Investigația a fost demarată de Autoritatea de protecție a datelor ca urmare a notificării transmise de însuși operatorul de date privind două încălcări ale securității datelor.
Prima situație a vizat divulgarea unei baze cu datele personale a 10.700 de clienți ai operatorului din perioada 2019-2021 - nume, prenume, număr de telefon, e-mail, parolă sub forma criptată și adresa IP de pe care a fost creat contul de utilizator -, pe un forum public.
Cea de-a doua încălcare a GDPR s-a produs ca urmare a unui atac de tip ransomware, situație ce a condus la accesul neautorizat și pierderea integrității și disponibilității anumitor date cu caracter personal a aproximativ 100 angajați sau colaboratori ai companiei.
ANSPDCP a aplicat amenda de 5.000 euro pentru ambele încălcări, astfel că nu putem afla care este cuantumul contravenției aplicate pentru încălcarea de securitate produsă ca urmare a atacului de ransomware.
Conform unui ghid publicat în ianuarie de Comitetul European pentru Protecția Datelor (EDPB), nu toate tipurile de atacuri ransomware trebuie notificate Autorității naționale de protecție a datelor. Dacă societatea care a fost "victima" unui atac își ia măsurile necesare și face un backup ale datelor, neajungându-se la divulgarea datelor personale în urma atacului, nu este necesară notificarea ANSPDCP.
În schimb, chiar dacă există un backup, dar datele personale vizează (și) date personale din sfera sănătății sau nu există un backup, notificarea către Autoritatea de protecție a datelor este necesară.
Potrivit GDPR, o breșă de securitate trebuie notificată, dacă este posibil, în cel mult 72 de ore de la momentul la care firma a devenit conștientă de eveniment (cu excepția situațiilor în care incidentul e puțin probabil să creeze un risc pentru drepturile și libertățile persoanelor vizate de datele compromise). Există deja de multă vreme un formular special, online, pe care firmele îl pot folosi pentru a notifica ANSPDCP un incident de securitate.
În anumite situații, dacă a avut loc o breșă de securitate, trebuie notificate și persoanele vizate de datele deținute de firma ce a fost victima acelei breșe de securitate (dacă există un risc ridicat ca drepturile și libertățile acelor persoane să fie afectate).
avocatnet.ro explicăm legislația
articole
Informații utile în viața ta personală
Salarizare, taxare & relația cu statul
Ghid auto
Ghidul antreprenorului
Justițiabil in România
Date personale & viața privată
Start-up
Editorial
Weekend
IMM & Antreprenoriat
Taxe și impozite
Relații de muncă & Asigurări sociale
PFA & Profesii liberale
Finanțări
Aspecte juridice
întrebări și răspunsuri
Acum în comunitate
166 mesaje publicate astăzi
14 utilizatori online
0 consultanți online
14 utilizatori online
0 consultanți online
consultanți
Vreau consultanță
Pe avocatnet.ro găsești mii de consultanți, din diferite domenii, pe care îi poți contacta direct.
Află cum!
Vreau să ofer consultanță
Pe avocatnet.ro se fac lunar mii de cereri de consultanță către consultanții înscriși.
Află detalii!
Implică-te, ajută-i pe alții
și fă-te cunoscut
Vrei să afle și alții câte lucruri știi în domeniul tău de activitate?
Răspunde la întrebăriși fă-te cunoscut
Lumyna 
the_tycoon
Comentarii articol (0)