​Ministerul Educației nu a notificat încă Autoritatea pentru protecția datelor (ANSPDCP) privind incidentul de securitate de la Edu.ro, deși noul Regulament UE privind protecția datelor (GDPR) prevede obligația raportării incidentului într-un termen de 72 de ore de la momentul descoperirii acestuia, se arată într-un răspuns al Autorității, la solicitarea HotNews.ro. 'Situația a fost reținută în vederea efectuării demersurilor legale potrivit competenţelor instituţiei noastre', mai spune autoritatea. Juristul Bogdan Manolea susține că, odată cu intrarea în vigoare a GDPR, Autoritatea pentru protecția datelor are toate instrumentele necesare pentru a sancționa orice încălcare a Regulamentului UE, inclusiv în cazul instituțiilor publice.

Edu.ro mineaza criptomonedeFoto: Captura edu.ro

Ce spune Regulamentul UE privind protecția datelor despre "încălcarea securităţii datelor cu caracter personal":

  • "încălcarea securităţii datelor cu caracter personal" înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

Amintim faptul că Ministerul Educației a demarat weekendul trecut lucrări de mentenanță la site-ul Edu.ro, după ce HotNews.ro a arătat că pagina oficială a Ministerului Educației folosește un script de minerit criptomonedă, prin care cineva câștigă bani folosind la capacitatea maximă procesoarele dispozitivelor utilizatorilor care accesau acest site.

Experții CERT-RO au confirmat că site-ul a fost compromis și au intervenit eliminând scriptul problemă, care folosea la capacitatea maximă procesoarele dispozitivelor utilizatorilor care accesau acest site.

Edu.ro a început să funcționeze în această săptămână, fără ca Ministerul Educației să transmită un comunicat oficial în care să anunțe dacă toate problemele au fost remediate și nici dacă s-a stabilit dacă e vorba de un atac provocat de cineva din interiorul Ministerului sau al ICI (Institutul Național de Cercetare în Informatică) acolo unde este găzduit site-ul ori este vorba de un atac informatic din exterior.

HotNews.ro a adresat astăzi Ministerului Educației o solicitare privind aceste aspecte și vom reveni cu răspunsuri imediat ce le vom primi.

  • Ministerul Educației nu a notificat Protecția datelor privind incidentul de securitate de la edu.ro, contrar dispozițiilor Regulamentului UE intrat in vigoare în 25 mai 2018

Foarte important de menționat este că în data de 25 mai 2018 a intrat în vigoare un nou Regulament UE privind protecția datelor - GDPR sau General Data Protection Regulation. Toate firmele, organizaţiile şi autorităţile sunt obligate să respecte noile obligaţii, altfel riscă amezi foarte mari şi procese cu clienţii sau angajaţii.

A notificat Ministerul Educației acest incident de securitate? La solicitarea HotNews.ro, Autoritatea pentru protecția datelor (ANSPDCP) a precizat că nu.

Pe de altă parte, ANSPDCP a menționat că a primit 2 notificări de la autorităţi publice şi 3 de la societăţi private privind încălcări de securitate a datelor cu caracter personal.

Iată răspunsurile integrale furnizate de ANSPDCP:

  • "Autoritatea de supraveghere nu a fost notificată de Ministerul Educaţiei cu privire la un incident de securitate.
  • Potrivit art. 33 alin. (1) din Regulamentul General privind Protecţia Datelor, „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
  • În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.
  • Art. 58 din Regulamentul General privind Protecţia Datelor stabileşte competenţele coercitive ale Autorităţii de supraveghere, iar la art. 83 sunt precizate sancţiunile ce pot fi aplicate potrivit competenţelor legale.
  • Referitor la situația expusă, cu privire la incidentul de securitate menţionat în adresa dumneavoastră, vă informăm că aceasta a fost reținută în vederea efectuării demersurilor legale potrivit competenţelor instituţiei noastre.
  • Începând cu data de 25 mai 2018 Autoritatea de supraveghere a primit 2 notificări de la autorităţi publice şi 3 de la societăţi private privind încălcări de securitate a datelor cu caracter personal."

Statul pregătește amenzi mai mici pentru instituțiile publice în cazul încălcării GDPR / Bogdan Manolea: Protecția Datelor are toate instrumentele de a sancționa aât operatorii privați cât și instituțiile publice

Articolul 83 din Regulamentul UE privind situațiile în care pot fi impuse amenzi administrative arată că operatorii pot primi amenzi de până la 20 milioane euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior.

La alineatul 7 din acest articol se precizează că:

  • "Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv."

În România, există în prezent un proiect de lege, inițiat de Ministrul de Interne Carmen Dan și senatorul PSD Șerban Nicolae, care prevede amenzi mai mici pentru instituțiile publice în cazul încălcării Regulamentului european privind protecția datelor, dar Parlamentul nu l-a adoptat încă.

Proiectul de lege a fost adoptat luna trecută de Camera Deputaților, iar acum se află la Comisiile de specialitate din Senat, care este camera decizională.

În legătură cu forma adoptată de Camera Deputaților, specialistul în legislația IT, Bogdan Manolea, a precizat pentru HotNews.ro luna trecută că "pe lângă faptul că amenda maximă pe care o pot lua autoritățile publice este de 200.000 de lei (față de 20 milioane de euro pentru privați), acestea vor fi amendate doar dacă nu vor implementa un plan de remediere într-un interval de 60-180 de zile."

În condițiile în care această lege nu este adoptată, are ANSPDCP instrumentele legale pentru a sancționa în vreun fel Ministerul Educației sau orice altă instituție publică care prelucrează date personale ale cetățenilor, în cazul în care se încalcă prevederile GDPR? Da, susține acesta.

  • "Din momentul intrării în vigoare a regulamentului UE (GDPR) autoritatea națională pentru protecția datelor are toate instrumentele necesare pentru a sancționa orice încălcare a Regulamentului în cazul tuturor operatorilor care prelucrează date cu caracter personal, indiferent că sunt operatori publici sau privați.", a declarat vineri pentru HotNews.ro Bogdan Manolea, în prezent director executiv al ApTI (Asociația pentru Tehnologie și internet) și co-fondator Trusted.ro.

Pentru detalii privind proiectul inițiat de Carmen Dan și Serban Nicolae citește: IT-știi și asigurătorii pot răsufla ușurați: Camera Deputaților a corectat proiectul lui Carmen Dan și al lui Șerban Nicolae care interzicea operatorilor privați prelucrarea automatizata a datelor privind sănătatea