Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecom
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 
2 comentarii | 
Print Friendly, PDF & Email

ANSPDCP. Amendă GDPR aplicată administratorului website-ului avocatoo.ro. UPDATE: Drept la replică
12.07.2019 | JURIDICE.ro

Ana-Maria Udrişte, fondatoare a website-ului şi conceptului avocatoo.ro, a dat publicităţii următorul drept la replică: ”La Avocatoo credem în buna implementare a normelor GDPR și am văzut mereu acest regulament drept un element important de responsabilizare pentru ambele părți implicate: persoanele vizate își dau seama de importanța drepturilor pe care le au și companiile trebuie să implementeze măsuri de securitate și să devină și mai responsabile.

La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro pe un nou serviciu de hosting și să demarăm o procedură de rebranding. Am apelat la o firmă terță de IT, în speranța că vom obține rezultate optime. După ce a fost efectuat transferul, am efectuat o serie de teste de securitate de bază și am fost asigurați de faptul că totul este pus la punct din perspectivă tehnică.

În ciuda acestui lucru, după cum aveam să aflăm ulterior, în urma investigației ANSPDCP, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B a putut fi accesat pe bază de link direct, doar dacă se știa adresa exactă la care putea fi accesat acest fișier.

Pentru a asigura clienții Avocatoo de confidențialitatea datelor lor merită menționat faptul că este vorba despre un fișier de tranzacții vechi, inactiv, care nu a fost accesat de persoane neautorizate.

Cerem scuze tuturor celor care ar fi putut fi afectați de această vulnerabilitate. Nici furnizorul de servicii și nici noi, ulterior, nu am identificat un potențial risc, deși ar fi trebuit. Au fost luate măsuri suplimentare pentru a asigura securitatea site-ului Avocatoo.ro și a datelor vizitatorilor, utilizatorilor și clienților noștri. Suntem de părere că legea GDPR este una dintre cele mai importante și valoroase măsuri aplicate la nivel european în ceea ce privește protecția utilizatorilor de internet și privim măsura luată de ANSDCP drept o lecție din care am învățat lucruri, o lecție pe care o putem aplica și atunci când venim în sprijinul partenerilor noștri de business.

***

Vineri, 5 iulie 2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul LEGAL COMPANY & TAX HUB SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), potrivit unui comunicat.

Operatorul LEGAL COMPANY & TAX HUB SRL a fost sancționat contravențional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.

Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”).

De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: ”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”


Aflaţi mai mult despre , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!






JURIDICE.ro utilizează şi recomandă SmartBill
JURIDICE GOLD pentru studenţi foarte buni, free
Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Au fost scrise până acum 2 de comentarii cu privire la articolul “ANSPDCP. Amendă GDPR aplicată administratorului website-ului avocatoo.ro. UPDATE: Drept la replică”

  1. Pentru România, și pentru situația avocatoo, mi se pare disproporționată amendă. Maxim – dar maxim, 2000 de euro.

  2. Darius MARCU spune:

    Cât de legale sunt Protocoalele de colaborare pe linia furnizării de date din Registrul naţional de evidenţă a persoanelor, încheiate de Direcția pentru Evidența Persoanelor și Administrarea Bazelor de Date din cadrul M.A.I., cu diverse entități publice sau private?
    Respectă legislația prelucrării datelor cu caracter personal?
    CJUE, în cauza C-201/14, a stabilit că persoanele ale căror date cu caracter personal fac obiectul transmiterii și prelucrării între două autorități ale administrației publice a unui stat membru trebuie să fie INFORMATE în prealabil.
    Pe pagina indicată, apar protocoale cu organe fiscale, Electrica furnizare, Biroul Asiguratorilor de Autovehicule din Romania, etc. Nu văd menționat protocolul cu Uniunea Națională a Executorilor Judecătorești, din 2015, menționat în acte din dosare de executare silită.
    http://depabd.mai.gov.ro/furnizari_date_protocoale.html?fbclid=IwAR2v4wbGOHX_Eum9iePuBY22GKijozZKVP2kl_9qMiSn7sdW5eTOLYlGgZs

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.