Riscurile, securitatea datelor și amenzile GDPR

  1. Preambul

Pînă astăzi, ANSPDCP a amendat (nu cred că amenzile sînt definitive) 4 organizații, după cum urmează:

  • 130.000 euro pentru dezvăluirea în cazul a 337.042 de persoane a CNP și adresa personală (în site);
  • 15.000 euro pentru divulgarea în mediul online a unei liste cu 46 persoane care serveau micul dejun la un hotel ( (lista a fost fotografiată);
  • 3000 euro pentru divulgarea (într-un site) nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate. Nu știm numărul de persoane afectate ci doar intervalul în care s-a produs;
  • 2500 euro pentru lipsa informării angajaților în cazul camerelor video și dezvăluirea CNP-ul angajaţilor, prin afișarea unui referat pentru instruirea personalului la avizierul societăţii și lipsa dovezii legalității prelucrării CNP-ului;

În 3 comunicate, ANSPDCP motivează astfel deciziile:

… ca urmare  a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate.

…operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

…nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții

2. Riscuri

Confirmarea lucrurilor scrise în 2017 aici am primit-o cînd WP29 a publicat în 2018 opinia revizuită despre notificarea încălcării securității datelor cu caracter personal (WP250rev.01). Scriam la finalul acelui articol că întreaga listă din considerentul 75 devine listă de „riscuri ridicate„ în funcție de probabilitate și gravitate.

Dilemele mele încep de cele mai multe ori de la definiții, bineînțeles.

În limba engleză avem „personal data breach„ tradus în limba română prin „încălcarea securității datelor cu caracter personal” care înseamnă…o încălcare a securității datelor cu caracter personal.

Nu avem nici o definiție a ceea ce înseamnă „securitatea datelor personale„. Avem în schimb precizarea cu privire la „măsuri tehnice și administrative„ în art. 24, principiul responsabilității operatorului, potrivit căruia:

Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.

Cu „demonstratul„ cred că este ceva mai greu…(despre prima amendă am scris aici)

3. DPIA

Evaluarea impactului asupra protecției datelor nu este obligatorie în orice situație. ANSPDCP a publicat „LISTA OPERAȚIUNILOR PENTRU CARE ESTE NECESARĂ REALIZAREA EVALUĂRII IMPACTULUI ASUPRA PROTECȚIEI DATELOR în conformitate cu RGPD:

a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrarea pe scară largă a datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în zone publice, precum căi de acces, piețe, parcuri sau alte asemenea spații;
d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor soluții tehnologice automate noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
f) prelucrarea pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace (aplicații „Internetul lucrurilor” cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații) în scopuri precum evaluarea situației economice, a stării de sănătate, a preferințelor sau intereselor personale, a solvabilității sau comportamentului, localizarea geografică a persoanelor vizate;
g) prelucrarea pe scară largă și/sau sistematică a datelor de telefonie, de internet sau a altor date de comunicare, a metadatelor sau a datelor de localizare sau urmărire a persoanelor fizice (cum ar fi urmărirea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.

Opinia WP250 aduce clarificări cu privire la două situații:

Evaluarea impactului asupra protecției datelor ia în considerare atât riscurile prelucrării datelor conform planificării, cât și riscurile în cazul unei încălcări. Atunci când se analizează o eventuală încălcare, se examinează, în termeni generali, probabilitatea ca aceasta să se producă și prejudiciile care ar putea fi aduse persoanei vizate; cu alte cuvinte, aceasta este o evaluare a unui eveniment ipotetic (n.m: o evaluare a riscurilor). În cazul unei încălcări reale, evenimentul a avut deja loc și, prin urmare, accentul este plasat exclusiv pe riscul aferent impactului încălcării asupra persoanelor.

4. Încălcarea securității, lipsa măsurilor sau prelucrare neadecvată?

În 3 din cele 4 comunicate ANSPDCP se face referire la „neaplicarea măsurilor de securitate„

Pentru a putea fi încălcate, măsurile de securitate ar fi trebuit să existe și să acopere confidențialitatea, integritatea și disponibilitatea. Ca să existe, ar fi trebuit să fie identificate și în final testate.

Ca să poată fi identificate măsurile respective, ar fi trebuit să fie identificate….riscuri. Printre acestea și cel referitor la legalitatea prelucrării (temeiul juridic).

5. Cîteva concluzii

În știrile pe care le-am citit despre „amenzile GDPR„, de la noi sau de prin EU, nu am găsit detalii despre „riscurile la adresa drepturilor și libertăților persoanei vizate„.

WP250 tot despre riscuri face vorbire și spune că „atunci când se evaluează riscul pentru persoane ca urmare a unei încălcări, operatorul ar trebui să ia în considerare circumstanțele specifice ale încălcării, inclusiv gravitatea impactului potențial și probabilitatea apariției acestuia.„ Se recomandă și de ce trebuie să țină cont evaluarea:

  • tipul de încălcare (confidențialitate, integritate sau disponibilitate)
  • natura, sensibilitatea și volumul datelor cu caracter personal
  • ușurința identificării persoanelor
  • gravitatea consecințelor pentru persoane
  • Caracteristici speciale ale persoanei (minor, de ex)
  • Caracteristici speciale ale operatorului de date
  • Numărul persoanelor afectate

Între „Camera:1018, Adrian Munteanu„ publicat de Ionel Popescu pe FB și „Adrian Munteanu, RO85BRDE…..CNP….Str. Idependentei…tel….email….„ disponibile printr-un fel de SQLi în situl firmei și publicate de Gigel pe blogul său, cred că este o diferență. Pentru mine, cel puțin….

3 gânduri despre “Riscurile, securitatea datelor și amenzile GDPR

  1. Asta m-a nedumerit și pe mine la primele amenzi. Cel puțin în cazul hotelului și al Unicredit, impactul asupra drepturilor și libertăților fundamentale ale persoanei vizate sunt minime. În cazul Unicredit vorbim de transmiterea CNP persoanei juridice beneficiare a plății, în cazul pozei de pe FB este oricum extrem de dificilă o identificare exactă a persoanelor afectate, neexistând un singur „Ion Popescu”.

    Apreciază

  2. Pingback: Data Protection News: September 2019 – PrivacyOne

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.