Amenda dată de Autoritatea poloneză de protecție a datelor a fost dată pentru „faptul că măsurile organizaționale și tehnice ale firmei erau insuficiente și inadecvate pentru a preveni materializarea riscurilor pe care prelucrarea de date personale le implică”, este menționat într-un comunicat al Comitetului European pentru Protecția Datelor.
Ce a lipsit, în concret
Practic, problema de bază a fost faptul că lipseau proceduri concrete care să identifice și să permită o reacție rapidă și adecvată la activități de trafic neobișnuit în sistemul informatic al firmei amendate.
După accea, Autoritatea poloneză a considerat că nu au fost implementate măsuri suficiente și adecvate de autentificare, în ceea ce privește accesarea datelor personale deținute de compania sancționată.
Mult mai general, s-a reținut și faptul că nu au fost implementate măsuri globale de monitorizare a potențialelor riscuri care se pot materializa în privința datelor personale deținute de o firmă.
Cu alte cuvinte, activitatea de prelucrare de date este expusă la un număr suficient de mare de pericole, în continuă schimbare, ceea ce implică faptul că și măsurile de protecție trebuie să fie potrivite pentru a preveni apariția acelor pericole.
Este interesant de scos în evidență faptul că măsurile identificate mai sus (care au lipsit) se potrivesc foarte bine cu o serie de sfaturi general aplicabile în ceea ce privește implementarea unui cadru de securitate adecvat. Puteți citi mai multe despre acest aspect, aici.
Ce înseamnă o astfel de breșă de securitate pentru persoanele ale căror date sunt compromise
În cazul din speța menționată aici, breșa de date a creat pericole serioase pentru persoanele ale căror date personale au fost compromise.
De fapt, datele deținute despre acele persoane se refereau la numele acestora, număr de telefon, email sau adrese de livrare.
Mai mult, în cazul anumitor persoane, existau și informații despre elementele conținute în documente de identitate (precum serii sau numere personale), studiile acelor persoane, adresa de corespondență, veniturile, starea civilă sau informații legate de obligațiile financiare ale acelor persoane.
Devine clar, în acest context, de ce breșa de securitate și materializarea riscurilor sunt așa de serioase, de ce amenda a fost atât de mare și ce riscuri există pentru cei ale căror date au intrat în posesia unor persoane neautorizate. Cel mai evident risc este furtul de identitate.
Amenda putea fi și mai mare
Suma de 645 de mii de euro este, deja, destul de mare. Însă Autoritatea poloneză a ajuns la această sumă după ce a luat în considerare faptul că firma sancționată a beneficiat de circumstanțe atenuante, din cauză:
- că a luat măsuri, ulterior breșei de securitate;
- nu a avut antecedente;
- a cooperat eficient cu operatorul de date (compania sancționată fiind împuternicită de operator, o altă entitate, să dețină datele în cauză).
Puteți citi, aici, mai multe despre cum se stabilesc amenzile, de către autoritățile de protecția a datelor, în Uniunea Europeană.
Atenție! Chiar dacă am vorbit de o decizie a unei Autorități care nu are jurisdicție în România, ea este relevantă și pentru noi. Practic, decizia contribuie la conturarea unei practici în privința aplicării Regulamentului general privind protecția datelor, care este aplicabil și la noi, în exact aceeași formă în care apare și în Polonia (sau orice alt stat al Uniunii Europene).