Noi amenzi aplicate in Europa. Ce s-a intamplat acolo? Ce putem deduce din cazurile respective si cum evitam sa ajungem in aceeasi situatie?
Primul caz este acela al retailerului online sanctionat de Autoritatea de protectia datelor din Polonia (‘’UODO’’)
Morele.net este primul magazin online lansat in Polonia si unul din cele mai mari din Europa, acestia detin o baza de date destul de mare care cuprinde date cu caracter personal ale clientilor care au apelat la serviciile retailerului.
In decembrie 2018, Morele.net, a raportat ca baza sa de date online a fost victima unui atac cibernetic. In urma atacului, datele a aproximativ 2,2 milioane de clienti, precum nume, adrese de e-mail si livrare si numere de telefon au fost compromise. Ulterior, datele furate au fost folosite de hackeri intr-un alt atac de tip phishing, mai exact, clientii magazinului online au primit un link care ii redirectiona catre o pagina falsa a magazinului in care li s-a cerut sa plateasca o suma de bani care ar fi ramas neachitata aferenta cumparaturilor pe care le facusera anterior in magazinul Morele.net.
Compania a raportat cazul autoritatilor de aplicare a legii si a notificat UODO, totodata si-a informat si clientii despre incidentul neplacut produs. Bineinteles ca acest incident de securitate a fost investigat de catre reprezentantii UODO, acestia au stabilit faptul ca bresa de securitate a fost posibila din cauza lipsei unor masuri tehnice si organizatorice adecvate riscului existent. Aceste masuri tehnice si organizatorice reprezinta zidul de protectie impotriva amenintarilor din mediul virtual. Magazinul online avea obligatia de a identifica riscurile si posibilele amenintari ce ar putea aduce atingere drepturilor persoanelor fizice ale caror date le prelucrau, identificandu-le puteau sa gaseasca solutiile adecvate care sa asigure protectia datelor.
Intotdeauna trebuie avute in vederea aceste aspecte, mai exact, sa ne punem intrebari de genul: Ce se poate intampla? Care sunt riscurile? Cum pot sa ma protejez de aceste riscuri? Nu este de ajuns sa gasiti solutii, poate acestea va par sigure si par sa garanteze eficienta 100%, insa trebuie sa le testati, astfel veti vedea daca sunt eficiente. Este un proces ce se aseamana celui gasirii unui vaccin, credem ca este eficient dar pentru a vedea cat de sigur si de eficient este trebuie sa il testam.
Alta problema pe care o constatam in acest caz este faptul ca nu a existat o reactie imediata, un raspuns rapid din partea echipei care administra baza de date a respectivului magazin online. De regula aceste atacuri nu au loc peste noapte si daca exista o procedura de raspuns la astfel de atacuri, daca angajatii sunt instruiti ca in momentul in care apare primul semn ca se incearca accesarea neautorizata a bazei de date sa comunice acest lucru mai departe catre o echipa speciala care sa se ocupe de astfel de incidente de securitate si sa opreasca atacul in cel mai scurt timp, atunci volumul de date la care au acces atacatorii sunt cu mult mai mici si se limiteaza foarte mult si riscurile. Astfel de proceduri fac parte din Politica de management al incidentelor care ar trebui sa existe in orice organizatie.
O alta neregula semnalata in raportul publicat de UODO este aceea ca, desi reprezentantii Morele.net au sustinut ca anumite prelucrari de date se faceau pe baza de consimtamant, acestia nu au putut face dovada acestuia. Practic, nu existau formularele sau orice alte dovezi audio/video sau in scris prin care clientii si-au exprimat acordul penru prelucrarile in cauza. De aceea atragem atentia faptului ca, daca prelucrarea se face in baza unui consimtamant, este foarte important sa aveti posibilitatea sa faceti dovada acestuia.
Proportionala cu riscurile a fost si sanctiunea aplicata de autoritatea de control, aceasta fiind in valoare de peste 2,8 milioane PLN, echivalentul a aproximativ 645.000 €. Asadar, cu cat riscurile sunt mai mari sau daca vorbim de prelucrari de date sensibile, cu atat creste si valoarea sanctiunii.
Al doilea caz este al unui alt operator de date din Belgia care a fost sanctionat de Autoritatea de protectie a datelor din Belgia (’’GBA’’) pentru faptul ca solicita citirea cartii de identitate electronice (’’eID’’) pentru a crea clientilor sai carduri de client.
GBA a primit o reclamatie de la un client nemultumit de faptul ca operatorul in cauza a refuzat sa acorde cardul de client pe motiv ca acesta refuza sa ofere cartea de identitate. Clientul a refuzat sa-si arate cartea de identitate dar s-a oferit sa-si trimita datele in scris comerciantului, insa i-a fost refuzata solicitarea de emitere a cardului de fidelitate, restrictionandu-i astfel dreptul de a avea acces la acest serviciu comercial.
Autoritatea a concluzionat: ’’Cartea electronica de identitate contine o cantitate mare de date despre detinator, iar utilizarea acestor date este considerata a fi disproportionata fata de serviciul oferit fara acordul valabil al clientului.’’
In acest caz vorbim de o nerespectare a principiului minimizarii datelor, precizat in art 5,alin.1,lit.C, care este unul din cele mai importante principii prevazute de GDPR. Mai exact, nu solicitati mai mult decat strictul necesar pentru a realiza scopul propus. Exemplu aici, daca operatorul facea o analiza simpla, realiza ca ii sunt necesare cateva date de identificare pentru acel card, ca de exemplu: nume si prenume, adresa, dar si fotografia si codul de bare care este legat de numarul Registrului national- asa cum reiese si din raportul autoritatii de control belgiene. Totodata autoritatea a tinut sa precizeze faptul ca: ’’Camera pentru litigii (structura intena a GBA) reaminteste ca numarul registrului national (echivalentul CNP-ului) este un subiect care este supus unor reguli stricte pentru consultare si utilizare.
Aceasta precizare este de luat in calcul si la noi, utilizarea abuziva a CNP-ului, in cazul in care nu este strict necesar sau in cazul in care nu avem o obligatie legala sa il folosim, poate sa atraga dupa sine riscuri destul de mari si odata cu ele si sanctiuni din partea autoritatilor. Este o practica foarte des intalnita la noi ca in momentul in care mergem la un ghiseu, cand sunam la un operator sau cand solicitam un serviciu sa ni se ceara CNP-ul. Ei bine, acest lucru nu este normal. CNP-ul este o data cu caracter personal care face o persoana sa fie identificabila dar nu este singura, daca aveti alte posibilitati de a identifica o persoana si daca nu sunteti obligati de vreo reglementare interna sa utilizati aceasta data, atunci nu o utilizati.
O alta abatere semnalata de autoritatea de control a fost aceea ca nu s-au respectat prevederile legale privind obtinerea consimtamantului si anume, acesta trebuie sa fie gratuit, liber exprimat, neconditionat de furnizarea unui serviciu si informat. In cazul de fata clientului nu i s-a oferit o alta alternativa si i-a fost refuzat dreptul de a beneficia de serviciul respectiv. Mai mult putem spune ca acesta a fost penalizat prin faptul ca nu se va putea bucura de beneficiile si reducerile care se acorda in baza respectivului card.
Faptul ca un client nu isi da acordul pentru o anumita prelucrare, nu trebuie sa atraga dupa sine penalizarea lui, nu trebuie sa ii fie conditionata prestarea serviciului solicitat de obtinerea acelui consimtamant. Trebuie acordata o mai mare importanta modului in care solicitam si obtinem consimtamantul de la o persoana fizica si gasite alternative pentru a identifica varianta optima atat pentru operatorul de date cat si pentru persoana fizica careia ii apartin datele.
Amenda aplicata in acest caz a fost in valoare de 10.000 Euro.
Surse: Gegevensbeschermingsautoriteit.be & Dpo.net