Aplicarea Regulamentului UE privind protecția datelor în România: 40 de operatori au transmis 45 de notificări de încălcare a securității datelor personale / Nicio amendă până acum
Autoritatea națională de supraveghere a prelucrării datelor cu caracter personal (ANSPDCP) a primit 45 de notificari de încălcare a securității datelor cu caracter personal, de la un număr total de 40 de operatori, începând cu 25 mai 2018 și până în prezent, au comunicat pentru HotNews.ro oficialii autorității fără a preciza numele operatorilor sau natura incidentelor. „În cazurile în care s-a impus, au fost transmise solicitări de informații către operatori. Doar la finalizarea investigațiilor, după caz, se va putea aprecia dacă notificările primite reprezintă încălcări ale securității datelor cu caracter personal conform Regulamentului UE aplicabil din data de 25 mai”, spune autoritatea.
- „Începând cu 25 mai 2018 și până în prezent, au fost înregistrate 45 notificări de încălcare a securității datelor cu caracter personal, primite de la un numar total de 40 de operatori. În cazurile în care s-a impus, au fost transmise solicitari de informații către operatori. Doar la finalizarea investigatiilor, după caz, se va putea aprecia dacă notificările primite reprezintă încălcări ale securității datelor cu caracter personal conform art.4 (12) si art.33 GDPR. Până în prezent, după data de 25 mai 2018, Autoritatea Națională de Supraveghere nu a aplicat vreo sancțiune, în situațiile de mai sus.„, au precizat miercuri, 25 iulie, pentru HotNews.ro oficialii autorității.
Autoritatea a solicitat informații în scris de la BCR, ING Bank și Alpha Bank, primele bănci care au notificat incidente de încălcare a securității datelor
Amintim că, la începutul acestei luni, HotNews.ro a scris că BCR, ING Bank și Alpha Bank sunt primele bănci din România care au notificat până acum autoritatea națională de supraveghere (ANSPDCP) privind incidente de încălcare a securității datelor cu caracter personal, după aplicarea din data de 25 mai 2018 a noului Regulament UE privind protecția datelor personale (GDPR), conform informațiilor autorității, care nu a oferit alte detalii. Oficialii BCR au precizat că frecvența atacurilor informatice cu care se confruntă banca este în creștere, dar că banca are sisteme de blocare a atacurilor și că până acum nu au identificat un furt de date ale clienților și nici pierderi financiare. Oficialii ING Bank au spus că nu comentează pe marginea oricărei informații legate de clienți sau datele acestora.
- Pentru detalii citește: Aplicarea Regulamentului UE privind protecția datelor: BCR, ING și Alpha Bank sunt primele bănci care au notificat incidente de încălcare a securității datelor cu caracter personal
Ce s-a mai întâmplat între timp? La această întrebare, ANSPDCP a precizat miercuri pentru HotNews.ro că „investigațiile sunt în curs de desfășurare, fiind solicitate informații în scris de la cei trei operatori.„
Cum este definită încălcarea securității datelor cu caracter personal în Regulamentul UE privind protecția datelor
Acest aspect este definit la articolul 4 alineatul 12, astfel:
- „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.
Potrivit art. 33 alin. (1) din Regulamentul General privind Protecţia Datelor, „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere.
Art. 58 din Regulamentul General privind Protecţia Datelor stabileşte competenţele coercitive ale Autorităţii de supraveghere, iar la art. 83 sunt precizate sancţiunile ce pot fi aplicate potrivit competenţelor legale, care pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală.