Scurgerea de informații la Casa Verde: Reclamanții, notificați că li s-au accesat ilegal date personale/ Ce a descoperit Corpul de control
Ministerul Mediului a detaliat pentru HotNews.ro ce reclamații a primit cu privire la scurgerea de informații în programul Casa Verde Fotovoltaice și de ce a sesizat Parchetul general. „Având în vedere documentele analizate și modalitatea de funcționare a aplicației informatice, apreciem că a avut loc o încălcare a securităţii datelor cu caracter personal”, a precizat pentru HotNews.ro Ministerul Mediului.
Ministerul Mediului arată în explicațiile transmise HotNews.ro că spre deosebire de celelalte sesiuni ale Programului Casa Verde Fotovoltaice derulate în anii anteriori, în sesiunea 2023 încărcarea în aplicaţia IT a documentelor s-a realizat direct de către solicitanţi și nu de către instalatori.
Înscrierea în aplicația informatică s-a derulat în intervalul 19 mai-26 iunie 2023, numărul total de solicitanți înscriși în program, pentru toate regiunile fiind de 86.625.
Ce au reclamat la Minister solicitanții din programul Casa Verde
Ministerul Mediului, condus de Mircea Fechet, a precizat că a primit 3 sesizări separate cu privire la „încălcarea legislației GDPR și furnizare informații Casa Verde Fotovoltaice”.
- „În data de 07.07.2023 a fost transmisă către MMAP, prin intermediul poștei electronice, o sesizare cu privire la „încălcarea legislației GDPR și furnizare informații Casa Verde Fotovoltaice”.
- Împreună cu sesizarea au fost transmise și alte atașamente (capturi de ecran ale unor postări/dialoguri de pe rețelele de social media, Contract de vânzare de echipamente și servicii – pachet fotovoltaic 3KW cu finanțare AFM aparținând unei societăți comerciale, flayere publicitare sau capturi de ecran ale unor site-uri aparținând unor agenți economici).
- Aspecte similare au fost sesizate și în data de 14.07.2023, tot prin poșta electronică, de către alte două persoane din București. Ambele sesizari au atașat același Contract de vânzare de echipamente și servicii – pachet fotovoltaic 3KW cu finanțare AFM aparținând unei societăți comerciale.”, au precizat pentru HotNews.ro oficialii Ministerului Mediului.
Ministerul spune că s-a încălcat GDPR. Măsurile dispuse
Ministerul spune mai departe că a găsit dovezi care arată că a fost încălcat Regulamentul General privind Protecția Datelor (GDPR).
- „Având în vedere documentele analizate și modalitatea de funcționare a aplicației informatice, apreciem că a avut loc o încălcare a securităţii datelor cu caracter personal pentru care s-au aplicat măsurile prevăzute la art. 32, alineatele (1) și (2), art. 33 și art. 34 din Regulamentul GDPR.”, au precizat pentru HotNews.ro oficialii Ministerului Mediului.
Articolul 33 prevede notificarea Autorității de supraveghere în cazul încălcării securității datelor cu caracter personal (ANSPDCP).
Articolul 34 prevede informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, ceea ce înseamnă că Administrația Fondului pentru Mediu (AFM) are obligația să notifice reclamanții cărora li s-au accesat în mod ilegal datele personale.
Articolul 32 prevede la alineatul (1) că operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
- (a) pseudonimizarea și criptarea datelor cu caracter personal;
- (b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
- (c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
- (d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Raportul de control de la Mediu a fost trimis la 3 instituții
Ca urmare a celor constatate, Ministerul Mediului a precizat că raportul de control a fost transmis către:
- Parchetul de pe lângă Înalta Curte de Casație și Justiție în vederea efectuării de cercetări specifice care să stabilească dacă aspectele prezentate în cuprinsul raportului întrunesc elementele constitutive ale unei infracțiuni;
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, instituția la nivel național responsabilă cu verificarea respectării Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
- Administrația Fondului pentru Mediu în scopul adoptării de urgență a tuturor măsurilor legale care se impun în legătură cu emiterea unei proceduri cu privire la accesul persoanelor la datele încărcate în aplicațiile informatice corespunzătoare programelor de finanțare derulate care să garanteze că nu vor exista accesări neautorizate în cadrul rețelei AFM, potențiale exfiltrări de date, breșe de securitate sau tentative de compromitere a infrastructurii informatice a instituției.”, au precizat pentru HotNews.ro oficialii Ministerului Mediului.
Protecția Datelor încă investighează scurgerea de date de la AFM
În timp ce Ministerul Mediului aprecizază că s-a încălcat GDPR și a notificat autoritatea pentru protecția datelor, ANSPDCP susține că încă investighează.
În plus, autoritatea ne invită să urmărim secțiunea „știri” de pe site-ul propriu pentru a afla informații cu privire la sancțiunile aplicate în urma investigațiilor efectuate.
Ministrul Fechet a dispus săptămâna trecută sesizarea Parchetului
Suspiciunile cu privire la scurgeri de informații care nu sunt de interes public și care ar putea să favorizeze anumite firme în programul Casa Verde au fost confirmate de verificările Corpului de control al ministrului Mediului și am dispus sesizarea Parchetului General, a declarat vineri, în premieră pentru HotNews.ro, Mircea Fechet, ministrul Mediului.
- „Motivul principal este legat de numărul mare de sesizări pe care cetățenii și beneficiarii programului Casa Verde le-au adresat Ministerului prin care au semnalat că au fost contactați de anumite entități care nu aveau cum să intre în posesia acestor informații decât ca urmare a unor scurgeri de date de la Ministerul Mediului, mai concret de la Administrația Fondului pentru Mediu, peste care s-a adăugat și ceea ce colegii mei au verificat deja, respectiv modul în care sunt gestionate acele informații și baze de date.
- Aceștia au descoperit că într-adevăr ar putea exista anumite vulnerabilități în ceea ce privește accesarea acelor baze de date”, a declarat vineri pentru HotNews.ro ministrul Mircea Fechet.
Instalatorii reclamați că ar fi avut acces la datele personale ale celor înscriși în program au fost validați de AFM
Lista cu instalatorii validați să instaleze panouri fotovoltaice în programul Casa Verde a fost publicată miercuri de Administrația Fondului pentru Mediu, printre cele 500 de firme validate aflându-se și cele reclamate că ar fi avut acces ilegal la datele personale ale participanților în program.
Astfel, persoanele fizice și unitățile de cult vor putea selecta din aplicația informatică unul dintre cei 515 instalatori validați pentru a le fi verificate documentele depuse în cadrul Programului Casa Verde Fotovoltaice.
Posibila scurgere de date în Casa Verde, semnalată în premieră de o investigație HotNews.ro
HotNews.ro a scris în premieră în data de 14 iulie 2023 despre posibila scurgere de informații în programul Casa Verde 2023, după ce am primit la redacție atât telefoane cât și sesizări pe email privind posibila scurgere de informații de la AFM către anumite firme de instalat panouri solare în acest program guvernamental.
Aceștia acuzau faptul că au fost ofertați pe mail sau telefonic de anumiți instalatori, deși nu și-au dat datele personale decât în aplicația AFM, iar lista cu instalatorii acreditați nu e publică.
După ce au fost contactați de HotNews.ro, oficialii Ministerului Mediului au spus că în ultimele zile au existat mai multe sesizări privind o posibilă scurgere de informații în acest program și că ministrul Mircea Fechet a dispus Corpului de control să verifice ce se întâmplă la AFM, al cărei președinte este Laurențiu Neculaescu.
Luni, 17 iulie, în urma unei solicitări HotNews.ro și Protecția Datelor (ANSPDCP) a precizat că are în derulare o investigație în legătură cu posibila scurgere de informații de la AFM în programul Casa Verde, în urma mai multor sesizări primite.
O petiție a ajuns inclusiv la Corpul de control al premierului Ciolacu.
În petiția consultată de HotNews.ro au fost trecute 5 firme, iar despre 3 dintre acestea – Romoffice Construct (firmă care și-a mutat recent sediul din Slobozia, Ialomița în Voluntari, Ilfov), Casa Prim (din Pucioasa, Dâmbovița) și Open DB Security, HotNews.ro a scris articole separate.
Pentru detalii citește:
- Scurgere de informații la „Casa Verde” 2023: O firmă din Voluntari îi sună pe cei înscriși să le instaleze panouri solare, deși datele ar trebui să fie secrete: „AFM ne-a dat numerele” / Ce spune Ministerul Mediului / Reacția AFM
- Posibilă scurgere de informații Casa Verde 2023 și în Dâmbovița: Un beneficiar, ofertat pe adresa de email pe care ar fi dat-o doar la AFM / „Trimitem mii de oferte în baza cookie-urilor” / Soțul patroanei firmei este trezorier PSD
- Val de reclamații privind date secrete scurse de AFM în Casa Verde 2023. O petiție a ajuns și la Ciolacu / Ce spune Guvernul / Angajat firmă din Ialomița: „Din 500 de numere, am nimerit vreo 5”
Sursa foto: Feverpitched / Dreamstime.com