GDPR își arată colții - după un an de liniște, amenzi de sute de milioane de euro în doar câteva zile
Regulamentul General privind Protecția Datelor (GDPR) fusese în lucru ani buni înainte de intrarea în vigoare în luna mai a lui 2018. Multe dintre organizațiile vizate de noul regulament - în esență, orice entitate care prelucrează date cu caracter personal - încă se luptă cu adoptarea unor procese și tehnologii menite să asigure procesarea datelor personale în regim de conformitate cu noul regulament.
Specialiștii în securitate informatică observă că autoritățile responsabile cu sancționarea au fost permisive în acest prim an al adoptării GDPR, oferind răgaz operatorilor de date să își intre în ritm și, totodată, dându-și șansa să judece corect și la rece momentul în care primele amenzi aveau să fie aplicate.
"Prevederile GDPR implică numeroase schimbări procedurale și tehnologice în vederea conformității, iar autoritățile știau asta. Astfel, acestea încă erau permisive la momentul intrării in vigoare a GDPR. Totul s-a schimbat în vara lui 2019, la un an după intrarea în vigoare a noii legi. În doar trei zile, autoritățile de supraveghere a prelucrării datelor cu caracter personal au împărțit amenzi de peste 300 de milioane de euro. Rapiditatea cu care pedepsele se aplică reprezintă un semnal de alarmă pentru entitățile care încă se regăsesc în neconformitate cu GDPR", spune Filip Truță, analist în securitate informatică în cadrul Bitdefender.
Mega breșele expun datele personale a sute de mii de clienți
Printre primele entități amendate sub GDPR este compania aeriană British Airways. Transportatorul a primit una dintre cele mai usturătoare asemenea amenzi în urma unei breșe suferite anul trecut în care datele personale a 500.000 de clienți au fost compromise. Amenda aplicată de autoritatea britanică Information Commissioner’s Office (ICO) s-a ridicat la 183 de milioane de lire sterline. A doua zi, același ICO anunța intenția de a amenda lanțul hotelier Marriott cu suma de 99 de milioane de lire sterline pentru o altă breșă colosală care se desfășurase pe parcursul a mai bine de patru ani. Numeroase alte entități au primit pedepse costisitoare în urma unor stângacii similare în prelucrarea datelor clienților, ridicând cuantumul primelor amenzi la 315 milioane de euro în numai trei zile.
Amploarea ridicată face ca incidentele precum cele suferite de British Airways și Marriott sa intre la categoria "mega breșe".
Marriott a fost ținta unui atac sofisticat și sistematic, iar autorii acestui atac au avut un scop foarte bine definit: furtul datelor unor persoane bogate în vederea comiterii de fraudă.
"Mega-breșa Marriott servește drept exemplu că, pe lângă măsurile procedurale, este nevoie de tehnologii performante de securizare a datelor, și totodată de instrumente capabile să detecteze potențiale atacuri informatice în desfășurare, înainte ca atacatorii sa obțină acces persistent in infrastructura victimei", spune specialistul Bitdefender.
Și România urmează trendul european privitor la cuantumul de amenzi pentru nerespectarea prevederilor GDPR. Între 27 iunie și 5 iulie 2019, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat trei sancțiuni ca urmare a nerespectării noului regulament. Printre cei amendați se numără Unicredit Bank S.A. (circa 130.000 euro) și World Trade Center Bucharest S.A. (aprox. 15.000 euro).
În cazul Unicredit, când clienții efectuau plăți prin intermediul tranzacțiilor online, CNP-ul și adresa acestora erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont. 337 de mii de persoane au fost afectate de această eroare.
"La prima vedere, divulgarea acestor date nu pare a fi o greșeală capitală. Până la urma, de câte ori nu ne-am oferit CNP-ul și adresa completând un formular? În acest caz, problema este că datele au fost dezvaluite unor persoane neautorizate, fără acordul deținătorilor datelor respective. Conform principiului minimizării datelor, banca avea obligația de a prelucra date limitate raportat la scopul folosirii acelor date", spune Truță.
Penalizarea de 130.000 de euro primită de Unicredit a propulsat România pe locul 2 în Europa Centrală și de Est pentru cea mai mare amendă de încălcare a GDPR.
Cazul hotelului Pullman, deținut de centrul de business World Trade Center Bucharest, a implicat date tipărite pe hârtie. Conform ANSPDCP, o listă cu date personale utilizată pentru verificarea a 46 de clienți care luau micul dejun la respectivul hotel a fost fotografiată de către persoane neautorizate. Ulterior, aceste date au fost publicate pe internet, conducând la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din GDPR.
Dacă la Marriott si British Airlines amenzile au fost aplicate ca urmare a unei breșe informatice, în cazurile Unicredit și Pullman din România, entitățile amendate au expus datele clienților mai mult din neglijență.
"Ambele cazuri din România stau drept dovadă că asigurarea conformității începe cu o politică strictă de protejare a datelor personale. În absența unor politici eficiente, sistemele informatice de protecție pot deveni nule", spune specialistul Bitdefender.
Perseverența atacatorilor în ziua de azi nu mai permite prelucrarea neglijentă a datelor personale. De aceea, a devenit imperativ ca entitățile care prelucrează date cu caracter personal să se alinieze la noile standarde de securizare a acestor date. Dacă până de curând autoritățile au fost indulgente, începând cu mijlocul lui 2019, amenzile pentru neconformitate cu GDPR devin rapid o normalitate.

Liberalizarea pieței energiei / Diferențe de până la 19% dintre prețul serviciului universal și cel mai mic preț de pe piață
UPDATE Cîmpeanu: „Elevii care au vulnerabilități sau aparținători cu vulnerabilități, certificate medical, vor putea învăța online; profesorii vor putea preda online” / Petiție pentru reintroducerea sistemului hibrid
Boeing 737 MAX va zbura din nou în UE. Interdicția impusă acum 22 de luni, după două accidente aviatice, a fost ridicată
Poluarea de weekend din București: Agenția de Mediu dă vina pe trafic și condițiile atmosferice, activiștii de mediu indică arderi de deșeuri și încălzirea rezidențială / În rest, tăcere
INTERVIU Cum se simte scăderea numărului de îmbolnăviri în spitalele COVID: Numărul de pacienți este mai mic, dar vin mulți cu forme severe / Pericolul foarte mare este noua tulpină
Multumesc
- numele și gradul celor implicați în represiunea barbară din 10 August 2018
- numele celor care au asistat gratis la un concert din curtea casei poporului (aka sediul parlamentului).
- declarații de avere ale funcționarii publici
Și multe altele.
ANSPDCP ăsta nu poate interveni în cazul folosirii abuzive a GDPR?