A TREIA AMENDĂ ÎN APLICAREA RGPD
În data de 05.07.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la ooperatorul LEGAL COMPANY & TAX HUB SRL și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Operatorul LEGAL COMPANY & TAX HUB SRL a fost sancționat contravențional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.
Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.
Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.
Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”).
De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: ”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”
Biroul juridic şi comunicare
A.N.S.P.D.C.P.