Un angajat care activa în industria auto, mai exact lucra într-un service auto, a fost condamnat la șase luni de închisoare cu executare pentru că a încălcat regimul datelor cu caracter personal și nerespectare a prevederilor GDPR.
Cum poți ajunge să faci închisoare pentru ca ai folosit date cu caracter personal fără consimțământul personalor vizate sau al opertorului!
Cum a incalcat regimul datelor personale un angajat
M.K. a lucrat pentru un service auto care se ocupa cu repararea autovehicolelor avariate in urma accidentelor auto.
Folosindu-se de datele de conectare ale colegilor săi pentru accesarea unui software dedicat care estimează costul reparațiilor vehiculului, în perioada Ianuarie 2016 – Octombrie 2017, M.K. a accesat mii de înregistrări ale clienților, inregistrări care conțin date cu caracter personal, fără permisiunea superiorilor sau al proprietarilor datelor.
Înregistrările accesate de M.K. conțin date cu caracter personal precum: nume, prenume, numar de telefon, informații despre vehicul și informații despre accident.
El a continuat să facă acest lucru după ce s-a angajat în cadrul altui service auto, care folosea același software de estimare.
Când serviceul auto a început sa înregistreze o creștere a sesizarilor din partea clienților săi, cu privire la faptul că aceștia primesc apeluri telefonice neplăcute, au contactat Autoritatea de Supraveghere Națională și au oferit sprijinul în ancheta acestora.
Când serviceul auto a început sa înregistreze o creștere a sesizarilor din partea clienților săi, cu privire la faptul că aceștia primesc apeluri telefonice neplăcute, au contactat Autoritatea de Supraveghere Națională și au oferit sprijinul în ancheta acestora.
Autoritatea de supraveghere a considerat oportună încadrarea faptei săvârșite la o lege mai severă, care condamnă atacul și utilizarea resurselor cibernetice în încălcarea drepturilor și libertăților persoanelor fizice.
Recomandarile investigattorilor incidentului de securitate a datelor personale
Mnagerul grupului de Investigațiile criminale din cadrul Autorității de supraveghere a declarat:
- Persoanele care consideră că merită să obțină și dezvăluie date personale fără permisiune, ar trebui să se gândească din nou.
- Deși aceasta a fost o problemă de protecție a datelor, în acest caz, am reușit să judecăm dincolo de legislatia privind protecția datelor, ducând la o pedeapsă mai strictă pentru a reflecta natura comportamentului criminal.
- Cetățenii și organizațiile pot fi siguri că vom împinge granițele și vom folosi orice instrument care este la dispoziția noastră pentru a-și proteja drepturile.
- Datele obținute în aceste circumstanțe sunt o marfă valoroasă și există dovezi că clienții primesc apeluri nejustificate de la societăți concurente, provocând anxietate și suferințe inutile clienților.
- Posibilele daune reputaționale pentru companiile afectate ale căror date sunt furate în acest fel pot fi incomensurabile. Atât serviceul auto prejudiciat cât și dezvolatorii softului, au pus în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că acest lucru nu se poate întâmpla din nou.
Autoritatea de supraveghere avertizează
Anchetatorii acestui caz au ținut să precizeze câteva aspecte:
Legea privind abuzul de tehnica IT computer din 1990 prevede o pedeapsă privativă de libertate de până la 2 ani care se aplică pentru determinrea unui computer să efectueze o funcție cu intenția de a asigura accesul la orice program sau date deținute pe acel computer.
În conformitate cu legislația actuală, Autoritatea Națională de Supraveghere poate lua măsurile necesare pentru a schimba comportamentul organizațiilor și persoanelor care colectează, utilizează și păstrează informațiile personale. Aceaste măsuri pot include urmărirea penală, executarea non-penală și auditul de conformitate.
Începând cu 25 mai 2018, Autoritățile Naționale de Supraveghere a protecției datelor cu caracter personal au puterea de a impune o penalitate monetară civilă (CMP) asupra unui operator de date de până la 20 milioane de euro sau 4% din cifra de afaceri globală, pentru neconformitatea la Regulamentul European 679/2016 privind protecția datelor cu caracter personal și a legislației naționale aferente.
Aceasta este prima urmărire penală care a fost introdusă de Autoritatea de supraveghere a protectiei datelor din Marea Britanie, în baza unei legislații care permite sancționarea penală a celor ce încalcă drepturile și libertățile persoanelor fizice folosindu-se de tehnologia IT, legislație care permite sancționarea cu privarea de libertate – pedeapsa cu închisoarea.