ANSPDCP. Amendă pentru actualizările aplicației NN Direct

Joi, 12 mai 2023, Autoritatea Națională de Supraveghere a informat că a finalizat două investigații la operatori din domeniul asigurărilor, potrivit unui comunicat.

Ca atare, s-a constatat că:

– Operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. a încălcat dispozițiile art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 7.407,00 lei (echivalentul a 1.500 euro).

– Operatorul NN Asigurări de Viață S.A. a încălcat dispozițiile art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și fost sancționat contravențional cu amendă în cuantum de 4.938,00 lei (echivalentul a 1.000 euro).

1. În cadrul investigației efectuate la operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. s-a constatat că acesta a efectuat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de a păstra paginile web în memoria acesteia. Ca atare, această situație a determinat vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau.

Din verificările efectuate, a rezultat că această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon) fiind afectate de incident 2 persoane vizate. De asemenea, a reieșit faptul că, anterior punerii la dispoziția publicului a aplicației NN Direct, modificările de configurație specifice echipamentului care asigură memoria temporară a paginilor web ale acesteia nu au fost supuse unui proces de testare la nivelul operatorului.

2. În cadrul unei investigații la operatorul NN Asigurări de Viață S.A. s-a constatat că acesta a executat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de păstrare a paginilor web în memoria acesteia. Prin urmare, a fost posibilă vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau.

Ca urmare a verificărilor din cadrul investigației, a rezultat că această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon). Totodată, a reieșit faptul că, anterior punerii la dispoziția publicului a aplicației NN Direct, modificările acesteia nu au fost supuse unui proces de testare de către operator.

Autoritatea Națională de Supraveghere a constatat că operatorii nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea  și rezistența continue ale sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

În același timp, s-a dispus și măsura corectivă de a implementa un mecanism de testare procedurat și promovat la intervale regulate de timp, prin care să fie efectuate teste privind configurațiile posibile ale aplicațiilor active și disponibile clienților, respectiv documentarea rezultatelor prin aplicarea unor măsuri de remediere în sensul evitării unor incidente de securitate similare.

Secţiuni: Asigurări, Banking, Contencios contravențional, Cyberlaw, Data protection, SELECTED

Cuvinte cheie: ANSPDCP, Autoritatea Națională de Supraveghere, date cu caracter personal, GDPR, Operator sancționat, Regulamentul General privind Protecția Datelor

Vă invităm să publicaţi şi dumneavoastră pe JURIDICE.ro. Ne bucurăm să aducem gândurile dumneavoastră la cunoştinţa comunităţii juridice şi publicului larg. Apreciem generozitatea dumneavoastră de a împărtăşi idei valoroase. JURIDICE.ro este o platformă de exprimare. Publicăm chiar şi opinii cu care nu suntem de acord, publicarea pe JURIDICE.ro nu semnifică asumarea de către noi a mesajului transmis de autor. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteţi citi aici. Pentru a publica pe JURIDICE.ro vă rugăm să luaţi în considerare Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice.

Puteţi prelua gratuit în website-ul dumneavoastră fluxul de noutăţi JURIDICE.ro:
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro

Newsletter JURIDICE.ro

Am citit, am înţeles şi sunt de acord cu Politica privind protecţia datelor şi condiţiile procesatorului de newsletter Privacy Policy

Da, vreau să primesc newsletter

Abonare

Login | Nu aveti cont? Click aici pentru abonare!