Alta sanctiune aplicata in sistemul bancar romanesc.

Anul acesta a fost un an nu tocmai linistit pentru sistemul bancar din Romania. Inspectorii ANSPDCP au derulat multe investigatii si au acordat sanctiuni destul de mari unor banci importante din piata romaneasca.

In urma cu doar cateva zile reprezentantii ANDPSCP au publicat pe site-ul autoritatii www.dataprotection.ro un comunicat de presa in care anuntau faptul ca tocmai ce au incheiat o investigatie la sediul operatorului ING Bank N.V. Amsterdam – Sucursala București. In cadrul acestei investigatii au fost cercetate fapte ce s-au petrecut anul trecut in perioada 8-10.10.2018, dupa cum se afirma in comunicat. Este foarte bine cunoscut incidentul respectiv, in care, platile facute de clientii respectivei banci au fost dublate, dintr-o eroare de ’’sistem’’.

Intr-adevar a trecut ceva timp de atunci si nu stim daca reprezentantii ANSPDCP s-au sesizat din oficiu sau au primit o plangere de la unul din clientii prejudiciati atunci, insa, este clar faptul ca sanctiunile se aplica, indiferent de timpul scurs de la producerea incidentului sau de alti factori.

In comunicat este subliniat faptul ca operatorul de date ’’ nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.’’ si ’’ Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. ’’

Ei bine, probabil va intrebati ce anume vor sa ne transmita reprezentantii ANSPDCP aici.

Vorbim de doua incalcari, in prima instanta, vorbim de faptul ca operatorul are obligatia, cand face planurile pentru implementarea unui sistem de plati sau orice alt sistem, sa faca teste, acestea ajutand la identificarea vulnerabilitatilor, sa isi puna intrebari si sa gaseasca solutii la orice problema. Chiar daca probabilitatea ca un anumit incident sa se produca este una foarte mica, el nu trebuie ignorat, este necesar sa fie rezolvata problema astfel incat acel incident sa nu se produca atunci cand sistemul va fi implementat.

Operatorul este obligat, inca din faza de proiectare sa asigure un grad mare de protectie impotriva incidentelor de securitate sau a oricaror incidente, de orice natura, asta inseamna privacy by design. Atat departamentul de IT sau orice alt departament care procesează informații personale, trebuie să se asigure că orice proiect nou are un sistem de protecție a datelor pe tot parcursul de creare și implementare.

Privacy by default, cea mai buna descriere a acestui concept se regaseste pe site-ul ANSPDCP, intr-un pliant ce face referire la noutatile cuprinse in regulamentul GDPR ( file:///C:/Users/PRA%20OFFICE/Downloads/pliant_-_elemente_de_noutate.pdf ), unde regasim urmatoarea explicatie: ‘’Furnizezi o aplicaţie care prelucrează date personale? Trebuie să te asiguri că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra vieţii lor private / asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori’’.

Intelegem ca orice sistem de operare trebuie sa permita utilizatorilor sa faca setarile necesare pentru a proteja datele lor si pe ale altor persoane vizate, tocmai implementare unor astfel de setari face parte din acest concept privacy by default.

Intorcandu-ne la cazul ING BANK, o alta incalcare a regulamentului mentionata in comunicat face referire la faptul ca operatorul de date nu avea implementat un proces pentru testarea, evaluarea şi aprecierea periodica a eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

Testarile nu se opresc la faza de implementare, este necesar sa testam sistemele cat mai des pentru a le face cat mai sigure si pentru a diminua riscurile asociate.

Amenda aplicata in acest caz a fost in valoare de de 80.000 euro, o sanctiune destul de mare, care ne plaseaza in topul sanctiunilor aplicate in Europa.