Blog - Pagina 2 din 3 - Battlegroup

Blog

Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.

Doua înc?lc?ri ale GDPR

In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.

In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.

Concluzii

In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informa?iilor: https://www.cnil.fr

De ce trebuie ?terse datele personale

Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.

Înc?lcarea principiului minimiz?rii datelor personale

Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.

Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.

Care este relevan?a sanc?iunii?

Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale, sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.

Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.

De ce chiar avem nevoie de GDPR: bazele publice de date

Existen?a companiilor care extrag informa?ii din bazele de date publice ?i ulterior le vând sau revând, într-o form? sau alta, publicului larg, nu reprezint? nicio noutate. Activitatea acestor companii se desf??oar? în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri ?i portale, nefiind afectate (pân? acum) de legisla?ia european? privind protec?ia datelor personale.

Probabil c? v-a?i confruntat de numeroase ori cu diverse solicit?ri cu caracter comercial, provenite de la persoane ce justific? de?inerea datelor dumneavoastr? cu caracter personal ca fiind preluate din baze de date publice. Sau poate a?i fost pu?i în situa?ia de a cump?ra chiar de la aceste societ??i p?r?i din aceste baze de date, pentru diverse activit??i de marketing. Crede?i c? doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucr?rii datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru înc?lcarea obliga?iei de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activit??ilor Economice din Polonia, echivalentul Registrului Comer?ului din Romania. Prin decizia de sanc?ionare, s-a re?inut în esen?? faptul ca, de?i acele informa?ii proveneau din surse publice, compania amendata le folosea pentru activit??i comerciale, fapt ce genereaz? obliga?iile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obliga?iei de informare cu privire la persoanele fizice care desf??oar? activit??i economice. Aceste persoane sunt atât antreprenorii care desf??oar? în prezent o astfel de activitate, sau au suspendat-o, precum ?i antreprenorii care au desf??urat o astfel de activitate în trecut. Operatorul de date personale ?i-a îndeplinit obliga?ia de informare furnizând informa?iile cerute de art. 14 alin. (1) – (3) din GDPR numai în privin?a persoanelor ale c?ror adrese de e-mail le-a avut la dispozi?ie. În cazul celorlalte persoane, operatorul nu a respectat obliga?ia de informare – a?a cum s-a explicat în cursul investiga?iei – din cauza costurilor opera?ionale ridicate. Prin urmare, s-a rezumat la a prezenta o clauz? de informare numai pe site-ul s?u web.

Ce a generat amenda?

În cazul de fa??, compania a prelucrat, printre alte tipuri de date, ?i adresele po?tale ?i numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obliga?ia de a furniza informa?ii persoanelor ale c?ror date sunt prelucrate prin folosirea oric?rei modalit??i de contact. Compania ?i-a justificat nerespectarea obliga?iei de informare prin costurile dispropor?ionate generate de transmiterea prin post? a unei inform?ri scrise c?tre toate persoanele vizate, îns? Autoritatea nu a luat în seam? aceste afirma?ii, motivând c? existau ?i alte modalit??i de aducere la îndeplinire a obliga?iei (n.r. prin telefon).

Importan?a acestei decizii de sanc?ionare este subliniat? ?i de modul în care s-a f?cut comunicarea public? a acesteia. Comitetul European pentru Protec?ia Datelor (EDPB) a publicat în mod direct comunicatul de pres? aferent, l?sând s? se întrevad? aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorit??ii poloneze.

Ce trebuie s? re?inem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale f?r? respectarea cerin?elor GDPR va duce la sanc?iuni din partea autorit??ilor competente;
  • Obliga?ia de informare prevazut? de articolul 14 GDPR, cunoscut? în practica drept informarea din sursa indirect?, trebuie îndeplinit? indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficient? o informare efectuat? exclusiv prin afi?area pe site-ul propriu, aceasta fiind practic doar o completare a inform?rii adresate individual fiec?rei persoane fizice vizate.

 

Textul complet al comunicatului de pres? (în limba englez?): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

Datele personale ?i marketingul intre companii

Se aplic? GDPR în cazul activit??ilor de marketing între companii?

Da. GDPR se aplic? ori de câte ori prelucra?i date cu caracter personal. Aceasta înseamn? c?, dac? pute?i identifica o persoan? fizica fie direct, fie indirect, GDPR se va aplica – de?i ac?iona?i în calitate profesional?. De exemplu, dac? ave?i numele ?i num?rul unui contact de afaceri sau o adresa de e-mail de tipul nume.prenume@companie.com, se va aplica GDPR în privin?a acestor date personale. In schimb, GDPR se aplic? pentru c?r?ile de vizita care circula libere numai în m?sura în care inten?iona?i s? arhiva?i informa?iile con?inute sau s? introduce?i acele date într-un sistem informatic.

GDPR ne oblig? s? lu?m consim??mânt pentru marketing?

Nu întotdeauna. Consim??mântul este unul dintre temeiurile legale pentru prelucrarea datelor personale, dar exist? alternative. În special, poate fi folosit cu succes temeiul legal al interesului legitim al operatorului de date personale pentru a justifica o parte din marketingul de afaceri. Cu toate acestea, uneori ve?i avea nevoie de consim??mântul persoanei fizice vizate pentru a v? asigura c? respecta?i legisla?ia privind protec?ia vie?ii private în sectorul comunica?iilor electronice (Legea 506/2004).

Când ne putem baza pe interesul legitim pentru marketing?

V? pute?i baza pe interesul legitim al activit??ilor de marketing în m?sura în care pute?i sa face?i dovada faptului c? modul în care folosi?i datele persoanelor fizice vizate este propor?ional cu scopul urm?rit, ca are un impact minim asupra vie?ii private a persoanelor fizice, iar destinatarii comunic?rilor în scop de marketing vor putea întotdeauna s? se opun? la aceste prelucr?ri de date în scopuri de marketing.

Care sunt regulile pentru email-uri sau SMS-uri de marketing?

Persoanele fizice având calitatea de comercian?ii (PFA, II ?i IF), precum ?i anumite asocieri f?r? personalitate juridic?, sunt tratate de GDPR ca persoane fizice, astfel încât pute?i sa le trimite?i mesaje SMS sau e-mail fie dac? au consim?it în mod expres, fie dac? au cump?rat un produs similar în trecut ?i nu s-au opus la mesajele de marketing la acel moment. Trebuie s? include?i în corpul mesajului posibilitatea de oprire sau dezabonare.

Pute?i în schimb sa trimite?i comunic?ri de marketing prin e-mail sau SMS c?tre orice persoan? juridic? (societ??i, ONG-uri, etc), cu p?strarea dreptului acesteia de a v? solicita încetarea acestor transmisiuni.

Care sunt regulile privind apelurile telefonice de marketing?

Pute?i apela orice persoana fizica sau juridica care fi v-a furnizat direct datele de contact în acest scop sau a consim?it în mod special la apelurile dvs. – de exemplu, bifând o c?su?? de înscriere. De asemenea, pute?i efectua apeluri telefonice c?tre orice num?r f?cut public, dar numai dac? acesta nu s-a opus apelurilor dvs. în trecut.

Normele privind apelurile telefonice automate sunt mai stricte. Nu trebuie s? efectua?i un apel de marketing automatizat – adic? un apel efectuat de un sistem de apelare automat? care red? un mesaj înregistrat – cu excep?ia cazului în care compania a consim?it în mod expres s? primeasc? acest tip de apel de la dvs. Consim??mântul general pentru marketing sau chiar consim??mântul pentru apelurile obi?nuite nu este suficient – trebuie s? acopere în mod specific apelurile automate.

Cum lu?m un consim??mânt?

Consim??mântul trebuie acordat în mod liber; acest lucru înseamn? a oferi persoanelor vizate o alegere real? în permanen?? ?i un control asupra modului în care le utiliza?i datele. Consim??mântul trebuie s? fie explicit ?i necesit? o ac?iune pozitiv? din partea persoanei vizate. Solicit?rile de aprobare trebuie s? fie clare, prezentate separat de alte informa?ii (de exemplu, nu în cadrul unor termeni ?i condi?ii), concise ?i u?or de în?eles ?i u?or de utilizat. Consim??mântul trebuie s? indice în mod specific numele operatorului, datele de contact ale DPO-ului, scopul prelucr?rii ?i tipurile de activit??i de prelucrare.

Cel mai important, trebuie s? v? asigura?i c? persoanele vizate pot s?-?i retrag? consim??mântul oricând aleg s? fac? acest lucru.

Ce altceva ar trebui s? mai lu?m în considerare?

Trebuie s? comunica?i persoanelor vizate detalii despre ce anume face?i cu informa?iile pe care le de?ine?i. Acestea includ scopurile dvs. pentru prelucrarea datelor personale, temeiul legal de prelucrare, cât timp dori?i s? p?stra?i datele ?i cui or fi transmise datele personale. Obliga?ia operatorului de informare a persoanelor vizate se transpune într-un drept sine qua non al acestora din urm?, fiind expres reglementat? de articolul 13 GDPR ?i sanc?ionat? pentru neîndeplinire cu amenda maxim? prevazut? la articolul 83 alin. 5 GDPR.

Dac? v? baza?i pe interesul legitim pentru marketingul direct, dreptul persoanei de a se opune este absolut ?i trebuie s? opri?i prelucrarea atunci când cineva formuleaz? o opozi?ie.

Dac? v? baza?i pe consim??mânt, nu exist? posibilitatea persoanei de a se opune ca atare, îns? aceasta are dreptul s?-?i retrag? consim??mântul în orice moment. Trebuie s? opri?i prelucrarea datelor atunci când cineva î?i retrage consim??mântul.

Infrac?iuni în sfera GDPR

Legisla?ia existent? în domeniul protec?iei datelor cu caracter personal, respectiv Regulamentul (UE) 2016/679 (GDPR), ?i Legea nr. 190/2018 privind m?suri de punere în aplicare a Regulamentului (UE) 2016/679, stabile?te sanc?iuni drastice ?i larg mediatizate, de pana la 20 milioane euro sau 4% din cifra globala anuala de afaceri a entit??ii care nu a ac?ionat conform prevederilor celor doua acte normative.

Scopul final al GDPR, preluat ?i de legea roman? 190/2018, este acela de a proteja viata privata a persoanelor fizice prin gestiunea eficienta ?i judicioasa a datelor cu caracter personal apar?inând acestor persoane fizice. In acest sens, sunt arhi-cunoscute deja principiile de baza ale confiden?ialit??ii, securit??ii ?i legitimit??ii prelucr?rilor de date cu caracter personal.

R?spunderea operatorilor de date personale

GDPR reglementeaz? în mare parte r?spunderea civil? ?i contraven?ional? a operatorilor de date personale care nu se conformeaz? principiilor ?i temeiurilor juridice de prelucrare a datelor. Cu toate acestea, în majoritatea cazurilor, faptele ce pot fi catalogate atât ca incidente de securitate conform GDPR sau legisla?iei securit??ii informatice reprezint? ?i infrac?iuni prevazute ?i sanc?ionate de Codul Penal roman în vigoare, pedepsele principale putând ajunge, în func?ie de gravitatea faptei, de pan? la 7 ani închisoare. Mai trebuie precizat ?i faptul c?, în cazul concursului de infrac?iuni, pedeapsa rezultant? poate dep??i cu mult pedeapsa maxim? aplicat? pentru cea mai grav? infrac?iune s?vâr?it?, aplicându-se un spor de o treime din pedeapsa cea mai grea.

Codul Penal

In Capitolul VI Cod Penal sunt prevazute urm?toarele infrac?iuni contra siguran?ei ?i integrit??ii sistemelor ?i datelor informatice:

Art. 360 – Accesul ilegal la un sistem informatic

(1) Accesul, f?r? drept, la un sistem informatic se pedepse?te cu închisoare de la 3 luni la 3 ani sau cu amend?.

(2) Fapta prev?zut? în alin. (1), s?vâr?it? în scopul ob?inerii de date informatice, se pedepse?te cu închisoarea de la 6 luni la 5 ani.

(3) Dac? fapta prev?zut? în alin. (1) a fost s?vâr?it? cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restric?ionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

Art. 361 – Interceptarea ilegal? a unei transmisii de date informatice

(1) Interceptarea, f?r? drept, a unei transmisii de date informatice care nu este public? ?i care este destinat? unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaz? în cadrul unui sistem informatic se pedepse?te cu închisoarea de la unu la 5 ani.

(2) Cu aceea?i pedeaps? se sanc?ioneaz? ?i interceptarea, f?r? drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce con?ine date informatice care nu sunt publice.

Art. 362 – Alterarea integrit??ii datelor informatice

Fapta de a modifica, ?terge sau deteriora date informatice ori de a restric?iona accesul la aceste date, f?r? drept, se pedepse?te cu închisoarea de la unu la 5 ani.

Art. 363 – Perturbarea func?ion?rii sistemelor informatice

Fapta de a perturba grav, f?r? drept, func?ionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ?tergerea sau deteriorarea datelor informatice sau prin restric?ionarea accesului la date informatice, se pedepse?te cu închisoarea de la 2 la 7 ani.

Art. 364 – Transferul neautorizat de date informatice

Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepse?te cu închisoarea de la unu la 5 ani.

Art. 365 – Opera?iuni ilegale cu dispozitive sau programe informatice

(1) Fapta persoanei care, f?r? drept, produce, import?, distribuie sau pune la dispozi?ie sub orice form?:

a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infrac?iunile prev?zute în art. 360-364;

b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau par?ial la un sistem informatic, în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute în art. 360-364,

se pedepse?te cu închisoare de la 6 luni la 3 ani sau cu amend?.

(2) De?inerea, f?r? drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prev?zute în alin. (1), în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute în art. 360-364, se pedepse?te cu închisoare de la 3 luni la 2 ani sau cu amend?.

Art. 366 – Sanc?ionarea tentativei

Tentativa la infrac?iunile prev?zute în prezentul capitol se pedepse?te.

In final, în leg?tur? cu infrac?iunile de mai sus, mai trebuie amintit ?i faptul c? pentru acestea sunt incidente ?i dispozi?iile art. 267 Cod Penal, conform c?ruia reprezint? infrac?iunea de omisiune a sesiz?rii organelor de cercetare penal? fapta func?ionarului public care, luând cuno?tin?? de s?vâr?irea unei fapte prev?zute de legea penal? în leg?tur? cu serviciul în cadrul c?ruia î?i îndepline?te sarcinile, omite sesizarea de îndat? a organelor de urm?rire penal?, pedepsit? cu închisoare de la 3 luni la 3 ani sau cu amend? penal?.