protectia-datelor-cu-caracter-personal-noutati-septembrie-2022
GDPR

Noutăți GDPR – septembrie 2022

octombrie 3, 2022 / Un comentariu

Chiar dacă Regulamentul GDPR a intrat în vigoare în 2018, un număr mare de agenți economici nu au implementate măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal. În luna septembrie 2022, în România, au fost acordate 6 amenzi și avertismente pentru nerespectarea Regulamentului General privind Protecția Datelor cu caracter personal (RGPD).

Amenzi GDPR România- septembrie 2022

  • Amendă de 8.000 Euro acordată Realmedia Network SA (imobiliare.ro)

Operatorul de date Realmedia Network SA, proprietarul cunoscutului site imobiliare.ro a primit cea mai mare amendă din luna septembrie, mai exact 8.000 de Euro. Aceasta a fost acordată deoarece s-a constatat încălcarea securității prelucrării datelor la nivelul unui serviciu folosit pentru operarea platformei imobiliare.ro. În urma investigației efectuate de Autoritatea Națională de Supraveghere, s-a descoperit o breșă de securitate a datelor cu caracter personal prelucrate de site-ul mai sus menționat, situație ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr de 194.309  persoane fizice. 

Datele cu caracter personal divulgate au fost: nume, prenume, număr de telefon, adresa de e-mail, adresa poștală, cod numeric personal, semnătura, copii ale cărților de identitate, inclusiv coduri de identificare, funcție/calitate, date bancare, informații incluse în extrase de carte funciară/schițe cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor.

  • Avertisment și amendă în valoare de 2.000 Euro aplicată SC Raiffeisen Bank SA

SC Raiffeisen Bank SA, în calitate de împuternicit al unui operator, a prelucrat date inexacte ale unor persoane care au realizat tranzacții de bani prin aplicația operatorului. Ca urmare a încălcării principiului exactității datelor, Raiffeisen Bank a fost amendată cu suma de 2000 de euro.

Investigația ANSPDCP a fost efectuată având la bază o reclamație făcută de o persoană fizică. Aceasta primea pe numărul său de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani către anumite persoane, transferuri pe care petentul nu le-a efectuat. În plus, reclamantul nu era client al SC Raiffeisen Bank SA și nici nu a solicitat inițierea unor tranzacții prin intermediul aplicației operatorului.

În cadrul investigației s-a constatat că SC Raiffeisen Bank SA (în calitate de împuternicit) a introdus în mod eronat numărul de telefon al petentului în cadrul aplicației pusă la dispoziție de operator prin care se inițiau tranzacții la solicitarea clienților. Pe lângă acest caz, s-a constatat că au fost prelucrate date inexacte (numărul de telefon) ale persoanelor care au realizat tranzacții de bani prin aplicația operatorului, utilizând numărul de telefon al petentului în cadrul a 44 de tranzacții.

  • Amendă de 2.000 Euro aplicată operatorului Vodafone România SA

Amenda a fost aplicată deoarece operatorul de date nu a adoptat măsuri suficiente pentru a asigura protecția datelor cu caracter personal. În plus, Vodafone România nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării datelor.

În urma investigației ANSPDCP, s-a constatat că nu s-a respectat procedura de identificare a persoanei apelante de către împuterniciții săi. Acest lucru a făcut posibil ca terțe persoane să achiziționeze în mod fraudulos telefoane noi în numele unor clienți Vodafone. Totodată, această situație a permis terțelor persoane să aibă acces la datele confidențiale din contractele încheiate de clienți cu operatorul și a datelor din conturile personale My Vodafone. 

  • Amendă de 2.000 Euro aplicată operatorului Banca Comercială Română SA

Amenda a fost acordată pentru încălcarea securității prelucrării datelor, din cauza unei erori tehnice într-o aplicație IT a operatorului. Concret, BCR a transmis în mod eronat e-mailuri conținând datele cu caracter personal ale unor clienți către alți clienți.

  • Amendă de 5.000 Euro operatorului Curtea Veche Publishing SRL

Operatorul de date Curtea Veche Publishing SRL a fost amendat pentru divulgarea neautorizată de date cu caracter personal ai clienților săi pe un forum public. De asemenea, operatorul a fost ținta unui atac de tip ransomware care a determinat accesul neautorizat și pierderea integrității și disponibilității datelor cu caracter personal pentru 100 persoane vizate. Atacul de tip ransomware este un software rău intenționat care se instalează pe dispozitivul victimei și criptează datele. Dacă nu se plătește o „răscumpărare” pentru aceste date, deținătorii software-ului amenință că vor divulga respectivele date.

  • Amendă de 2.000 Euro aplicată operatorului Bitfactor SRL

Operatorul Bitfactor SRL deține site-ul okazii.ro. Compania a fost amendată pentru încălcarea confidențialității datelor cu caracter personal a unui număr de1.757 persoane, utilizatori ai site-ului operatorului. Situația a fost posibilă din cauza lipsei de măsuri tehnice și organizatorice adecvate care să protejeze datele cu caracter personal atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării în sine

Date generale GDPR

Regulamentul GDPR a intrat în vigoare în 2018, iar obiectivele sale principale sunt:

  • protejarea drepturilor utilizatorilor cu privire la datele lor
  • asigurarea că legea privind confidențialitatea datelor este la zi cu cele mai recente evoluții tehnologice
  • stabilirea unei legislații coerente în întreaga UE

O încălcare a securității datelor se produce atunci când  informațiile personale sunt preluate (sau furate) dintr-un sistem fără autorizarea sau cunoștințele proprietarului sistemului. Atunci când are loc o încălcare a securității datelor, companiile au datoria de a raporta încălcarea la Autoritatea de supraveghere în termen de 72 de ore. De asemenea, companiile trebuie să notifice personal utilizatorii afectați.

Statistici interesante 2022 referitoare la GDPR

Cisco publică anual un raport privind protecția datelor cu caracter personal. Acest raport reprezintă o analiză globală a practicilor corporative privind confidențialitatea datelor, inclusiv a opiniilor acestora cu privire la confidențialitatea datelor.

Iată câteva date GDPR  interesante reieșite din Studiul de referință privind confidențialitatea datelor al Cisco din 2022:

  • 90% dintre respondenții sondajului global au spus că nu ar cumpăra de la o organizație care nu își protejează datele.
  • 91% au indicat că certificările externe de confidențialitate sunt importante în procesul lor de cumpărare.
  • 83% dintre respondenții corporativi au declarat că legile privind confidențialitatea au avut un impact pozitiv, 14% au fost neutri, în timp ce doar 3% au considerat că au avut un rezultat negativ.
  • Companiile consideră că investiția în securitatea datelor are mai multe beneficii, inclusiv construirea loialității și încrederii (71%), compania devine mai atractivă (69%) și menținerea eficienței operaționale (68%).
  • 92% din respondenții la sondaj recunosc că organizația lor are responsabilitatea de a utiliza datele într-o manieră etică. 87% dintre aceștia cred că au deja procese în vigoare pentru a se asigura că luarea automată a deciziilor se face în conformitate cu așteptările clienților. Cu toate acestea, consumatorii nu sunt de acord. Pe baza rezultatelor sondajului Cisco 2021 privind confidențialitatea consumatorilor, 46% dintre consumatori simt că nu își pot proteja în mod adecvat datele personale. Principalul motivul este că ei nu înțeleg exact cum colectează organizațiile datele lor și ce fac mai departe cu aceste date.
  • 56% dintre respondenții la sondaj și-au exprimat preocuparea cu privire la modul în care companiile folosesc IA (inteligență artificială). Conform sondajului, organizațiile ar trebui să facă mai mult pentru a se asigura că clienții lor înțeleg cum le sunt folosite datele cu ajutorul IA.

Așadar, datorită legislației GDPR în vigoare, companiile fac pași semnificativi pentru a-și îmbunătăți eforturile de protecție a datelor și securitatea cibernetică. Totuși, există în continuare destul de multe amenzi (atât la nivel global, cât și în România) din cauza nerespectării Regulamentului General privind Protecția Datelor cu caracter personal.

ANSPDCP amintește tuturor operatorilor de date:

  • importanța implementării de măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice;
  • respectarea principiului exactității datelor;
  • stabilirea unu cadru organizațional corespunzător pentru respectarea principiului integrității și confidențialității

Citește și acest articol pentru a descoperi care au fost cele mai mari amenzi GDPR aplicate până acum atât în România, cât și la nivelul UE!

Sursa foto: Pixabay.com

S-ar putea să-ți placă și

noutati-gdpr-6-ian-2023

Noutăți recente GDPR – amenzi, statistici 2022 și informații utile privind confidențialitatea datelor în 2023

ianuarie 6, 2023
asset-management-gdpr

Responsabilitățile companiilor de asset management în ceea ce privește GDPR

septembrie 3, 2023
amenzi-anspdcp-nerespectare-gdpr

5.47 milioane de EURO- cea mai mare amendă GDPR în Europa. În România, amenzi ANSPDCP de 6.500 EUR

octombrie 31, 2023

Un comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *