Avocatoo amenda de 3000 Euro pentru o bresa GDPR – a treia amenda GDPR din Romania – adevarul din spate

Conform comunicatului de pres─â al Autorit─â╚Ťii de supraveghere ANSPDCP, ├«n data de 5 iulie 2019 a fost finalizat─â o investiga╚Ťie ├«n urma c─âreia a fost aplicat─â o sanc╚Ťiune cu amend─â ├«n valoare de 3000 euro pentru operatorul siteului Avocatoo .ro (Legal Company & Tax Hub srl) deoarece a ├«nc─âlcat prevederile Art. 32 din GDPR, fiind practic a treia amend─â din Rom├ónia aplicat─â de la intrarea in vigoare a Regulamentului European 679/2016.

Este foarte ru╚Öinos ca Avocatoo, o companie care ofer─â servicii ╚Öi materiale de conformare la GDPR, s─â nu poat─â s─â asigure confiden╚Ťialitatea datelor clien╚Ťilor s─âi.

Cum pot oferi clien╚Ťilor solu╚Ťii GDPR, dac─â Autoritatea de supraveghere confirm─â ca Avocatoo nu a fost ├«n stare s─â asigure un set de m─âsuri tehnice ╚Öi organizatorice adecvate.

Din toate acestea izvorăsc un set de întrebări și de dubii pentru care nu cred că vom primi răspunsuri prea curând:

  • De ce s-a produs acea bre╚Ö─â ╚Öi din cauza cui, cine a fost responsabil?
  • C├óte persoane vizate au fost afectate prin expunerea datelor ╚Öi care sunt ╚Öi vor fi consecin╚Ťele?
  • Ce date au fost efectiv expuse ├«n aceast─â bre╚Ö─â GDPR?
  • Cine a avut acces la acele datele expuse ├«n aceast─â bre╚Ö─â GDPR ?
  • S-a afirmat c─â datele expuse erau vechi, deci c├ót de vechi erau?
  • Cum ╚Öi-au asigurat procedurile, politicile de lucru ╚Öi conformitatea la GDPR cei de la Avocatoo dac─â au ajuns s─â aib─â o astfel de bre╚Ö─â?
  • Cum ╚Öi-au asigurat colaborarea cu persoanele ├«mputernicite c─ârora le-au ├«ncredin╚Ťat administrarea siteului ╚Öi datele clien╚Ťilor?

Avocatoo se scuză afirmând neadevăruri

Din materialele prezentate de alte siteuri cu privire la aceast─â spe╚Ť─â, precum ╚Öi a informa╚Ťiilor prezentate pe siteul lor oficial, se pare c─â administratorii Avocatoo dau vina pentru producerea acestei bre╚Öe pe colaboratorul ├«mputernicit care a asigurat furnizarea siteului web, chiar ╚Öi dac─â ar fi fost a╚Öa, obliga╚Ťiile revin operatorului adic─â Avocatoo, acesta trebuia s─â impun─â ├«mputernicitului ni╚Öte m─âsuri, etc.

În încercarea echipei Avocatoo de a se scuza pentru breșa GDPR produsă, aceștia au prezentat un material justificatic pe siteul lor, din care reiese:

  • datele erau incluse ├«ntr-un fisier criptat
  • datele con╚Ťinute apar╚Ťineau doar unor persoane juridice (B2B);
  • fi╚Öierul criptat con╚Ťinea informa╚Ťii vechi de la un import utilizat de modulul WooComemerce; 

Nu ├«ntelegem cum administra╚Ťia Avocatoo ├«╚Öi repect─â clien╚Ťii, dac─â dup─â aceast─â ├«nt├ómplare ├«╚Öi permite s─â contrazic─â rezultatele din urma investiga╚Ťiilor GDPR ├«ntreprinse de Autoritatea de supraveghere:

ANSPDSCP: Sanc╚Ťiunea a fost aplicat─â operatorului ├«ntru-c├ót nu a implementat m─âsuri tehnice ┼či organizatorice adecvate, ├«n vederea asigur─ârii unui nivel de securitate corespunz─âtor riscului prelucr─ârii. Aceasta a condus la divulgarea neautorizat─â ╚Öi accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzac╚Ťii recep╚Ťionate de site-ul avocatoo .ro (nume, prenume, adresa de coresponden╚Ť─â, email, telefon, loc de munc─â, detalii tranzac╚Ťii efectuate), documente accesibile public, ├«n perioada 10 decembrie 2018 ÔÇô 1 februarie 2019.

Consider─âm c─â Autoritatea de supraveghere ANSPDCP ├«╚Öi desf─â╚Öoar─â activitatea ├«ntr-un mod adecvat, prin profesioni╚Öti, iar dac─â NU ar fi fost vorba de date cu caracter personal apar╚Ťin├ónd unor persoane fizice afectate, nu ar fi aplicat sanc╚Ťiunile respective.

Din acela╚Öi comunicat de presa afl─âm c─â din data de 5 Iulie, se ╚Ötia de concluzia investiga╚Ťiei, consider─âm c─â ├«n cca. 2 zile rezultatele au fost comunicate celor de la Avocatoo, dar ace╚Ötia NU ╚Öi-au prezentat ÔÇŁscuzeleÔÇŁ, dec├ót dup─â publicarea comunicatului de pres─â pe siteul Autorit─â╚Ťii de supraveghere, adic─â ├«n data de 12 Iulie

Totodat─â, consider─âm c─â aceste scuze prezentate nu sunt ceea ce par, ascunz├ónd realitatea ╚Öi deform├ónd-o inten╚Ťionat pentru a se pozi╚Ťiona ├«ntr-o lumin─â c├ót mai favorabil─â, profit├ónd de aceast─â ocazie pentru a promova serviciile ╚Öi produsele propuse spre comercializare.

Ce ├«nv─â╚Ť─âm din urma sanc╚Ťion─ârii Avocatoo

Av├ónd ├«n vedere cele ├«nt├ómplate, nu putem dec├ót s─â tragem ├«nv─â╚Ť─âturi din aceast─â bre╚Ö─â GDPR, pentru c─â, dac─â suntem profesioni╚Öti, nu trebuie s─â l─âs─âm bre╚Öe de securitate ├«n urma noastr─â sau ├«n curtea clientului:

  • organiza╚Ťiile TREBUIE s─â i-a ├«n serios legisla╚Ťia de protec╚Ťie a datelor personale, s─â o respecte ╚Öi s─â asigure confiden╚Ťialitatea datelor procesate;
  • organiza╚Ťiile trebuie s─â implementeze m─âsurile tehnice ╚Öi organizatorice adecvate pentru asigurarea unui nivel de conformitate la prevederile impuse de GDPR, re╚Ťine╚Ťi aspectul c─â implementare nu se rezum─â doar la un biblioraft plin, ci implic─â ╚Öi aplicarea celor ├«ncrise ├«n paginile acestuia, o persoan─â care s─â se asigure c─â sunt respectate, aplicate ╚Öi actualizate, etc.;
  • operatorii de date personale trebuie s─â ├«╚Öi aleag─â cu grij─â subcontractantii care au rol de ├«mputernici╚Ťi pentru c─â le sunt ├«ncredin╚Ťate date ╚Öi le sunt trasate directive pentru procesarea lor, s─â se asigure c─â ace╚Ötia au capacitatea de a aplica m─âsurile necesare de confiden╚Ťialitate ╚Öi securitate adecvate asupra datelor ├«ncredin╚Ťate, s─â efectueze periodic ac╚Ťiuni de verificare a acestora ╚Öi a m─âsurilor asumate;
  • s─â efectueze periodic verific─âri interne asupra activit─â╚Ťilor de culegere, stocare, acces, procesare a datelor cu caracter personal gestionate;
  • s─â apeleze (printr-un contract de servicii) la expertiza profesionali╚Ötilor din domeniu pentru verific─ârile sau opera╚Ťiunile care ├«i dep─â╚Öesc din punct de vedere al bazei de cuno╚Ötin╚Ťe pentru a evita bre╚Öe de securitate sau neconformit─â╚Ťi la umbra unor scuze copil─âre╚Öti precum c─â nu a╚Ťi ╚Ötiut sau c─â nu v─â pricepe╚Ťi, a╚Öa cum au afirmat cei de la Avocatoo;
  • nu uita╚Ťi ca nep─âsarea, ignoran╚Ťa, del─âsarea, formalul sau ceva ieftin se poate transforma in actiuni ce pot deveni costisitoare.

Nu ├«n╚Ťelegem cum ├«╚Öi asum─â cei de la Avocatoo c─â asigur─â doritorilor conformarea afacerilor la GDPR, dac─â ei se consider─â profesioni╚Öti ╚Öi ├«n final prezint─â scuze lamentabile ╚Öi confirm─â c─â le-a sc─âpat… r─âm├óne la latitudinea celor ce ├«i aleg s─â ├«╚Öi asume eventualele sc─âp─âri.

Nu cunoaștem care este finalul și dacă există persoane fizice afectate care s-au îndreptat sau urmează să se îndrepte împotriva celor de la Avocatoo pentru expunerea neautorizată a datelor cu caracter personal, dar până în prezent Avocatoo nu a contestat amenda aplicată de ANSPDCP.

Consider─âm c─â la acest nivel, o astfel de gaf─â este inacceptabil─â ╚Öi total inadecvat modul ├«n care administratorul site-ului www. avocatoo .ro se laud─â ╚Öi ├«ncerc─â s─â se scuze utiliz├ónd o abordare copil─âreasc─â, prezent├ónd ├«nv─â╚Ť─âturile trase, ├«ncerc├ónd s─â diminueze fapta ╚Öi efectele generate, dar totodat─â ├«ncerc├ónd s─â ├«╚Öi promoveze serviciile ╚Öi produsele GDPR.

Sper─âm s─â trag─â ├«nv─â╚Ť─âturile necesare pentru a se asigura c─â nu mai repet─â astfel de gre╚Öeli ╚Öi poate ├«╚Öi vor revizui modul de a face afaceri, ├«ndrep├óndu-se spre unul mai corect, profesionist, conform cu prevederile legislative, etc.

S─â nu uit─âm c─â pentru o lista sumar─â de acces la micul dejun ├«n care se reg─âseau date personale ale clien╚Ťilor caza╚Ťi ├«ntr-un hotel din Bucure╚Öti (nume, prenume ╚Öi numele camerei), WTC a fost sanctionat cu 15.000 euro, a╚Öa cei de la Avocatoo au sc─âpat ieftin.

V─â prezent─âm mai jos comunicatul prezentat de Autoritatea de supraveghere na╚Ťional─â

Comunicat oficial ANSPDCP – A treia amend─â GDPR aplicat─â lui Avocatoo

├Än data de 05.07.2019 Autoritatea Na╚Ťional─â de Supraveghere a finalizat o investiga╚Ťie la operatorul LEGAL COMPANY & TAX HUB SRL (NR Avocatoo.ro) ╚Öi a constatat c─â acesta a ├«nc─âlcat prevederile art. 32 alin. (1) ╚Öi alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European ┼či al Consiliului din 27 aprilie 2016 privind protec┼úia persoanelor fizice ├«n ceea ce prive┼čte prelucrarea datelor cu caracter personal ┼či privind libera circula┼úie a acestor date ┼či de abrogare a Directivei 95/46/CE (Regulamentul general privind protec┼úia datelor).

Operatorul LEGAL COMPANY & TAX HUB SRL (NR Avocatoo.ro) a fost sanc╚Ťionat contraven╚Ťional cu amend─â ├«n cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sanc╚Ťiunea a fost aplicat─â operatorului ├«ntruc├ót nu a implementat m─âsuri tehnice ┼či organizatorice adecvate, ├«n vederea asigur─ârii unui nivel de securitate corespunz─âtor riscului prelucr─ârii. Aceasta a condus la divulgarea neautorizat─â ╚Öi accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzac╚Ťii recep╚Ťionate de site-ul avocatoo.ro (nume, prenume, adresa de coresponden╚Ť─â, email, telefon, loc de munc─â, detalii tranzac╚Ťii efectuate), documente accesibile public, ├«n perioada 10 decembrie 2018 ÔÇô 1 februarie 2019.

Autoritatea Na┼úional─â de Supraveghere a aplicat sanc╚Ťiunea ca urmare a unei sesiz─âri din data de 10.12.2018 prin care se semnala faptul c─â un set de fi╚Öiere cu privire la detaliile tranzac╚Ťiilor recep╚Ťionate de site-ul avocatoo.ro, ce con╚Ťinea nume, prenume, adresa de coresponden╚Ť─â, email, telefon, loc de munc─â ╚Öi detalii tranzac╚Ťii efectuate, era accesibil public prin intermediul a dou─â link-uri.

Subliniem c─â, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obliga╚Ťia de a prelucra date ├«ntr-un mod care asigur─â securitatea adecvat─â a datelor cu caracter personal, inclusiv protec╚Ťia ├«mpotriva prelucr─ârii neautorizate sau ilegale ╚Öi ├«mpotriva pierderii, a distrugerii sau a deterior─ârii accidentale, prin luarea de m─âsuri tehnice sau organizatorice corespunz─âtoare (ÔÇŁintegritate ╚Öi confiden╚ŤialitateÔÇŁ).

De asemenea, Regulamentul General privind Protec┼úia Datelor prevede, ├«n art. 32 c─â: 

ÔÇŁ(1) Av├ónd ├«n vedere stadiul actual al dezvolt─ârii, costurile implement─ârii ┼či natura, domeniul de aplicare, contextul ┼či scopurile prelucr─ârii, precum ┼či riscul cu diferite grade de probabilitate ┼či gravitate pentru drepturile ┼či libert─â┼úile persoanelor fizice, operatorul ┼či persoana ├«mputernicit─â de acesta implementeaz─â m─âsuri tehnice ┼či organizatorice adecvate ├«n vederea asigur─ârii unui nivel de securitate corespunz─âtor acestui risc, incluz├ónd printre altele, dup─â caz:

a) pseudonimizarea ┼či criptarea datelor cu caracter personal;

b) capacitatea de a asigura confiden┼úialitatea, integritatea, disponibilitatea ┼či rezisten┼úa continue ale sistemelor ┼či serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal ┼či accesul la acestea ├«n timp util ├«n cazul ├«n care are loc un incident de natur─â fizic─â sau tehnic─â;

d) un proces pentru testarea, evaluarea ┼či aprecierea periodice ale eficacit─â┼úii m─âsurilor tehnice ┼či organizatorice pentru a garanta securitatea prelucr─ârii.

(2) La evaluarea nivelului adecvat de securitate, se ┼úine seama ├«n special de riscurile prezentate de prelucrare, generate ├«n special, ├«n mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizat─â sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate ├«ntr-un alt mod.ÔÇŁ

                                                                  Biroul juridic ┼či comunicare

A.N.S.P.D.C.P

Dreptul la replic─â se poate exercita la adresa euromarketro@gmail.com

Cum ├«nt├ómpin─âm astfel de situa╚Ťii si investiga╚Ťiile Autorit─â╚Ťii

Pentru a v─â preg─âti s─â trata╚Ťi corespunz─âtor ╚Öi sa r─âspunde╚Ťi ├«n cazul unei investiga╚Ťii din partea Autorit─â╚Ťii de Supraveghere v─â recomand─âm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Preven╚Ťie, Ac╚Ťiune, C─âi de atac – curs ce v─â preg─âte╚Öte pentru astfel de situa╚Ťii sau aplela╚Ťi la serviciile practican╚Ťilor din domeniul protec╚Ťiei datelor personale – Consultan╚Ť─â de urgen╚Ť─â SOS GDPR.

Citi╚Ťi acum ╚Öi despre

Urmareste noutatile GDPR
Acest articol a fost publicat ├«n Amenzi Sanc╚Ťiuni M─âsuri GDPR ╚Öi etichetat cu , , , , , , , , , , , , , , , , , , . Salveaz─â leg─âtura permanent─â.


´╗┐

Pentru a evita sanc╚Ťiuni uria╚Öe financiare ╚Öi de imagine v─â recomand─âm s─â verifica╚Ťi GRATUIT online dac─â compania / institu╚Ťia dvs. trebuie s─â fie conform─â cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) ╚Öi dac─â trebuie s─â externaliza╚Ťi un DPO sau s─â ave╚Ťi desemnat intern o persoan─â pe pozi╚Ťia de DPO Responsabil cu protec╚Ťia datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dac─â ├«nt├ómpina╚Ťi greut─â╚Ťi ├«n implementarea GDPR, pute╚Ťi apela la echipa de speciali╚Öti GDPR sau pute╚Ťi cotracta serviciile profesionale de consultan╚Ť─â GDPR de specialitate.


Pentru a v─â sprijini, , echipa de speciali╚Öti GDPR v─â pune la dipozi╚Ťie setul de instrumente necesare pentru realizare evalu─ârii de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) ├«mpreun─â cu instruc╚Ťiuni ╚Öi sfaturi practice, ╚Öabloanele si alte evaluari DPIA completate ca exemplu, pentru a v─â ajuta s─â ├«n╚Ťelegeti ce trebuie realizat pentru a desf─â╚Öura o evaluare de imact conform prevederilor GDPR ╚Öi prevederilor Deciziei 174/2018 emise de ANSPDCP.



Profita de oferta si comanda acum Kit GDPR COMPLET 2020 format din 12 Kituri GDPR cu peste 200 documente + gratuit alte 145 documente si software gratuit
Kit GDPR Masuri tehnice si organizatorice impuse de legislatia protectiei datelor Regulamentul EU 678/2016 si Legea 190/2018
Consultanta de urgenta SOS GDPR ÔÇô asistenta de specialtate in domeniul protectiei datelor personale
Kit GDPR DSAR ÔÇô 31 Politici si Proceduri, Registre, Diagrame, Documente obligatorii pentru conformarea la prevederile GDPR Art.12,15-22
Kit GDPR 67 de Politici si Proceduri obligatorii pentru conformitatea la Regulamentul EU 679/2016
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018
Curs DPO certificat GDPR conform cod COR 242231 + Kit pt DPO + Schema Implementare GDPR conform prevederilor Regulamentul EU 679/2016 si Legea 190/2018 conform cod COR 242231
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018