0 comentarii la „Amendă GDPR de 400 000 EUR: încălcarea securității datelor și nerespectarea duratei de păstrare”

Amendă GDPR de 400 000 EUR: încălcarea securității datelor și nerespectarea duratei de păstrare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protecția insuficientă a datelor personale ale utilizatorilor site-ului său web și pentru modul necorespunzător de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a reținut faptul ca societatea SERGIC este specializată în dezvoltarea imobiliară, cumpărarea, vânzarea, închirierea și administrarea proprietăților. În scopul desfășurării activității sale, a creat și gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clienților încărcarea și descărcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat că poate accesa, din spațiul sau personal de pe site, documentele salvate de alți utilizatori prin modificarea ușoară a adresei URL afișate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat că documentele transmise de către solicitanți pentru închiriere au fost accesibile în mod liber, fără autentificare prealabilă. Aceste documente includeau copii ale cărților de identitate, declarațiilor fiscale, certificatelor eliberate de fondul de alocații familiale, hotărâri de divorț, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate și a încălcării în consecință a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu această ocazie, a devenit evident că societatea era conștientă de vulnerabilitate încă din martie 2018 și că, dacă ar fi inițiat dezvoltări informatice pentru a o corecta, deficienta putea fi înlăturată complet pana la data controlului.

Doua încălcări ale GDPR

In primul rând, CNIL a constatat că societatea SERGIC nu și-a îndeplinit obligația de a asigura securitatea datelor personale ale utilizatorilor site-ului său, prevăzută la articolul 32 din GDPR.
Compania nu a avut o procedură de autentificare a utilizatorului pentru site, pentru a se asigura că persoanele care accesează documentele au avut acest drept, chiar dacă era de așteptat o astfel de măsură elementară. Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție și, pe de altă parte, de lipsa de diligență a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decât după 6 luni și nu au fost luate măsuri de urgență pentru a limita impactul vulnerabilității.

In al doilea rând, autoritatea a constatat faptul că societatea a păstrat în baza sa activă de date toate documentele transmise de către candidați, fără o limitare a duratei de păstrare.

Concluzii

In motivarea sancțiunii, CNIL a reamintit că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie să fie stabilită în funcție de scopul prelucrării.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins și că nici un alt scop nu justifică păstrarea datelor în baza activă, datele trebuie fie șterse, fie arhivate, dacă retenția este necesară pentru respectarea cerințelor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea încălcărilor, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele astfel accesibile au relevat aspecte foarte intime ale vieții oamenilor. De asemenea, a ținut cont și de mărimea companiei și de situația sa financiară.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informațiilor: https://www.cnil.fr

0 comentarii la „De ce trebuie șterse datele personale”

De ce trebuie șterse datele personale

Autoritatea daneză pentru protecția datelor Datatilsynet a aplicat recent prima sa amendă pentru încălcarea GDPR de către compania de taxi Taxa 4 × 35 (Taxa), pentru păstrarea anumitor date ale clienților pentru mai mult timp decât era necesar.

Încălcarea principiului minimizării datelor personale

Autoritatea daneza a constatat că societatea Taxa nu a respectat principiul minimizării datelor GDPR prin reținerea datelor cu caracter personal mult timp după limita de reținere preconizată pentru astfel de categorii de date. Taxa a eliminat numele și adresele clienților după doi ani de reținere, dar au păstrat numerele de telefon ale clienților pentru încă trei ani. Taxa a susținut că numerele de telefon au reprezentat o parte esențială a bazei sale de date IT și, prin urmare, nu au putut fi șterse în același timp.

Autoritatea de protecție a datelor nu a fost de acord cu justificarea că o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de încălcare gravă a confidențialității datelor. În plus, încercările de anonimizare ale datelor deținute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societățile să facă imposibilă conectarea anumitor informații astfel încât sa nu poată fi identificata o persoană fizica. În ciuda ștergerii numelor clienților de la Taxa, informațiile ce au rămas în sistemul său informatic pot totuși sa identifice persoanele vizate prin numerele de telefon.

Care este relevanța sancțiunii?

Autoritatea din Danemarca a aplicat o amendă de 1,2 milioane de coroane, adică aproximativ 160,754 EUR. Aceasta reprezintă aproximativ 2,8% din cifra de afaceri anuală a companiei, ceea ce demonstrează, în esență, disponibilitatea autorităților de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amendă în Danemarca nu ar fi depășit 25.000 de coroane (aproximativ 3.350 de euro). Această amenda consistenta  este legata de cantitatea mare de date despre clienți de care compania nu a mai avut nevoie, ci a păstrat-o prea mult timp – și anume numere de telefon personale conectate la nouă milioane de călătorii de taxi. Decizia autorității stabilește, de asemenea, și un precedent, in sensul că limitările organizaționale ale procedurilor și aplicațiilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-păstra datele cu caracter personal. Companiile care se confruntă cu astfel de limitări sunt nevoite să exploreze alte soluții pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon și a informațiilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sancțiunea autorității daneze este prima impusă în aceasta țară pentru nerespectarea cerințelor GDPR, după cum tot prima a fost și amenda din Polonia pentru încălcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de către o companie a informării persoanelor vizate cu privire la modul în care prelucrează datele lor personale,  sau amenda-record aplicata în Franța gigantului Google, despre care am scris pe larg anterior.

Este evident că această listă de „prime sancțiuni” este într-o continua creștere, în condițiile în care autoritățile de reglementare din UE vor folosi, fără îndoială, practica recentă ca element definitoriu pentru viitoarele controale și sancțiuni. Operatorii de date personale sunt nevoiți astfel să țină seama de sancțiunile aplicate în întreaga UE pentru a aprecia consecințele încălcării GDPR și a începe să adopte măsuri tehnice și organizatorice de protecție a datelor personale.

0 comentarii la „De ce chiar avem nevoie de GDPR: bazele publice de date”

De ce chiar avem nevoie de GDPR: bazele publice de date

Existența companiilor care extrag informații din bazele de date publice și ulterior le vând sau revând, într-o formă sau alta, publicului larg, nu reprezintă nicio noutate. Activitatea acestor companii se desfășoară în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri și portale, nefiind afectate (până acum) de legislația europeană privind protecția datelor personale.

Probabil că v-ați confruntat de numeroase ori cu diverse solicitări cu caracter comercial, provenite de la persoane ce justifică deținerea datelor dumneavoastră cu caracter personal ca fiind preluate din baze de date publice. Sau poate ați fost puși în situația de a cumpăra chiar de la aceste societăți părți din aceste baze de date, pentru diverse activități de marketing. Credeți că doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucrării datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru încălcarea obligației de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activităților Economice din Polonia, echivalentul Registrului Comerțului din Romania. Prin decizia de sancționare, s-a reținut în esență faptul ca, deși acele informații proveneau din surse publice, compania amendata le folosea pentru activități comerciale, fapt ce generează obligațiile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obligației de informare cu privire la persoanele fizice care desfășoară activități economice. Aceste persoane sunt atât antreprenorii care desfășoară în prezent o astfel de activitate, sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut. Operatorul de date personale și-a îndeplinit obligația de informare furnizând informațiile cerute de art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție. În cazul celorlalte persoane, operatorul nu a respectat obligația de informare – așa cum s-a explicat în cursul investigației – din cauza costurilor operaționale ridicate. Prin urmare, s-a rezumat la a prezenta o clauză de informare numai pe site-ul său web.

Ce a generat amenda?

În cazul de față, compania a prelucrat, printre alte tipuri de date, și adresele poștale și numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate prin folosirea oricărei modalități de contact. Compania și-a justificat nerespectarea obligației de informare prin costurile disproporționate generate de transmiterea prin postă a  unei informări scrise către toate persoanele vizate, însă Autoritatea nu a luat în seamă aceste afirmații, motivând că existau și alte modalități de aducere la îndeplinire a obligației (n.r. prin telefon).

Importanța acestei decizii de sancționare este subliniată și de modul în care s-a făcut comunicarea publică a acesteia. Comitetul European pentru Protecția Datelor (EDPB) a publicat în mod direct comunicatul de presă aferent, lăsând să se întrevadă aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorității poloneze. 

Ce trebuie să reținem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale fără respectarea cerințelor GDPR va duce la sancțiuni din partea autorităților competente;
  • Obligația de informare prevazută de articolul 14 GDPR, cunoscută în practica drept informarea din sursa indirectă, trebuie îndeplinită indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficientă o informare efectuată exclusiv prin afișarea pe site-ul propriu, aceasta fiind practic doar o completare a informării adresate individual fiecărei persoane fizice vizate.

 

Textul complet al comunicatului de presă (în limba engleză): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

0 comentarii la „Datele personale și marketingul intre companii”

Datele personale și marketingul intre companii

Se aplică GDPR  în cazul activităților de marketing între companii?

Da. GDPR se aplică ori de câte ori prelucrați date cu caracter personal. Aceasta înseamnă că, dacă puteți identifica o persoană fizica fie direct, fie indirect, GDPR se va aplica – deși acționați în calitate profesională. De exemplu, dacă aveți numele și numărul unui contact de afaceri sau o adresa de e-mail de tipul nume.prenume@companie.com, se va aplica GDPR în privința acestor date personale. In schimb, GDPR se aplică pentru cărțile de vizita care circula libere numai în măsura în care intenționați să arhivați informațiile conținute sau să introduceți acele date într-un sistem informatic.

GDPR ne obligă să luăm consimțământ pentru marketing?

Nu întotdeauna. Consimțământul este unul dintre temeiurile legale pentru prelucrarea datelor personale, dar există alternative. În special, poate fi folosit cu succes temeiul legal al interesului legitim al operatorului de date personale pentru a justifica o parte din marketingul de afaceri. Cu toate acestea, uneori veți avea nevoie de consimțământul persoanei fizice vizate pentru a vă asigura că respectați legislația privind protecția vieții private în sectorul comunicațiilor electronice (Legea 506/2004). 

Când ne putem baza pe interesul legitim pentru marketing?

Vă puteți baza pe interesul legitim al activităților de marketing în măsura în care puteți sa faceți dovada faptului că modul în care folosiți datele persoanelor fizice vizate este proporțional cu scopul urmărit, ca are un impact minim asupra vieții private a persoanelor fizice, iar destinatarii comunicărilor în scop de marketing vor putea întotdeauna să se opună la aceste prelucrări de date în scopuri de marketing.

Care sunt regulile pentru email-uri sau SMS-uri de marketing?

Persoanele fizice având calitatea de comercianții  (PFA, II și IF), precum și anumite asocieri fără personalitate juridică, sunt tratate de GDPR ca persoane fizice, astfel încât puteți sa le trimiteți mesaje SMS sau e-mail fie dacă au consimțit în mod expres, fie dacă au cumpărat un produs similar în trecut și nu s-au opus la mesajele de marketing la acel moment. Trebuie să includeți în corpul mesajului posibilitatea de oprire sau dezabonare.

Puteți în schimb sa trimiteți comunicări de marketing prin e-mail sau SMS către orice persoană juridică (societăți, ONG-uri, etc), cu păstrarea dreptului acesteia de a vă solicita încetarea acestor transmisiuni. 

Care sunt regulile privind apelurile telefonice de marketing?

Puteți apela orice persoana fizica sau juridica care fi v-a furnizat direct datele de contact în acest scop sau a consimțit în mod special la apelurile dvs. – de exemplu, bifând o căsuță de înscriere. De asemenea, puteți efectua apeluri telefonice către orice număr făcut public, dar numai dacă acesta nu s-a opus apelurilor dvs. în trecut.

Normele privind apelurile telefonice automate sunt mai stricte. Nu trebuie să efectuați un apel de marketing automatizat – adică un apel efectuat de un sistem de apelare automată care redă un mesaj înregistrat – cu excepția cazului în care compania a consimțit în mod expres să primească acest tip de apel de la dvs. Consimțământul general pentru marketing sau chiar consimțământul pentru apelurile obișnuite nu este suficient – trebuie să acopere în mod specific apelurile automate.

Cum luăm un consimțământ?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi persoanelor vizate o alegere reală în permanență și un control asupra modului în care le utilizați datele. Consimțământul trebuie să fie explicit și necesită o acțiune pozitivă din partea persoanei vizate. Solicitările de aprobare trebuie să fie clare, prezentate separat de alte informații (de exemplu, nu în cadrul unor termeni și condiții), concise și ușor de înțeles și ușor de utilizat. Consimțământul trebuie să indice în mod specific numele operatorului, datele de  contact ale DPO-ului, scopul prelucrării și tipurile de activități de prelucrare.

Cel mai important, trebuie să vă asigurați că persoanele vizate pot să-și retragă consimțământul oricând aleg să facă acest lucru.

Ce altceva ar trebui să mai luăm în considerare?

Trebuie să comunicați persoanelor vizate detalii despre ce anume faceți cu informațiile pe care le dețineți. Acestea includ scopurile dvs. pentru prelucrarea datelor personale, temeiul legal de prelucrare, cât timp doriți să păstrați datele și cui or fi transmise datele personale. Obligația operatorului de informare a persoanelor vizate se transpune într-un drept sine qua non al acestora din urmă, fiind expres reglementată de articolul 13 GDPR și sancționată pentru neîndeplinire cu amenda maximă prevazută la articolul 83 alin. 5 GDPR.

Dacă vă bazați pe interesul legitim pentru marketingul direct, dreptul persoanei de a se opune este absolut și trebuie să opriți prelucrarea atunci când cineva formulează o opoziție. 

Dacă vă bazați pe consimțământ, nu există posibilitatea persoanei de a se opune ca atare, însă aceasta are dreptul să-și retragă consimțământul în orice moment. Trebuie să opriți prelucrarea datelor atunci când cineva își retrage consimțământul.

0 comentarii la „Infracțiuni în sfera GDPR”

Infracțiuni în sfera GDPR

Legislația existentă în domeniul protecției datelor cu caracter personal, respectiv Regulamentul (UE) 2016/679 (GDPR), și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, stabilește sancțiuni drastice și larg mediatizate, de pana la 20 milioane euro sau 4% din cifra globala anuala de afaceri a entității care nu a acționat conform prevederilor celor doua acte normative.

Scopul final al GDPR, preluat și de legea romană 190/2018, este acela de a proteja viata privata a persoanelor fizice prin gestiunea eficienta și judicioasa a datelor cu caracter personal aparținând acestor persoane fizice. In acest sens, sunt arhi-cunoscute deja principiile de baza ale confidențialității, securității și legitimității prelucrărilor de date cu caracter personal.

Răspunderea operatorilor de date personale

GDPR reglementează în mare parte răspunderea civilă și contravențională a operatorilor de date personale care nu se conformează principiilor și temeiurilor juridice de prelucrare a datelor. Cu toate acestea, în majoritatea cazurilor, faptele ce pot fi catalogate atât ca incidente de securitate conform GDPR sau legislației securității informatice reprezintă și infracțiuni prevazute și sancționate de Codul Penal roman în vigoare, pedepsele principale putând ajunge, în funcție de gravitatea faptei, de pană la 7 ani închisoare. Mai trebuie precizat și faptul că, în cazul concursului de infracțiuni, pedeapsa rezultantă poate depăși cu mult pedeapsa maximă aplicată pentru cea mai gravă infracțiune săvârșită, aplicându-se un spor de o treime din pedeapsa cea mai grea.

Codul Penal

In Capitolul VI Cod Penal sunt prevazute următoarele infracțiuni contra siguranței și integrității sistemelor și datelor informatice:

Art. 360 – Accesul ilegal la un sistem informatic

(1) Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

Art. 361 – Interceptarea ilegală a unei transmisii de date informatice

(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.

(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.

Art. 362 – Alterarea integrității datelor informatice

Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, se pedepsește cu închisoarea de la unu la 5 ani.

Art. 363 – Perturbarea funcționării sistemelor informatice

Fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la date informatice, se pedepsește cu închisoarea de la 2 la 7 ani.

Art. 364 – Transferul neautorizat de date informatice

Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepsește cu închisoarea de la unu la 5 ani.

Art. 365 – Operațiuni ilegale cu dispozitive sau programe informatice

(1) Fapta persoanei care, fără drept, produce, importă, distribuie sau pune la dispoziție sub orice formă:

a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infracțiunile prevăzute în art. 360-364;

b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic, în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364,

se pedepsește cu închisoare de la 6 luni la 3 ani sau cu amendă.

(2) Deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prevăzute în alin. (1), în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364, se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă.

Art. 366 – Sancționarea tentativei

Tentativa la infracțiunile prevăzute în prezentul capitol se pedepsește.

In final, în legătură cu infracțiunile de mai sus, mai trebuie amintit și faptul că pentru acestea sunt incidente și dispozițiile art. 267 Cod Penal, conform căruia reprezintă infracțiunea de omisiune a sesizării organelor de cercetare penală fapta funcționarului public care, luând cunoștință de săvârșirea unei fapte prevăzute de legea penală în legătură cu serviciul în cadrul căruia își îndeplinește sarcinile, omite sesizarea de îndată a organelor de urmărire penală, pedepsită cu închisoare de la 3 luni la 3 ani sau cu amendă penală.