Cum ne poate ajunge un click greșit să ne coste 2000 euro?

Article Cum ne poate ajunge un click gresit să ne coste 2000 euro? | Decalex

Doar o secundă de neatenție este suficientă

Ultima sancțiune impusă de autoritatea de supraveghere ne reamintește că suntem oameni și că oricare dintre noi putem avea un moment de neatenție care poate aduce prejudicii semnificative altor persoane și care poate să genereze costuri  financiare, operaționale și reputaționale considerabile. 

Un singur click greșit în momentul adăugării unui destinatar sau în momentul atașări unii document este suficient ca mail-ul și toate datele conținute de acesta să ajungă la o adresă greșită, fapt ce poate constitui o breșă de date potrivit Regulamentului UE 679/2016 („GDPR”)

 

Peste 11000 de persoane afectate

Potrivit autorității, un angajat unui furnizor se servicii de call center (Valoris Center S.R.L.), care acționa în calitate de operator împuternicit al unui operator, a atașat din eroare un document, pe care l-a trimis către un client al operatorului.

Datele a 11169  de clienți ai respectivului operator, care au serviciul de Internet Banking, se regăseau în acel document 

În cursul investigației autoritatea a constatat ca e-mailul, numele, CNP-ul, număr de telefon, codul și PIN-ul clienților operatorului  au fost divulgate sau accesate neautorizat

Astfel, autoritatea a constatat că „Valoris Center S.R.L., în calitate de persoana împuternicită de operator, raportat la prevederile art. 29 și 32 din Regulamentul General privind Protecția Datelor, nu a luat măsuri adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa

 

Cât poate să ne coste un click greșit?

2000 de euro a considerat autoritatea că este o sancțiune suficientă în raport cu natura și gravitatea incidentului. 

Probabil autoritatea a avut în vedere faptul că datele au fost dezvăluite doar unui singur destinatar, fapt ce reduce riscul ca persoanele vizate să suporte consecințe majore în urma acestui incident, cu toate că date cu un grad mare de sensibilitate (ex CNP, PIN) au făcut obiectul accesului și divulgării neautorizat. 

 

Morala:

O breșă poate pândi mereu la un click distanță

Oricâte măsuri de securitate am lua, dacă nu ne asigurăm că și împuterniciții noștri au capacitatea de a asigura securitatea și confidențialitatea datelor, datele noastre vor fi supuse unui risc însemnat.

 

Ce măsuri pot fi luate pentru a preveni astfel de situații

Am pregătit o listă (neexhaustivă) de măsuri pe care orice organizație ar trebui să o ia pentru a reduce pe cât posibil riscul ca datele sale să facă obiectul unei dezvăluiri neautorizate:

Instruirea continuă a personalului implicat în prelucrarea datelor

Aplicarea dispozițiilor de confidențialitate pentru angajații proprii

Structurarea datelor și setarea drepturilor de acces pe nivele (oferim acces la un anumit folder doar persoanelor care au nevoie de acces la respectivul fișier, în vederea îndeplinirii sarcinilor de serviciu ce îi revin)

Elaborarea de politici/proceduri pentru operațiunile de prelucrare care implică riscuri ridicate

Limitarea volumului datelor pe care le transmitem. Nu trimitem un un fișier excel care conține și date ca nu sunt utile destinatarului, doar pentru ca sunt în acel excel)

Criptarea datelor in tranzit. Criptarea documentelor transmise prin e-mail vă va scăpa de obligația de a notifica autoritatea

Configurarea serviciului de e-mail prin activarea funcției „external recipients warnings” 

 

De asemenea, trebuie remarcat faptul că, în acest caz, vinovat pentru accident a fost împuternicitul operatorului.

 

Ținem să reamintim să fiecare operator are obligația de a lua măsuri pentru a se asigura că împuterniciții săi oferă garanții suficiente pentru prelucrările realizate de acestea să asigure protecția datelor și a drepturilor persoanelor vizate.

 

Prin urmare, am schițat o listă  neexhaustivă de acțiuni pe care fiecare operator trebuie să le parcurgă atunci când contractează anumite servicii (când furnizorul de servicii are calitatea de împuternicit).

 

➲  Auditarea inițială a împuternicitului și elaborarea raportului de due diligence ce vizează activitățile de prelucrare a datelor de către împuternicit.

➲  Încheierea unui acord prin care să fie stabilite cu exactitate obligațiile părților din perspectiva protecției datelor

➲  Stabilirea unui set de măsuri tehnice și organizatorice pe care împuternicitul să le asigure atunci când prelucrează datele operatorului

➲  Re-auditarea periodică a împuternicitului

 

Pentru informații suplimentare privind obligatiile pe care operatorii le au pentru a se asigura ca imputernicitii lor ofera garantii suficiente sau pentru auditarea tertilor imputerniciti ne puteți scrie la office@decalex.ro.

 

Share:
Cristian Donciu
Autor: Cristian Donciu

Privacy & Data Protection Consultant

PUNE O INTREBARE