Motivul principal pentru care Autoritatea fiscală bulgară a fost sancționată a fost lipsa unor măsuri de securitate adecvate, care să prevină eventuale breșe de securitate (lucru care s-a și întâmplat), conform unui articol apărut pe site-ul firmei de avocatură Wolf Theiss.
În concret, conform unui articol apărut pe site-ul Pinsent Masons, datele personale care au fost compromise, se refereau la:
- nume, adrese și informații de contact;
- date preluate din declarații fiscale și alte date legate de statutul fiscal al persoanelor vizate de datele în cauză;
- date legate de abateri de la legislația fiscală în ceea ce privește persoanele vizate;
- date legate de asigurări și, în special, legate de primele de asigurări de sănătate.
Însă, pe lângă amenda propriu-zisă, Autoritatea de protecție a datelor i-a impus Autorității fiscale bulgare implementarea anumitor măsuri:
- să îmbunătățească cadrul de securitate în privința aplicațiilor folosite în activitatea de administrare fiscală și în privința serviciilor electronice pe care le oferă contribuabililor;
- să facă teste și analize de risc, precum și analize de impact, pentru a conștientiza riscul pe care îl prezintă anumite activități și a putea reacționa și a analiza adecvarea măsurilor de securitate folosite.
De ce este relevantă și pentru România amenda dată
Amenda dată de Autoritatea bulgară este relevantă pentru România, din mai multe puncte de vedere: pe de o parte, ea are la bază aplicarea GDPR, care este același și în România. Prin urmare, practica unei autorități din alt stat membru al UE este relevantă și pentru noi, pentru că arată în ce direcție s-ar putea îndrepta practica generală în domeniu.
Pe de altă parte, este foarte importantă persoana sancționată - autoritatea fiscală deține foarte multe date personale și amenda demonstrează că, de multe ori, riscurile cele mai mari pot veni chiar din sfera publică.
Mai mult, măsurile impuse (cum au fost cele menționate mai sus) ar putea duce la eficientizarea activității administrației publice, ceea ce arată că beneficiile pe care le generează legislația în domeniul protecției datelor ar putea excede cadrul imediat al protecției vieții private.
Nu este prima dată când o autoritate de protecție a datelor sancționează, în baza Regulamentului general privind protecția datelor (GDPR), o entitate care prelucrează date personale pentru lipsa unor măsuri de securitate adecvate. Avocatnet.ro a mai scris despre astfel de situații: recent, autoritatea poloneză a dat unei companii o amendă de peste jumătate de milion de euro, pentru inexistența măsurilor de securitate adecvate, lucru ce a dus la o breșă de securitate.
În acest context, pentru a fi în acord cu standardele de securitate impuse de GDPR, cel mai bine este să urmăriți actualizarea cadrului de securitate, constant. În cazul în care, totuși, s-a produs un incident de securitate, este important să știți că, și în acest caz, există anumite politici pe care le puteți implementa pentru a diminua riscurile pe cât posibil și a fi în conformitate cu Regulamentul. În plus, puteți citi aici ce trebuie să faceți imediat după ce un incident de securitate a avut loc.