„Instruirea efectivă” – un nou concept după recenta soluție a instanțelor clujene în cauza Banca Transilvania vs ANSPDCP

S-a discutat mult despre amenda de 100.000 euro aplicată de Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal (ANSPDCP) în urmă cu aproape doi ani pentru a sancționa diseminarea unor date personale aparținând unui client și unor angajați ai Băncii Transilvania în spațiul public. Nu ne propunem să reluăm istoria acelor fapte și nici nu ne propunem să o analizăm, neavând la dispoziție detaliile concrete ale cazului.

Read More

Fondurilor nerambursabile și protecția datelor cu caracter personal

Este pentru prima dată în istoria accesării fondurilor nerambursabile din România când existența unui responsabil cu protecția datelor (DPO), angajat sau externalizat, este o condiție eliminatorie pentru solicitanții de finanțare nerambursabilă.

Această cerință este impusă celor interesați să acceseze fonduri nerambursabile prin POC 4.1.1 “Investiții în activități productive”  – programul de finanțare destinat IMM-urilor afectate de pandemia COVID-19 și care va fi deschis în intervalul 21-25.03.2022 (https://smis.ro/finantari/poc411/) de Ministerul Investițiilor și Proiectelor Europene. Read More

Amenda aplicată unui furnizor de sisteme informatice pentru școli, în Islanda

Autoritatea de supraveghere a protecției datelor din Islanda a aplicat o amendă de 23.100 euro societății InfoMentor pentru că aceasta nu a adoptat măsuri adecvate de securitate și protecție a datelor utilizate în programul Mentor, un sistem informatic destinat școlilor și altor entități a căror activitate este adresată copiilor.

Vulnerabilitatea din sistemul informatic care a condus la breșa de securitate a fost următoarea: în adresa URL a uneia dintre paginile sistemului Mentor numărul alocat de sistem fiecărui utilizator a fost vizibil, astfel că persoane neautorizate au avut acces la numărele de identificare naționale (echivalentul CNP) și la avatarele a peste 400 de copii. Deși vulnerabilitatea a fost constatată de operator și remediată din punct de vedere tehnic, din cauza unei erori umane soluția tehnică nu a fost integral implementată decât după ce a intervenit breșa de securitate mai sus-menționată.

În încercarea de a gestiona breșa de securitate, InfoMentor a notificat autoritatea de supraveghere și a transmis din greșeală lista numerelor de identificare naționale ale elevilor afectați către alte școli și către alți responsabili cu protecția datelor decât cei vizați.

Deși nu au existat dovezi că drepturile sau interesele copiilor ar fi fost afectate de această breșă, decizia de aplicare a amenzii a fost în principal fundamentată pe următoarele elemente:

  • Numărul persoanelor vizate afectate direct și care ar fi putut fi afectate de breșa de securitate
  • Faptul că persoanele vizate au fost copii, aceștia fiind considerate persoane vulnerabile in lumina GDPR, care se bucură de o protecție mai ridicată decât alte persoane vizate
  • Faptul că activitatea principală a InfoMentor o reprezintă devoltarea unui sistem informatic destinat școlilor și altor entități a căror activitate este adresată copiilor.

Informații detaliate pot fi consultate pe site-ul autorității de supraveghere islandeze, iar textul integral al deciziei de sancționare poate fi consultat aici: https://www.personuvernd.is/information-in-english/greinar/personal-data-breach-in-the-information-system-mentor-administrative-fine