Stergerea datelor poate fi considerata incident de securitate

La inceputul acestei saptamani a fost relatata, printr-un nou comunicat de presa al ANSPDCP, situatia operatorului de date Raiffisen Bank SA , care a semnalat producerea unui incident de securitate la persoana imputernicita de acesta, Lugera & Makler Broker S.R.L, aceasteia fiindu-i atribuite diverse activitati de prelucrare a datelor ce apatineau clientilor operatorului, la indicatiile acestuia.

Din datele oferite de reprezentantii autoritatii, reies urmatoarele:

”Autoritatea Natională de Supraveghere a finalizat, in luna martie, o investigatie la operatorul Lugera & Makler Broker S.R.L., constatand incalcarea dispozitiilor art. 29 si art. 32 alin. (2) si (4) din Regulamentul General privind Protectia Datelor.

Ca atare, operatorul Lugera & Makler Broker S.R.L. a fost sanctionat contraventional cu amenda in cuantum de 7.331,85 lei lei (echivalentul sumei de 1500 EURO).

Investigatia a fost demarata ca urmare a unei sesizari primite din partea unei persoane fizice si a unei notificari de incalcare a securitatii datelor cu caracter personal transmisa de Raiffeisen Bank SA. din care a rezultat ca Lugera & Makler Broker S.R.L (persoana imputernicita de operatorul Raiffeisen Bank SA) nu a predat Raiffeisen Bank SA documentele aferente activitatilor de prescoring efectuate de un angajat al sau, pe motiv ca acestea au fost distruse.

In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul Lugera & Makler Broker S.R.L. (in calitate de persoana imputernicita de operatorul Raiffisen Bank SA) nu a luat masuri pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa si nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.”

Persoana imputernicita avea obligatia de a se asigura, luand toate masurile necesare, de faptul ca angajatii sai prelucreaza datele la indicatiile sale si numai la indicatiile sale, instruindu-i sa nu faca prelucrari care exced scopului urmarit si indicatiilor primite. Stergerea datelor de catre angajat fara ca acesta sa primeasca indicatii din partea angajatorului a produs acest incident major de securitate, care afecteaza atat persoanele vizate, cat si reputatia si activitatea celor doua companii: Lugera & Makler Broker S.R.L. si Raiffisen Bank SA.

Incidentele de securitate sunt definite ca fiind o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizata a datelor cu caracter personal sau accesul neautorizat la acestea.

Am subliniat faptul ca aceasta distrugere sau stergere a datelor, neautorizata, reprezinta un incident de securitate si este unul cu un impact semnificativ asupra activitatii operatorului de date, asupra activitatii persoanei imputernicite dar care afecteaza in egala masura si persoana vizata.

Mai jos avem detalii privind modul in care au fost afectate persoanele vizate:

”De asemenea, ca urmare a efectuarii a 1372 de prescoringuri de catre un agent de vanzari, angajat al Lugera & Makler Broker S.R.L., au fost afectate de incidentul de securitate 1058 de persoane fizice vizate, intrucat documentatia originala aferenta prescoringurilor nu a fost predata de agent, ci distrusa, ceea ce a generat incidentul de securitate notificat de Raiffesien Bank la ANSPDCP, incalcandu-se astfel prevederile art. 29, art. 32 alin.(2) și (4) din Regulamentul General privind Protecția Datelor.”

Observam ca numarul persoanelor vizate afectate este unul destul de mare. Aceste activitati de prescoring vizeaza o analiza detaliata a situatiei financiare a persoanelor vizate si a preferintelor acestora, fapt care necesita o atentie deosebita, proceduri foarte stricte si masuri eficiente care sa contureze un cadru solid de confidentialitate si protectie a datelor.

Acestea fiind spuse, revenim si atragem atentia asupra importantei instruiri angajatilor si a implementarii unor proceduri de lucru care sa asigure o protectie eficienta a datelor si siguranta acestora.

Sursa articol: https://www.dataprotection.ro/

Multumim,

Echipa MyBiz GDPR