Ce amenzi a mai aplicat ANSPDCP pentru încălcarea GDPR la început de an?

[Madalin]

 

Credeai că tocmai a început un an nou și că ANSPDPC nu este activă? Ei bine, lucrurile nu stau tocmai așa, iar cele două decizii sunt cel puțin interesante.

Încalci GDPR dacă trimiți pe e-mail din greșeală datele altei persoane. Dacă nu știai asta, e bine să ai în vedere. De fapt, există o breșă de securitate și în momentul în care compui un e-mail și trimiți către un destinatar greșit. Am bătut monedă despre asta de multe ori.

 

Ce s-a întâmplat?

 

Potrivit comunicatului de presă emis de autoritate, Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane. Această situație a fost semnalată de persoana respectivă, dar operatorul nu a luat nicio măsură.

 

Astfel că Hora Credit a primit o amendă de 14.000 euro, defalcată în 3:

 

• 3.000 euro pentru că a încălcat principiile de bază pentru prelucrare pe ideea că operatorul nu a aplicat mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate ;
• 10.000 euro că nu a implementat măsuri adecvate de securitate și confidențialitate și
• 1.000 euro că nu a notificat autoritatea în termen de 72 ore de când a știu despre incident.

 

 

Pe lângă amendă, Hora Credit a mai primit și niște măsuri corective:

 

• să implementeze în termen de 30 zile măsuri adecvate pentru verificarea datelor atunci când fac comunicări prin e-mail;
• să implementeze în termen de 30 zile măsuri de securitate și confidențialitate (inclusiv criptare);
• să implementeze în termen de 30 zile o politică de securitate (un model foarte bun de la care să pornești îl găsești aici).
   

De ce nu? Ce s-a întâmplat, de fapt?

 

Când o persoană îți transmite o adresă de e-mail care are un domeniu gmail, este irelevant dacă adresa este cu punct sau fără punct la nume.

Altfel zis, pentru gmail, dacă adresa ta este prenume.nume@gmail.com sau prenumenume@gmail.com nu contează. Ajung la același destinatar.

De vreo 15 ani e chestia asta. O zic chiar ei oficial.

Conex: Dots don’t matter in Gmail addresses

Cam așa a stat treaba și în cazul Hora Credit. Cineva a dat o adresă cu prenume.nume@gmail.com, validarea contului s-a făcut pe adresa respectivă, dar persoana a zis că ea nu s-a înscris cu prenume.nume@gmail.com, ci cu prenumenume@gmail.com

Iar atunci am fi în situația unei breșe de securitate că s-a transmis unui destinatar greșit e-mailul respectiv, iar Hora Credit nu a implementat măsurile de securitate necesare.

Dar aici vorbim de identitate de persoană. Dacă eu îmi făceam cont pe un magazin online și dădeam scufita.rosie@gmail.com când eu foloseam în mod curent scufitarosie@gmail.com, mail-ul de verificare trimis în mod automat pentru validare ajunge … ghici unde? Tot la mine. Pentru că Google alocă adresele de e-mail cu punct și fără punct aceluiași domeniu. Nu de alta, dar s-au prins și ei acum 15 ani că poate mai sunt oameni care ratează punctul sau îl pun din greșeală și să nu existe probleme.

Mai avem vreo breșă de securitate? Datele lui X au ajuns la X.

 

Trebuia Hora Credit să notifice ANSPDCP în termen de 72 ore?

 

Aparent, nu chiar. O zice chiar Regulamentul, iar situația stă grafic la modul următor:

Presupusa divulgare a datelor personale a unei singure persoane (exact cum reiese în mod expres din comunicatul de presă) care a ajuns tot la aceeași, nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate.

Prin urmare, Hora Credit IFN S.A. ar fi trebuit doar să documenteze intern acest incident.

E util: am scris pe larg despre procedura de notificare către ANSPDCP în cazul unei breșe de securitate aici.

 

Cu ce rămânem de aici?

 

Domeniul protecției datelor cu caracter personal este nou în România și căpătă o amploare destul de mare.

Ar trebui să conștientizăm tot mai bine, în calitate de operatori de date și persoane vizate că datele noastre sunt protejate și că știm la ce sunt folosite.

Pe de altă parte, această abordare ar trebui să fie una pragmatică, de învățare și aplicată într-un mod practic, iar nu să fie folosită ca o metodă de șicană.

ENEL a fost amendat cu 6.000 euro pentru SPAM.

 

Am vorbit în nenumărate rânduri despre ce înseamnă marketing, consimțământ în marketing și de ce e bine ca atunci când omul zice că nu mai vrea să primească mail-uri și notificări de la tine să nu i le mai trimiți.

Cu toții cred că suntem exasperați de toate mail-urile pe care le primim, unde apăsam pe butonul de unsubscribe/dezabonare și nu se întâmplă nimic, că tot acolo suntem.

Pentru asta a fost sancționat și ENEL Energie S.A. cu 2 amenzi de câte 3.000 euro fiecare:

(a) una pentru că nu a putut zice de unde are adresa aia de e-mail și

(b) că a tot trimis mail-uri deși persoana și-a exercitat în mod repetat dreptul la opoziție

 

Sursa