Prima amendă GDPR – studiu de caz

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.

Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare  a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018„ – (Sursa)

Amenda este mică în opinia mea (aproximativ 2 lei/persoană). În plus nu este singura bancă ce proceda în această manieră anul trecut.

În urma interacțiunilor mele cu actorii din piață am constatat că în cele mai multe cazuri „conformarea„ a presupus „registrul activităților de prelucrare„ (modele care respectă cerințele din Art. 30 dar care nu prea ajută la analiză și la crearea fluxului prelucrărilor) și foarte multe hîrtii: „informare„, „acord/consimțămînt„, „politică/procedură„. În foarte puține cazuri am văzut „măsuri tehnice„ proporționale cu riscurile. M-am întîlnit cu „DPO„ și „consultanți„ fără cunoștințe tehnice minime, fără o înțelegere a proceselor economice ale organizației („Nu e treaba mea„, „să facă ăia de la IT„…). (Există bănci care și acum fac copie după CI pentru fiecare depunere la ghișeu. Există asiguratori care cer acord/consimțămînt pentru a răspunde la o cerere de ofertă. Există…Există….).

GDPR este complex, dar complicat a devenit din cauza unora dintre noi, fie ei manageri, juriști, DPO sau consultanți.

  1. Implementarea cerințelor regulamentului depinde de context și prin urmare este vital ca operatorul să identifice contextul în care are loc o prelucrare.
  2. Operatorul trebuie să demonstreze respectarea principiilor Art. 5 și Art. 24 (1) nu doar cu „hîrtii„. Integritatea și confidențialitatea se asigură cu ajutorul măsurilor tehnice. Cît de multe? În funcție de ce se identifică la punctul 1 și de ….
  3. Riscuri. Nu scrie nicăieri în regulament că este nevoie de evaluarea riscurilor (cu excepția DPIA) dar cînd se menționează măsurile „tehnice și administrative„ acestea trebuie să fie proporționale cu „riscurile cu grade diferite de probabilitate și gravitate„. Spus altfel, cam este nevoie de așa ceva (DPIA este obligatorie doar pentru anumite prelucrări) chiar dacă prelucrarea nu este o activitate din lista obligatorie. Este nevoie de o evaluare a riscurilor pentru că trebuie să respecți Art. 24 (1), 25 (1), 32…. Chiar există? Și dacă există, chiar acoperă procesele? (În macheta SharePoint am legat fiecare proces economic cu activitățle de prelucrare și cu riscurile pentru că asta este înțelegerea mea…)
  4. Dacă evidența activităților de prelucrare se limitează doar la cerințele Art. 30 și nu este un document care să prezinte fluxul prelucrărilor din cadrul fiecărui proces al organizației, nu va rezulta o imagine completă. Sigur vor fi date omise. (Peste tot pe unde am avut ocazia să vorbesc, inclusiv în timpul cursurilor CIPM din cadrul Deloitte Academy, am făcut referire la imaginea de aici. Ar trebui o astfel de diagramă pentru fiecare proces? Da!)
  5. Ai DPO în organizație? Cînd l-ai angajat te-ai asigurat că are „cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor„? Are „capacitatea de a îndeplini sarcinile prevăzute la articolul 39„? Pe bune? DPO-ul extern a livrat ceva mai mult decît „Excel„ și „template„? DPO-ul comunică cu restul rolurilor din organizație?
  6. Dacă da, ce informații ai primit în urma „testării, evaluării și aprecierii periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.„? Cum ți-a fost explicată cerința „pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate„?
  7. Ai furnizori de soluții și aplicații. Ai discutat cu ei în ultimii doi ani? – „ Atunci când elaborează, proiectează, selectează și utilizează aplicații, servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția datelor. „. Tehnologia costă. Securitatea costă! Dar costurile și utilizarea tehnologiei disponibile ar trebui să corespundă contextului și nivelului riscului potențial la adresa drepturilor persoanelor vizate, reprezentate de actualele și viitoarele operațiuni de prelucrare precum și de gravitatea încălcării acestor drepturi. Operațiuni cu risc ridicat și procesarea de informații sensibile justifică ulterior costurile mai mari.
  8. Încearcă un exercițiu simplu: răspunde la cîteva întrebări. Cîte CNP-uri (mailuri, telefoane, adrese etc) ai stocate în organizație? De ce? Unde? De cînd? Pe ce suport? Chiar ai nevoie/trebuie? Dacă nu ai răspunsuri la aceste întrebări este greu să asiguri echilibrul între utilitate și protecția datelor.

Un gând despre “Prima amendă GDPR – studiu de caz

  1. Pingback: Riscurile, securitatea datelor și amenzile GDPR | ADRIAN B. MUNTEANU

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.