GDPR: Ministerul Educației nu a notificat incidentul de securitate de la Edu.ro la Autoritatea pentru protecția datelor / Juristul Bogdan Manolea: Autoritatea are toate instrumentele pentru a sancționa încălcarea Regulamentului UE

de Adrian Vasilache     HotNews.ro
Vineri, 8 iunie 2018, 14:11 Economie | Telecom


Edu.ro mineaza criptomonede
Foto: Captura edu.ro
​Ministerul Educației nu a notificat încă Autoritatea pentru protecția datelor (ANSPDCP) privind incidentul de securitate de la Edu.ro, deși noul Regulament UE privind protecția datelor (GDPR) prevede obligația raportării incidentului într-un termen de 72 de ore de la momentul descoperirii acestuia, se arată într-un răspuns al Autorității, la solicitarea HotNews.ro. 'Situația a fost reținută în vederea efectuării demersurilor legale potrivit competenţelor instituţiei noastre', mai spune autoritatea. Juristul Bogdan Manolea susține că, odată cu intrarea în vigoare a GDPR, Autoritatea pentru protecția datelor are toate instrumentele necesare pentru a sancționa orice încălcare a Regulamentului UE, inclusiv în cazul instituțiilor publice.

Ce spune Regulamentul UE privind protecția datelor despre "încălcarea securităţii datelor cu caracter personal":

  • "încălcarea securităţii datelor cu caracter personal" înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

Amintim faptul că Ministerul Educației a demarat weekendul trecut lucrări de mentenanță la site-ul Edu.ro, după ce HotNews.ro a arătat că pagina oficială a Ministerului Educației folosește un script de minerit criptomonedă, prin care cineva câștigă bani folosind la capacitatea maximă procesoarele dispozitivelor utilizatorilor care accesau acest site.

Experții CERT-RO au confirmat că site-ul a fost compromis și au intervenit eliminând scriptul problemă, care folosea la capacitatea maximă procesoarele dispozitivelor utilizatorilor care accesau acest site.

Edu.ro a început să funcționeze în această săptămână, fără ca Ministerul Educației să transmită un comunicat oficial în care să anunțe dacă toate problemele au fost remediate și nici dacă s-a stabilit dacă e vorba de un atac provocat de cineva din interiorul Ministerului sau al ICI (Institutul Național de Cercetare în Informatică) acolo unde este găzduit site-ul ori este vorba de un atac informatic din exterior.

HotNews.ro a adresat astăzi Ministerului Educației o solicitare privind aceste aspecte și vom reveni cu răspunsuri imediat ce le vom primi.

  • Ministerul Educației nu a notificat Protecția datelor privind incidentul de securitate de la edu.ro, contrar dispozițiilor Regulamentului UE intrat in vigoare în 25 mai 2018

Foarte important de menționat este că în data de 25 mai 2018 a intrat în vigoare un nou Regulament UE privind protecția datelor - GDPR sau General Data Protection Regulation. Toate firmele, organizaţiile şi autorităţile sunt obligate să respecte noile obligaţii, altfel riscă amezi foarte mari şi procese cu clienţii sau angajaţii.

A notificat Ministerul Educației acest incident de securitate? La solicitarea HotNews.ro, Autoritatea pentru protecția datelor (ANSPDCP) a precizat că nu.

Pe de altă parte, ANSPDCP a menționat că a primit 2 notificări de la autorităţi publice şi 3 de la societăţi private privind încălcări de securitate a datelor cu caracter personal.

Iată răspunsurile integrale furnizate de ANSPDCP:

  • "Autoritatea de supraveghere nu a fost notificată de Ministerul Educaţiei cu privire la un incident de securitate.
  • Potrivit art. 33 alin. (1) din Regulamentul General privind Protecţia Datelor, „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
  • În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.
  • Art. 58 din Regulamentul General privind Protecţia Datelor stabileşte competenţele coercitive ale Autorităţii de supraveghere, iar la art. 83 sunt precizate sancţiunile ce pot fi aplicate potrivit competenţelor legale.
  • Referitor la situația expusă, cu privire la incidentul de securitate menţionat în adresa dumneavoastră, vă informăm că aceasta a fost reținută în vederea efectuării demersurilor legale potrivit competenţelor instituţiei noastre.
  • Începând cu data de 25 mai 2018 Autoritatea de supraveghere a primit 2 notificări de la autorităţi publice şi 3 de la societăţi private privind încălcări de securitate a datelor cu caracter personal."

Statul pregătește amenzi mai mici pentru instituțiile publice în cazul încălcării GDPR / Bogdan Manolea: Protecția Datelor are toate instrumentele de a sancționa aât operatorii privați cât și instituțiile publice

Articolul 83 din Regulamentul UE privind situațiile în care pot fi impuse amenzi administrative arată că operatorii pot primi amenzi de până la 20 milioane euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior.

La alineatul 7 din acest articol se precizează că:

  • "Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv."

În România, există în prezent un proiect de lege, inițiat de Ministrul de Interne Carmen Dan și senatorul PSD Șerban Nicolae, care prevede amenzi mai mici pentru instituțiile publice în cazul încălcării Regulamentului european privind protecția datelor, dar Parlamentul nu l-a adoptat încă.

Proiectul de lege a fost adoptat luna trecută de Camera Deputaților, iar acum se află la Comisiile de specialitate din Senat, care este camera decizională.

În legătură cu forma adoptată de Camera Deputaților, specialistul în legislația IT, Bogdan Manolea, a precizat pentru HotNews.ro luna trecută că "pe lângă faptul că amenda maximă pe care o pot lua autoritățile publice este de 200.000 de lei (față de 20 milioane de euro pentru privați), acestea vor fi amendate doar dacă nu vor implementa un plan de remediere într-un interval de 60-180 de zile."

În condițiile în care această lege nu este adoptată, are ANSPDCP instrumentele legale pentru a sancționa în vreun fel Ministerul Educației sau orice altă instituție publică care prelucrează date personale ale cetățenilor, în cazul în care se încalcă prevederile GDPR? Da, susține acesta.

  • "Din momentul intrării în vigoare a regulamentului UE (GDPR) autoritatea națională pentru protecția datelor are toate instrumentele necesare pentru a sancționa orice încălcare a Regulamentului în cazul tuturor operatorilor care prelucrează date cu caracter personal, indiferent că sunt operatori publici sau privați.", a declarat vineri pentru HotNews.ro Bogdan Manolea, în prezent director executiv al ApTI (Asociația pentru Tehnologie și internet) și co-fondator Trusted.ro.

Pentru detalii privind proiectul inițiat de Carmen Dan și Serban Nicolae citește: IT-știi și asigurătorii pot răsufla ușurați: Camera Deputaților a corectat proiectul lui Carmen Dan și al lui Șerban Nicolae care interzicea operatorilor privați prelucrarea automatizata a datelor privind sănătatea


Citeste mai multe despre   


















2218 vizualizari

  • +3 (11 voturi)    
    .... (Vineri, 8 iunie 2018, 14:25)

    ursu_rebegea [utilizator]

    Cat timp nu este vorba de un data breach, daca nu exista un furt de date cu caracter personal, n-au de ce sa sesizeze Autoritatea de Supraveghere. ce are GDPR cu minarea de criptomonede?
    • +2 (4 voturi)    
      nu trebuie notificare (Vineri, 8 iunie 2018, 15:29)

      break_noon [utilizator] i-a raspuns lui ursu_rebegea

      Cel mai probabil, cineva din interior s-a gandit ca daca pune acel script, face niste banuti pe spatele celor ce cauta informatii legate de capacitate/bac/admintere.
      Si cum zilele astea sunt multe accesari, se faceau ceva bani.

      Daca ii scutura bine pe cei ce administreaza paginile din site, il gasesc pe smecheras. Care saracul nici nu prea stie exact ce implicatii avea chestia aia, a pus botul ca face mining.

      Obligatia de notificare in 72 de ore vine de la momentul in care s-a aflat ca s-au furat date personale.
      Care sunt datele personale furate de aici?
    • 0 (0 voturi)    
      Du-te ba, cum nu s-a furat nimic? (Sâmbătă, 9 iunie 2018, 0:38)

      Random721 [utilizator] i-a raspuns lui ursu_rebegea

      S-a furat puterea de procesare a calculatorului / laptopului / tabletei / telefonului folosit de cetateni sa acceseze un website guvernamental!

      S-a furat curentul, s-au uzat aparatele persoanelor .... e furt si frauda si incalcarea intimitatii !!!

      E vorba nu doar de furtul datelor personale, ci si de incalcarea drepturilor si privacy-ul oamenilor!

      Eu daca-ti iau cheile de la masina sa dau o tura sa impresionez o tipa dar iti aduc masina inapoi, doar ti-am imprumutat-o fara sa iti cer permisiunea, nu crezi ca tot furt se numeste?
  • +3 (3 voturi)    
    dada (Vineri, 8 iunie 2018, 14:34)

    dum_i [utilizator]

    Sa stiti ca toti incompetentii rubedenii PSD din ministerul educatiei, fix la GDPR se gandeau...

    In frunte cu ministrul PLM.
  • +4 (4 voturi)    
    domeniu bugetar (Vineri, 8 iunie 2018, 14:41)

    Cata79 [utilizator]

    plin de incompetenți,
    zici ca au fost angajați acolo de la vândut semințe la coltul străzii
    • +3 (3 voturi)    
      ca (Vineri, 8 iunie 2018, 14:52)

      lula [utilizator] i-a raspuns lui Cata79

      sa vinzi seminte in coltul strazii, ai nevoie de un set minim de calitati , as zice....
  • +3 (3 voturi)    
    AMENDA !!! (Vineri, 8 iunie 2018, 15:20)

    Carcalete [utilizator]

    Si acum sa vedem cum o institutie a statului ANSPDCP va amenda ce ???

    O alta institutie a statului ??
    Guvernul ??

    4% din ce? Din PIB??

    Muahahaha....
    • +1 (1 vot)    
      Cum adica? (Vineri, 8 iunie 2018, 17:44)

      ber [utilizator] i-a raspuns lui Carcalete

      Sa vina sa-l amendeze? Pai vine si le taie PAMBLICA
      imediat!
  • +1 (1 vot)    
    mda (Vineri, 8 iunie 2018, 15:42)

    Casargoz [utilizator]

    Securitatea datelor cu caracter personal
    operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

    Notificarea trebuie sa prevada:

    Notificarea menționată la alineatul (1) cel puțin:

    (a)

    descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

    Nu vad cum scriptul a afectat datele cu caracter personal privind inregistrarile de pe edu.ro.
    Dar daca le-a afectat poate explica domnul avocat care este numarul utilizatorilor afectati...

    regulamentul se referea la datele utilizatorilor gestionate de MEN si nu de utilizatorii afectati acasa de rularea scriptului ...
    Pentru asta exista alte directive .
  • +4 (4 voturi)    
    Nimeni nu a inteles GDPR. (Vineri, 8 iunie 2018, 15:45)

    Matrix8086 [utilizator]

    GDPR si raportarea incidentelor de securitate se refera strict la datele cu carcater personal. Din cate am inteles, incidentul de securitate a presupus inserarea in site a unui miner pentru browsere. Care e legatura cu datele cu caracter personal? Codul malitios cauta sa faca bani pentru atacatori, nu sa trimita catre ei date cu caracter personal stocate pe edu.ro. Asa ca, de ce ar trebui raportat incidentul catre dataprotection.ro?
    • +3 (3 voturi)    
      4 easy steps to GDPR compliance (Vineri, 8 iunie 2018, 15:50)

      rubberdick [utilizator] i-a raspuns lui Matrix8086

      https://i.imgur.com/bRCrdaj.png
    • +1 (1 vot)    
      GDPR Si avocatii (Vineri, 8 iunie 2018, 16:24)

      Casargoz [utilizator] i-a raspuns lui Matrix8086

      Prima data m-am crizat. Dar dupa am citit mai atent m-am linistit.
      Juristul Bogdan Manolea este competent si stie ce spune. Cred ca este si de buna credinta, Si sper a dupa ce va citi acest articol va sterge pe jos cu cei care ii folosesc numele pentru a scrie prostii :)

      Un amestec de citate adevarate scoase din context si infipte intr-un demers de o prostie rara.
      Recomand citirea regulamentului este in romana, nu trebuie tradus :)
  • +1 (1 vot)    
    you all have it wrong (Vineri, 8 iunie 2018, 17:12)

    tearoftime [utilizator]

    Site-ul contine date cu caracter personal.
    Site-ul a fost in mod clar compromis prin modificarea codului.
    Probabil ca in acest moment nu se stie daca cei care au compromis site-ul au avut sau nu acces si la datele ce intra sub incidenta GDPR, dar trebuia notificat ca un site ce opereaza sub umbrela lor are probleme de securitate.
    In urma investigatiilor, se va decide daca se intra sub incidenta GDPR-ului.

    Deci inca o data - nu e vb ca script-ul a afectat datele cu caracter personal, e vb. ca cineva a avut acces la site, poate si la date.


Abonare la comentarii cu RSS

ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version