ACCES GRATUIT

Deși instituțiile și autoritățile publice publică date personale, în absența consimțământului (GDPR), nu sunt amendate. Iată de ce

Publicarea în Monitorul Oficial a câtorva sute de date personale, în absența consimțământului acordat de persoanele fizice vizate, divulgarea pe un cont de socializare al unei autorități publice a datelor persoanelor izolare la domiciliu în contextul COVID-19 sau posibilitatea descărcării de către oricine a petițiilor depuse online, prin accesarea unui link public, sunt doar câteva dintre situațiile pe care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) le-a investigat în 2021 în legătură cu încălcări ale GDPR de către instituțiile publice. Totuși, niciuna dintre autoritățile publice investigate nu au fost amendate, deși încălcările descoperite ar fi atras, dacă ar fi fost companii private, amenzi de câteva mii de euro. Citește articolul

ACCES PREMIUM

Practici la care asociațiile de proprietari trebuie să renunțe pentru a nu fi sancționate de ANSPDCP

Asociațiile de proprietari sunt adesea reclamate la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru încălcarea legislației de protecția datelor cu caracter personal. Adesea, din considerente de protecție și siguranța bunurilor și persoanelor, în asociații se iau măsuri excesive de prelucrare a datelor sau se ajunge la nerespectarea drepturilor persoanelor vizate de prelucrări. Citește articolul

ACCES PREMIUM

Amendă de 4.000 de euro, aplicată pentru divulgarea unor date ale clienților pe site-ul companiei

Divulgarea datelor cu caracter personal ale clienților prin prezentarea, pe unele link-uri ale site-ului, a unor documente, cum ar fi facturile ce conțineau toate datele persoanele ale clienților, dar și a datelor de acces, cu username și parolă, a adus unei companii o amendă de 4.000 de euro din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citește articolul

ACCES GRATUIT

O asociație de proprietari, amendată cu 2.000 euro pentru că firma de pază contractată prelucra datele curierilor și livratorilor

Pentru că, în urma unui control la o asociație de proprietari din București, a constatat că, la intrarea în complexul rezidențial a livratorilor sau curierilor, erau notate datele personale ale acestora și că astfel nu se respectă prevederile Regulamentului european pentru protecția datelor (GDPR), fiind vorba despre o prelucrare excesivă a datelor, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat asociația cu 2.000 de euro. În plus, în acest caz, autoritatea a aplicat o altă amendă, de data asta de 5.000 de euro, pentru că înregistrările video ale camerelor de supraveghere au fost păstrate o perioadă mai mare decât era necesară. Citește articolul

ACCES PREMIUM

Amendă GDPR: Firma împuternicită să prelucreze datele unor angajați nu poate împuternici la rândul său pe altcineva fără acordul operatorului de date

Persoanele împuternicite de operatorul de date să prelucreze datele personale nu poate recurge la ajutorul unui terț în acest scop fără să aibă învoiala operatorului, potrivit Regulamentului european pentru protecția datelor personale (GDPR). În caz contrar, acesta riscă o sancțiune din partea Autorității de Protecția Datelor (ANSPDCP), precum în acest caz: Citește articolul

ACCES PREMIUM

ANSPDCP obligă un angajator să-și instruiască salariații după ce imagini de pe camerele de supraveghere au ajuns pe Facebook

Pe lângă „clasicele” amenzi de câteva mii de euro pe care le dă Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în general pentru încălcarea GDPR, aceasta poate aplica entităților investigate și măsuri corective - un exemplu dintr-o investigație recent concluzionată vizează instruirea angajaților, responsabili în multe cazuri de încălcări flagrante ale regulamentului european. Citește articolul

ACCES PREMIUM

Asociațiile de proprietari, obligate să coopereze cu ANSPDCP dacă sunt solicitate, altfel riscă amenzi

Operatorii de date personale au obligația de a răspunde solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), iar asociațiile de proprietari sunt astfel de operatori de date. Recent, Autoritatea a sancționat o asociație ce nu a furnizat informații în timp util Autorității, în urma sesizării unei persoane cu privire la o prelucrare presupus ilegală a datelor sale de către asociație. Citește articolul

ACCES PREMIUM

GDPR: Operatorului nu-i sunt suficiente măsurile de instruire a angajaților doar pe hârtie. E nevoie de dovezi concrete, inclusiv privind verificarea cunoștințelor

În fața faptului împlinit, în urma unui incident de securitate de care se fac vinovați în mod direct (și intenționat) angajații firmei, operatorul de date nu se poate ascunde doar în spatele hârtiilor, a procedurilor și măsurilor implementate doar la nivel formal sau declarativ - pentru că nu-i sunt suficiente ca să dovedească obligația sa de instruire periodică a angajaților; e nevoie de dovezi cu privire la instruirea efectivă și de dovezi din care să reiasă că operatorul le-a și verificat cunoștințele apoi. Citește articolul

ACCES PREMIUM

Instruirea permanentă a angajaților, esențială pentru asigurarea securității datelor prelucrate de către companie

Educarea continuă a salariaților responsabili cu gestionarea datelor personale colectate de către firmă este una dintre principalele măsuri de corecție pe care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus-o companiilor pe care le-a investigat în cursul anului 2021. Citește articolul

ACCES PREMIUM

Incidentele de securitate de tip ransomware - cum își dau seama firmele și alți operatori de obligațiile ce le revin imediat atacului

Deși, poate, cel mai mare coșmar al unui operator de date este blocarea accesului la baza sa de date și, eventual, chiar divulgarea unor date personale, pasivitatea și încercarea de a ascunde amploarea evenimentului, efectele sale ori chiar faptul însuși că s-a produs o breșă de securitate este nu doar greșit, dar și potențial riscant pentru operator, din perspectiva GDPR. Nu toate incidentele trebuie raportate însă ANSPDCP - cum ne dăm seama însă care ar trebui? Cert e că nici în cazul atacurilor de tip ransomware nu e întotdeauna obligatorie notificarea Autorității, cu atât mai puțin a unor persoane private. Citește articolul