcării a constituit un risc pentru drepturile și libertățile persoanelor vizate. În plus, arată că operatorul a întreprins măsuri pentru atenuarea daunelor create de încălcare, acționând în timp util, ceea ce nu este întotdeauna cazul, în ciuda obligației de a notifica ANSPDCP. Aici amintim faptul ca, conform Articolului 33 GDPR, operatorul de date cu caracter personal are obligația de a notifica autoritățile relevante de supraveghere - în cazul nostru ANSPDCP - în cazul unei probleme ce tine de procesarea datelor, în termen de 72 de ore de la descoperirea acesteia, cu excepția cazului în care se stabilește că încălcarea este nu va provoca riscuri pentru drepturile și libertățile persoanelor vizate. Cu toate acestea, dacă o analiza determina ca gradul de risc este unul mare mare, există obligația aditionala de a notifica și persoanele vizate, pe langa autoritate.

Aceste daune sunt abordate în considerentele GDPR și pot varia de la simple pierderi financiare pentru persoana vizată până la încălcarea drepturilor acestora prin pierderea controlului asupra datelor lor, devenind vulnerabile la furtul de identitate sau fraudă și, prin acestea, chiar la deteriorarea reputației lor. Menționarea acestor aspecte este deosebit de relevantă în cazul de fata deoarece încălcarea a implicat nu numai date legate de numele și detaliile de contact ale persoanelor vizate, ci și informații referitoare la vanzarile făcute de către operator persoanelor vizate. Astfel, aceste date ar putea fi utilizate de un terț rau-voit (ce activează sau nu în același segment de piata ca operatorul) pentru a crea un profil individualizat de marketing și de a se folosi, în mod ilegal de acesta pentru a-și face publicitate, sau pentru a vinde acest profil mai departe pentru a fi încadrat în alte baze de date mai ample.

Acest exemplu secundar are relevanta incat, datele obținute ilegal au o trasabilitate scăzută, iar în procesarea lor nu mai poate fi vorba de transparență sau de respectarea vreunui principiu de protectie a acestora. Astfel, asemenea profiluri pot fi folosite, după numeroase proceduri ilegale de către entități care devin foarte greu de identificat și urmărit, în scopul de a influența deciziile - în acest exemplu decizii de marketing luate de persoana vizată în urma expunerii la campanii de publicitate ilicita menită sa influenteze viitoare decizii de cumparare - persoanei vizate a cărei date au fost compromise si facute publice in bresa. Astfel persoana ar putea fi influențată să achiziționeze anumite produse de care nu are nevoie sau pe care, în lipsa expunerii la aceste presupuse campanii publicitare, nu le-ar fi considerat necesare, astfel aducand un prejudiciu stării sale materiale.

Recomandări:

S-ar putea spune multe despre cum această încălcare a datelor putea fi prevenita.  Pe baza declarațiilor ANSPDCP, precum și a regulilor GDPR, propunem o listă neexhaustivă de măsuri care, odata implementate, ar putea reduce riscul unei încălcări de aceeași amploare în viitor:

  1. Prima recomandare ar fi să vă asigurați întotdeauna, în calitate de operator de date cu caracter personal, că aveți o bună înțelegere nu numai a legii aplicabile, ci și a tipului de date pe care le procesați în cursul activităților dvs. Măsurile de precauție ce vor trebui implementate trebuie să țină cont de asigurarea că, drepturile și libertățile persoanelor vizate sunt respectate. Acesta poate părea un pas banal, dar are o mare importanță, deoarece conștientizarea în sine ar putea duce la o stare de atenție și grijă sporită în ceea ce privește modalitățile de procesare pe care alegeți să le folosiți sau nu. Este întotdeauna util să desemnați un responsabil cu protecția datelor (sau DPO, adică cineva care ar supraveghea partea de conformitate cu GDPR a afacerii dvs.) care ar putea să vă ajute în acest pas sau să solicitați ajutor de la însăși autoritatea de supraveghere (o obligație conform articolului 36, care ar putea servi și ca o metodă bună de prevenire) pe baza evaluării proceselor și a riscului implicat.
  2. O a doua recomandare ar fi adaptată normelor articolului 32, în special obligația de pseudonimizare și criptare a datelor cu caracter personal. Este important ca noi, în calitate de operatori, să ne asigurăm că, datele cu caracter personal raman inaccesibile chiar și în cazul unei scurgeri de date. Prin criptare, ele rămân într-o formă care nu poate fi atribuită cu ușurință unei entități anume ale cărei drepturi ar putea fi afectate. Criptarea asigură anonimatul și, având un nivel adecvat de anonimizare a datelor procesate, va puteți asigura că drepturile persoanelor vizate sunt mai bine protejate. În cazul de față, încălcarea sub forma divulgarii neautorizat a datelor cu caracter personal, nu ar fi cauzat același nivel de daune persoanelor vizate, dacă, erau criptate în mod corespunzător. Astfel aceste daune ar fi putut fi atenuate într-o oarecare măsură, deoarece nimeni nu ar fi putut folosi efectiv datele scurse într-un mod care ar fi putut cauza prejudicii suplimentare pentru persoanele vizate.
  3. A treia și ultima recomandare presupune crearea unui cadru de testare și evaluare, la intervale de timp stabilite, a măsurilor de securitate introduse. În cazul de față, această măsură face deja parte din sancțiunea pe care ANSPDCP a impus-o, dar în orice altă situație aceasta rămâne o parte importantă a procesului de asigurare a securității prelucrării datelor. Posibilitatea de a testa periodic măsurile pe care le-ați implementat pentru a securiza informațiile persoanelor vizate, vă permite să găsiți punctele slabe în implementarea dvs. și să le abordați în timp util, asigurându-vă astfel nu numai că riscul unei încălcări este minimizat, dar și că riscurile potențiale pentru drepturile și libertatea persoanelor vizate sunt, de asemenea, reduse.

 

Mihai Alexe

Data protection trainee

Decalex Digital

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE