Am creat acest articol pentru a ne asigura ca unii, daca nu toti, vor invata din greselile altora.

La un an de GDPR, in Romania numarul companiilor penalizate pentru nerespecatarea regulamentului general pentru protectia datelor personale era zero, chiar daca au fost inregistrate 391 de incalcari de securitate a datelor, 460 investigatii efectuate din oficiu si 456 investigatii efectuate in baza plangerilor.

In acelasi timp, specialistii din domeniu prognozau pentru anul doi o cresteare numarului de sanctiuni financiare aplicate. La scurt timp, avertizarile s-au adeverit si primele amenzi au inceput sa apara.

Cine si de ce a primit amenzi pana acum si care sunt lectiile invatate

In total, ANSPDCP a aplicat 3 amenzi pentru incalcarea prevederilor privind protectia datelor personale. Mai jos vom detalia cine, cat si pentru ce a primit amenzi. Si va rugam sa cititi nu doar informativ, ci pentru a trage cateva concluzii din aceste situatii.

Amenda #1 – Unicredit Bank

Prima amenda a fost anuntata de ANSPDCP pe 26 iunie, cand dupa finalizarea unei investigatii la Unicredit Bank, a aplicat o amenda de 130.000 de euro.

Conform comunicatului de presa official, sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din noiembrie 2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont si detalii.

Astfel, dupa investigare, autoritatile au constat ca nu s-au respectat masurile tehnice si organizatorice adecvate, precum reducerea la minimum a datelor prelucrate si integrarea garantiilor necesare in cadrul prelucrarii, pentru protejarea drepturilor persoanelor vizate.

Lectii invatate:

  • Analizati si mapati toate procesele si sistemele prin care se prelucreaza datele personale pentru a va asigura ca nu prelucrati mai multe date personale decat sunt necesare in raport cu scopul prelucrarii acestora. Reduceti la mimimum datele cu caracter personal prelucrate.
  • Cand dezvoltati sau achizitionati produse, aplicatii sau servicii care prelucreaza date personale, asigurati-va ca acestea au in vedere dreptul la protectia datelor al persoanelor vizate.

Amenda #2 – World Trade Center Bucharest

Cea de a doua amenda a fost in cuantum de 15.000 de euro si a fost primita de World Trade Center Bucharest pentru ca nu a luat masuri pentru a se asigura ca angajatii sai, care au acces la date cu caracter personal, prelucreaza in mod corect si doar la cerere datele cu caracter personal.

Incalcarea a constat in faptul ca angajatii companiei au permis unor persoane neautorinzate sa fotografieze o lista printata, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale celor 46 de clienti, cazati in hotel.  Acest lucru a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti ai unitatii.

Lectii invatate:

  • Transformati cerintele GDPR nu doar in comportament operational de conformitate ci si intr-o cultura comuna de companie. Oferiti training angajatilor care colecteaza, manipuleaza sau proceseaza date personale si includeti confidentialitatea datelor personale si securitatea acestora in politica organizatiei.

Amenda #3 – avocatoo.ro

Cea de a 3-a amenda pentru nerespectarea GDPR din Romania a primit-o Legal Company & Tax Hub si a fost in valoare de 3.000 de euro.

Compania a primit aceasta sanctiune pentru neimplementarea masurilor tehnice si organizatorice adecvate, pentru a asigura un nivel securitate corespunzator riscului prelucrarii datelor pe site-ul companiei avocatoo.ro. Aceast lucru a condus la o bresa de securitate care permitea persoanelor neautorizate sa acceseze date cu caracter personal ale persoanelor care au efectuat tranzactii pe site. Aceste documente au fost accesibile public timp de cateva luni, pana in momentul in care a fost sesizata bresa de securitate.

Lectii invatate:

Ironia face ca Legal Company & Tax Hub furnizeaza, printre altele, servicii de conformare GDPR, iar in cadrul site-ului avocatoo.ro au scris multiple articole despre GDPR.

Nu vom face o lista de invataturi pentru acest caz, pentru ca detinatoarea site-ului avocatoo.ro, Ana Maria Udriste, a scris un articol in care a enumerat clar si foarte bine punctat ce a invatat din aceasta experienta, pentru a transmite mai deprate cititorilor site-ului si publicului larg. Pentru acest lucru o admiram si va invitam sa cititi articolul ei aici.

Nivelul Actual de pregatire GDPR al companiilor din Romania, conform studiului de piata realizat de Power Net Consulting.

Cu ce ne-am dori sa ramaneti ca lectie generala invatata din aceste 3 cazuri.

Fie ca sunteti o companie mare sau una mica, apelati la serviciile unei companii cu experienta in domeniu, pentru a face un audit de conformitate GDPR si un audit de securitate a tuturor proceselor si sistemelor pe care le foloseste compania dvs.

In climatul cibernetic si legal de astazi, este o necesitatea categorica pentru organizatii sa actioneze proactiv asigurandu-se, din timp, ca sunt securizate si conforme cu reglementarile si standardele pentru securitatea cibernetica si confidentialitatea datelor, care se aplica industriei din care fac parte.

_________________________________________________

Transformati cerintele GDPR in comportament operational de conformitate. Indiferent in ce stadiu va aflati cu pregatirile pentru GDPR, Power Net va poate ajuta sa va aliniati usor cu noul regulament, prin consultanta specializata si solutii de implementare.

SERVICII POWERNET

SOLUTII POWERNET