Firma Legal Company & Tax Hub a fost amendată cu 3.000 euro pentru că nu a asigurat un nivel de securitate corespunzător pe site-ul avocatoo.ro și a permis astfel divulgarea și accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de acest site (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 – 1 februarie 2019.
Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal a aplicat amenda ca urmare a unei sesizări din 10 decembrie 2018, prin care era semnalat faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.
Interesant este că unul dintre serviciile prezentate pe site-ul indicat de Autoritate este furnizarea online & la sediul companiilor de ... soluții de implementare GDPR.
Cum explică firma situația Ana- Maria Udriște, proprietara firrmei
"La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. Am apelat la niște cunoscuți pentru partea de IT, pentru că, deși orice antreprenor se pricepe să facă de toate, nu sunt atât inteligentă încât să am cunoștinte avansate de programare.
Am semnat contractul, am stabilit ce vreau, cum să arate, funcționalități noi, ce păstram din cele vechi etc. Exact cum faci și tu când vrei să achiziționezi niște servicii – găsești un furnizor, te vezi cu el, stabilești detaliile și te apuci de treabă.
Am muncit, am mutat site-ul, am adus funcționalități noi, toate bune și frumoase, fără niciun fel de probleme la momentul respectiv. Pentru că una din chestiile interesante este că nu vezi întotdeauna greșelile la momentul la care se fac, pentru că nu ai de unde să știi. Ne-am uitat să fie totul în regulă, am făcut testele obișnuite de securitate, mergea totul ok.
De ce spun asta?
Conform GDPR, în calitate de operator de date cu caracter personal, ai obligația principală de a implementa măsuri de securitate menite să protejeze datele cu caracter personal ale persoanelor cu care intri în contact (în cazul nostru, clienții care achiziționau produse și servicii prin intermediul site-ului).
Mai mult, în virtutea principiului responsabilității, tu ca operator de date răspunzi față de persoanele vizate și pentru eventualele prejudicii care se întâmplă din cauza persoanelor cu care tu ai decis să colaborezi (altfel spus, dacă, în cazul de față am ajunge la concluzia că firma de IT este răspunzătoare pentru că nu au făcut riguros testele de securitate, față de clienți și autoritate răspund tot eu în primă fază urmând ca, ulterior, dacă consider că așa este, să mă îndrept împotriva firmei de IT pentru recuperarea prejudiciului).
Ceea ce s-a și întâmplat. Pentru o breșă de securitate, avocatoo.ro, în calitate de operator de date cu caracter personal, a primit o amendă din partea ANSPDCP în cuantum de 3.000 euro pentru nerespectarea obligațiilor de securitate conform GDPR.
Ce s-a întâmplat mai exact?
Câteva luni bune mai târziu, după ce am finalizat migrarea site-ului complet, am primit o notificare că avem o breșă de securitate și că un set de date au putut fi accesate de către persoane neautorizate.
Imediat cum am aflat, am luat la mână tot site-ul și în mai puțin de 10 minute am resecurizat și acel link, care nu era oricum disponibil public, ci doar pe acces direct.
Aparent, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B (business-to-business, nu persoane fizice) a putut fi accesat pe bază de link direct (adică doar dacă știai în mod expres unde să cauți).
Totul s-a petrecut pe un fișier de tranzacții vechi, inactiv, la un import de bază de date cu ajutorul unui plugin de WooCommerce.
Mergând înainte, am primit solicitare de informații de la ANSPDCP, am colaborat cu ei, am furnizat informațiile și documentele necesare precum și măsurile luate atunci pe moment și ulterior, însă nu a fost suficient, pentru că autoritatea a constatat că se impune aplicarea unei amenzi.
Ce învățăminte am tras din asta (și de care ar trebui să ții și tu cont)?
Cum ziceam, unul din principiile GDPR este cel al responsabilizării, pe care trebuie să-l coroborăm cu cel al răspunderii.
Eu eram responsabilă față de datele pe care mi le încredințează persoanele care fac comenzi prin intermediul site-ului și eram răspunzătoare față de furnizorii de servicii pe îi aleg atunci când vreau să fac ceva.
Am considerat la momentul respectiv că am depus diligențele necesare, inclusiv prin efectuarea unor teste personale ca să văd că totul este în regulă (un fel de ochiul soacrei, pe unde m-am priceput și eu – am mai rugat chiar și un prieten din Politehnică să vadă dacă cumva mie mi-a scăpat ceva). Din păcate, ne-a scăpat".
Anterior au primit amendă operatorul hotelier World Trade Center București și Unicredit Bank.
Regulamentul general privind protecția datelor (GDPR) a intrat în vigoare în mai 2018.
