Telefoane: 0314 20 53 48 (RDS)
0727 867 246 (Vodafone)
0311 02 24 08 (UPC)
Fax: 0314 20 53 48 (RDS)
Email: info@intermanagement.eu
Cerinte GDPR. Sanctiune ANSPDCP referitoare la masurile tehnice si organizatorice.
Adaugat la data de 10.08.2020

In continuare sunt prezentate cateva comentarii privind o sanctiune a ANSPDCP pentru neimplementare de masuri tehnice si organizatorice suficiente pentru prevenirea incidentelor de securitate.

In data de 15.07.2020 Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul ABC si a constatat ca acesta a Incalcat prevederile art. 32 din Regulamentul General privind Protectia Datelor, referitoare la securitatea prelucrarii.

Articolul 32 Securitatea prelucrarii

(1)………. operatorul si persoana Imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate In vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:

(a) pseudonimizarea si criptarea datelor cu caracter personal;

(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea In timp util In cazul In care are loc un incident de natura fizica sau tehnica;

(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

Operatorul a fost sanctionat contraventional cu amenda In cuantum de 9.686,60 lei lei, echivalentul a 2000 euro. Consideram ca sanctiune nu a fost una mai mare si pentru faptul ca operatorul a notificat ANSPDC despre incident si acesta nu a fost semnalata de o persoana vizata afectata de incident.

Incalcarea securitatii si confidentialitatii datelor cu caracter personal a constat In faptul ca OPERATORUL NU A IMPLEMENTAT MASURI TEHNICE SI ORGANIZATORICE ADECVATE (de exemplu, pseudonimizarea), atat In momentul stabilirii mijloacelor de prelucrare, cat si In cel al prelucrarii In sine, astfel Incat sa se puna In aplicare, In mod eficient, principiile de protectie a datelor si sa se  integreze In acestea garantiile necesare prelucrarii, astfel Incat sa fie duse la Indeplinire cerintele RGPD si sa se protejeze drepturile persoanelor vizate.

OPERATORUL A FOST SANCTIONAT DEOARECE NU A LUAT MASURILE TEHNICE SI ORGANIZATORICE ADECVATE CARE SA PREVINA ACCESUL NEAUTORIZAT LA DATELE CU CARACTER PERSONAL (adrese de e-mail si numere de telefon) pe adresa https:…………… apartinand operatorului, ceea ce a dus la compromiterea confidentialitatii datelor personale a 81 de persoane vizate.

Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a primirii din partea operatorului a unei notificari de Incalcare a securitatii datelor, conform dispozitiilor art. 33 din RGPD.

Articolul 33 Notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal

(1) In cazul In care are loc o Incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru autoritatii de supraveghere competente In temeiul articolului 55, fara Intarzieri nejustificate si, daca este posibil, In termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului In care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul In care notificarea catre autoritatea de supraveghere nu are loc In termen de 72 de ore, aceasta este Insotita de o explicatie motivata pentru Intarziere.

(4) Atunci cand si in masura in care nu este posibil sa se furnizeze informatiile in acelasi timp, acestea pot fi furnizate in mai multe etape, fara intarzieri nejustificate.

(5) Operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere Intreprinse.

Masuri aplicabile:

1.      Stabilirea si documentarea regulilor de buna practica aplicabile securitatii informatiei.

2.      Implementarea cerinte ISO 27001, ISO 22301, ISO 27709 etc.

3.      Realizarea de audituri interne/ externe  audituri periodice pentru masurilor tehnice si organizatorice

4.      Certificarea conform cu cerintele ISO 27001, ISO 27709.

Realizare de testari de vulnerabilitati, teste de penetrare pentru sistemele informatice importante.

ALTE STIRI
Produse
Legaturi Sponsorizate
Legaturi Utile

 

Asociatia Americana pentru Calitate (ASQ), www.asq.org

Organizatia Internationala pentru Standardizare (ISO), www.iso.org

European Foundation for Quality Management, www.efqm.org

Asociatia de Acreditare din Romania, www.renar.ro

Ministerul Cercetarii si Inovarii, www.research.ro

European Accreditation, www.european-accreditation.org

Legislatie Europeana www.eur-lex.europa.eu

Asociatia de Standardizare din Romania, www.asro.ro

 

 

Parteneri