Avocatoo amenda de 3000 Euro pentru o bresa GDPR – a treia amenda GDPR din Romania – adevarul din spate

Conform comunicatului de presă al Autorității de supraveghere ANSPDCP, în data de 5 iulie 2019 a fost finalizată o investigație în urma căreia a fost aplicată o sancțiune cu amendă în valoare de 3000 euro pentru operatorul siteului Avocatoo .ro (Legal Company & Tax Hub srl) deoarece a încălcat prevederile Art. 32 din GDPR, fiind practic a treia amendă din România aplicată de la intrarea in vigoare a Regulamentului European 679/2016.

Este foarte rușinos ca Avocatoo, o companie care oferă servicii și materiale de conformare la GDPR, să nu poată să asigure confidențialitatea datelor clienților săi.

Cum pot oferi clienților soluții GDPR, dacă Autoritatea de supraveghere confirmă ca Avocatoo nu a fost în stare să asigure un set de măsuri tehnice și organizatorice adecvate.

Din toate acestea izvorăsc un set de întrebări și de dubii pentru care nu cred că vom primi răspunsuri prea curând:

  • De ce s-a produs acea breșă și din cauza cui, cine a fost responsabil?
  • Câte persoane vizate au fost afectate prin expunerea datelor și care sunt și vor fi consecințele?
  • Ce date au fost efectiv expuse în această breșă GDPR?
  • Cine a avut acces la acele datele expuse în această breșă GDPR ?
  • S-a afirmat că datele expuse erau vechi, deci cât de vechi erau?
  • Cum și-au asigurat procedurile, politicile de lucru și conformitatea la GDPR cei de la Avocatoo dacă au ajuns să aibă o astfel de breșă?
  • Cum și-au asigurat colaborarea cu persoanele împuternicite cărora le-au încredințat administrarea siteului și datele clienților?

Avocatoo se scuză afirmând neadevăruri

Din materialele prezentate de alte siteuri cu privire la această speță, precum și a informațiilor prezentate pe siteul lor oficial, se pare că administratorii Avocatoo dau vina pentru producerea acestei breșe pe colaboratorul împuternicit care a asigurat furnizarea siteului web, chiar și dacă ar fi fost așa, obligațiile revin operatorului adică Avocatoo, acesta trebuia să impună împuternicitului niște măsuri, etc.

În încercarea echipei Avocatoo de a se scuza pentru breșa GDPR produsă, aceștia au prezentat un material justificatic pe siteul lor, din care reiese:

  • datele erau incluse într-un fisier criptat
  • datele conținute aparțineau doar unor persoane juridice (B2B);
  • fișierul criptat conținea informații vechi de la un import utilizat de modulul WooComemerce; 

Nu întelegem cum administrația Avocatoo își repectă clienții, dacă după această întâmplare își permite să contrazică rezultatele din urma investigațiilor GDPR întreprinse de Autoritatea de supraveghere:

ANSPDSCP: Sancțiunea a fost aplicată operatorului întru-cât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo .ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.

Considerăm că Autoritatea de supraveghere ANSPDCP își desfășoară activitatea într-un mod adecvat, prin profesioniști, iar dacă NU ar fi fost vorba de date cu caracter personal aparținând unor persoane fizice afectate, nu ar fi aplicat sancțiunile respective.

Din același comunicat de presa aflăm că din data de 5 Iulie, se știa de concluzia investigației, considerăm că în cca. 2 zile rezultatele au fost comunicate celor de la Avocatoo, dar aceștia NU și-au prezentat ”scuzele”, decât după publicarea comunicatului de presă pe siteul Autorității de supraveghere, adică în data de 12 Iulie

Totodată, considerăm că aceste scuze prezentate nu sunt ceea ce par, ascunzând realitatea și deformând-o intenționat pentru a se poziționa într-o lumină cât mai favorabilă, profitând de această ocazie pentru a promova serviciile și produsele propuse spre comercializare.

Ce învățăm din urma sancționării Avocatoo

Având în vedere cele întâmplate, nu putem decât să tragem învățături din această breșă GDPR, pentru că, dacă suntem profesioniști, nu trebuie să lăsăm breșe de securitate în urma noastră sau în curtea clientului:

  • organizațiile TREBUIE să i-a în serios legislația de protecție a datelor personale, să o respecte și să asigure confidențialitatea datelor procesate;
  • organizațiile trebuie să implementeze măsurile tehnice și organizatorice adecvate pentru asigurarea unui nivel de conformitate la prevederile impuse de GDPR, rețineți aspectul că implementare nu se rezumă doar la un biblioraft plin, ci implică și aplicarea celor încrise în paginile acestuia, o persoană care să se asigure că sunt respectate, aplicate și actualizate, etc.;
  • operatorii de date personale trebuie să își aleagă cu grijă subcontractantii care au rol de împuterniciți pentru că le sunt încredințate date și le sunt trasate directive pentru procesarea lor, să se asigure că aceștia au capacitatea de a aplica măsurile necesare de confidențialitate și securitate adecvate asupra datelor încredințate, să efectueze periodic acțiuni de verificare a acestora și a măsurilor asumate;
  • să efectueze periodic verificări interne asupra activităților de culegere, stocare, acces, procesare a datelor cu caracter personal gestionate;
  • să apeleze (printr-un contract de servicii) la expertiza profesionaliștilor din domeniu pentru verificările sau operațiunile care îi depășesc din punct de vedere al bazei de cunoștințe pentru a evita breșe de securitate sau neconformități la umbra unor scuze copilărești precum că nu ați știut sau că nu vă pricepeți, așa cum au afirmat cei de la Avocatoo;
  • nu uitați ca nepăsarea, ignoranța, delăsarea, formalul sau ceva ieftin se poate transforma in actiuni ce pot deveni costisitoare.

Nu înțelegem cum își asumă cei de la Avocatoo că asigură doritorilor conformarea afacerilor la GDPR, dacă ei se consideră profesioniști și în final prezintă scuze lamentabile și confirmă că le-a scăpat… rămâne la latitudinea celor ce îi aleg să își asume eventualele scăpări.

Nu cunoaștem care este finalul și dacă există persoane fizice afectate care s-au îndreptat sau urmează să se îndrepte împotriva celor de la Avocatoo pentru expunerea neautorizată a datelor cu caracter personal, dar până în prezent Avocatoo nu a contestat amenda aplicată de ANSPDCP.

Considerăm că la acest nivel, o astfel de gafă este inacceptabilă și total inadecvat modul în care administratorul site-ului www. avocatoo .ro se laudă și încercă să se scuze utilizând o abordare copilărească, prezentând învățăturile trase, încercând să diminueze fapta și efectele generate, dar totodată încercând să își promoveze serviciile și produsele GDPR.

Sperăm să tragă învățăturile necesare pentru a se asigura că nu mai repetă astfel de greșeli și poate își vor revizui modul de a face afaceri, îndrepându-se spre unul mai corect, profesionist, conform cu prevederile legislative, etc.

Să nu uităm că pentru o lista sumară de acces la micul dejun în care se regăseau date personale ale clienților cazați într-un hotel din București (nume, prenume și numele camerei), WTC a fost sanctionat cu 15.000 euro, așa cei de la Avocatoo au scăpat ieftin.

Vă prezentăm mai jos comunicatul prezentat de Autoritatea de supraveghere națională

Comunicat oficial ANSPDCP – A treia amendă GDPR aplicată lui Avocatoo

În data de 05.07.2019 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul LEGAL COMPANY & TAX HUB SRL (NR Avocatoo.ro) și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul LEGAL COMPANY & TAX HUB SRL (NR Avocatoo.ro) a fost sancționat contravențional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.

Subliniem că, potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligația de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate”).

De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: 

”(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

a) pseudonimizarea şi criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”

                                                                  Biroul juridic şi comunicare

A.N.S.P.D.C.P

Dreptul la replică se poate exercita la adresa euromarketro@gmail.com

Cum întâmpinăm astfel de situații si investigațiile Autorității

Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.

Citiți acum și despre

Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.