Amenzi uriașe pentru companiile unde salariații prelucrează neautorizat date personale

Prima sancțiune despre care vorbim a fost dată de ANSPDCP companiei Tarom, în contextul în care unul dintre angajații acesteia a accesat neautorizat aplicația de rezervări și a fotografiat o listă cu datele personale a mai multor pasageri, după care a divulgat online lista. Autoritatea a sancționat compania cu cca. 20.000 de euro (95.194 de lei).

Ce i s-a reproșat? Că nu s-a asigurat că angajații săi prelucrează date personale doar la cererea sa, dar și că nu a implementat măsuri de siguranță care să împiedice accesul neautorizat la datele personale cu care compania operează.

"Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod", scrie în comunicatul ANSPDCP, mai exact.

Nu e prima dată când Autoritatea sancționează o astfel de abatere de la GDPR. Acum câteva luni, una dintre cele mai mari bănci de pe piața românească a fost sancționată cu 150.000 de euro pentru că, similar, angajații săi accesau neautorizat date personale cu care opera banca și le dădeau mai departe, unei alte instituții de credit (interogări la Biroul de Credit efectuate pentru a verifica bonitatea unor clienți potențiali ai instituției de credit).

Cea de-a doua sancțiune recentă a Autorității vizează banca ING și nerespectarea conceptelor privacy by design și privacy by default (protecția datelor din momentul conceperii și protecția implicită a datelor). Aici, amenda a fost de 80.000 de euro, fiind afectați peste 225.000 de clienți. Problema a fost neintegrarea unor garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul.

Data protection by design” și „data protection by default” reprezintă două măsuri de garantare a respectării principiilor GDPR. Comitetul European pentru Protecția Datelor are chiar în această perioadă în dezbatere un proiect de ghid pentru implementarea acestor măsuri.

„  Principiul «data privacy by design»   activează ca o umbrelă și presupune încorporarea celorlalte principii din GDPR sub o singură prevedere - spre exemplu, principiul minimizării datelor. Conformarea cu «data privacy by design» implică o etapă preliminară de evaluare a riscului prelucrării, prin intermediul căreia operatorii identifică eventuale măsuri de implementat. Mai mult decât atât, pe lângă evaluarea de natură juridică (de exemplu, identificarea datelor prelucrate ca fiind necesare în raport cu scopurile, perioada de retenție, temeiul utilizat etc.), acest principiu presupune verificarea temeinică a infrastructurii IT (sisteme, aplicații etc.), urmată de remodelarea acesteia, în cazul în care se identifică neconformități”, au explicat specialiștii Deloitte România pentru redacția noastră, cu câteva luni în urmă.

Notă: Ca pași logici în tratarea unui incident de securitate, operatorul ar trebui să înceapă cu implementarea măsurilor de tipul privacy by design, privacy by default. Aflați mai multe în materialul acesta despre construirea unei politici de gestionare a acestor incidente.