TAROM a fost sanctionat de ANSPDCP. Cum a fost posibil acest lucru?
TAROM a fost sanctionat ca urmare a producerii unui incident de securitate. Cum a fost posibil acest lucru?
Cu ceva timp in urma spuneam, intr-un articol referitor la amenda colosala ce a fost aplicata Fiscului din tara vecina-Bulgaria, ca avem si noi, in Romania, mari probleme in ce priveste protectia datelor la nivelul structurilor locale si centrale ale insitutiilor din administratia publica.
Zilele trecute, trecand in revista noutatile ce intra in aria de acoperire a GDPR, am observat un articol in care era relatat cazul TAROM, unde, in urma unui control din partea Autoritatii de supraveghere a prelucrarilor de date s-au constatat cateva nereguli.
Controlul a fost desfasurat ca urmare a unei notificari primite din partea TAROM, in care acestia au raportat producerea unui incident de securitate, asa cum obliga prevederile art. 33, alin. 1.
Probabil ca acest lucru pare chiar ciudat, insa vrem sa se inteleaga clar faptul ca este obligatoriu, atunci cand constatati producerea unui incident de securitate, sa raportati acest lucru Autoritatii de supraveghere ( Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal-ANSPDCP ) in cel mult 72 de ore de la data la care s-a luat la cunostinta de producerea incidentului, exceptie facand cazurile in care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice.
În cazul în care notificarea către Autoritatea de supraveghere nu se face în termenul prevazut in regulament, cel de 72 de ore, este necesar sa fie însoţită de o explicaţie motivata, in care prezentati motivele care au determinat producerea intarzierii.
In notificare trebuie mentionate urmatoarele:
– o descriere detaliala a incidentului produs, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză(afectate de incident), precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
– numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
– o descriere a consecinţelor probabile ale încălcării securităţii datelor cu caracter personal, ce efecte preconizati ca poate produce incidentul;
– descrierea măsurile luate sau propuse spre a fi luate de operator pentru a remedia
problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Este obligatoriu sa fie pastrate toate documentele referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.
Revenind la cazul TAROM, care este foarte asemanator cu cel al World Trade Center Bucuresti, incidentul de securitate a constat in fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și divulgarea neautorizată în mediul on-line a acestei liste de catre unul din angajatii companiei de transport aerian.
Care a fost vina Tarom? Ei bine, conform Regulamentului GDPR, toti operatorii de date sunt obligati sa isi instruiasca/informeze angajatii cu privire la modul in care acestia trebuie sa asigure confidentialitatea datelor la care au acces. Angajatii trebuie sa stie cum sa prelucreze datele, ce obligatii au, cum sa asigure confidentialitatea si protectia datelor, cum sa procedeze atunci cand constata ca s-a produs un incident de securitate, etc.
Faptul ca nu sunt implementate acele măsuri tehnice și organizatorice de securitate ( art. 5, alin. 1, lit. f), asa cum am mentionat mai sus, duce la producerea unor astfel de incidente. Un angajat informat este aliatul operatorului, sustinand demersurile acestuia in materie de protectie a datelor.
Operatorul de date TAROM avea obligatia de a instrui angajatii, lucru care ar fi diminuat mult riscul producerii unui astfel de incident.
Amenda primita de operator este in valoare de 95.194 lei, echivalentul a 20.000 EURO.