Κύμα των προστίμων GDPR: Μια εταιρεία, επέβαλε πρόστιμο 10.000 ευρώ μετά την αποστολή των κωδικών πρόσβασης WhatsApp για την επανεξέταση για αρκετές εταιρείες / unicredit, πρόστιμο 15.000 ευρώ

Η Αρχή για την Προστασία Προσωπικών Δεδομένων ανακοίνωσε την Τρίτη ότι επέβαλε πρόστιμο ύψους 10.000 ευρώ V & M Contab & Management SRL, μετά από έρευνα που ολοκληρώθηκε τον περασμένο Δεκέμβριο, η οποία διαπίστωσε την παραβίαση του κανονισμού για την Προστασία Προσωπικών Δεδομένων (GDPR). Πριν από μια μέρα, η αρχή ανακοίνωσε πρόστιμο 15.000 ευρώ στην Unicredit Bank.

Γιατί ήταν η εταιρεία V & M Contab & Management SRL

Στην περίπτωση του προστίμου των 10.000 ευρώ σε V & M Contab & Management SRL, η Αρχή ισχυρίζεται ότι “κατά τη διάρκεια της έρευνας διαπιστώθηκε ότι ο χειριστής έστειλε μέσω του WhatsApp σε ένα τρίτο άτομο με πίνακα πρόσβασης στην πλατφόρμα Revisal για αρκετές νόμιμες οι οντότητες, μέσω των οποίων τα προσωπικά δεδομένα των εργαζομένων ή πρώην υπαλλήλων αυτών των εταιρειών θα μπορούσαν να έχουν πρόσβαση ».

• “Αυτό το περιστατικό έχει οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση και μη εξουσιοδοτημένη αποκάλυψη προσωπικών δεδομένων (όπως το όνομα, το όνομα, την υπηκοότητα, τον προσωπικό αριθμητικό κώδικα, την κατοικία) που έχει υποστεί επεξεργασία.
• Ως εκ τούτου, ο φορέας εκμετάλλευσης δεν έλαβε μέτρα για να εξασφαλίσει ότι οποιοδήποτε φυσικό άτομο που ενεργεί υπό την εξουσία του και έχει πρόσβαση σε προσωπικά δεδομένα μόνο τα επεξεργάζεται κατόπιν αιτήματος του χειριστή.
• Ταυτόχρονα, ο φορέας εκμετάλλευσης δεν εφάρμοσε επαρκή τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι ένα επίπεδο ασφαλείας που αντιστοιχεί στον κίνδυνο επεξεργασίας, συμπεριλαμβανομένης της ικανότητας να διασφαλιστεί η εμπιστευτικότητα και η ακεραιότητα των συστημάτων και των υπηρεσιών επεξεργασίας.
• Έτσι, οι διατάξεις της τέχνης. 32 παρ. (1) Επιστολή. β) και παρ. (2) και παράγραφος. (4) του κανονισμού (ΕΕ) 2016/679 “, δείχνει η αρχή.

Η έρευνα ξεκίνησε ως αποτέλεσμα της ειδοποίησης που διεκδικεί πιθανή παραβίαση των διατάξεων του κανονισμού της ΕΕ και κατά τη διάρκεια της έρευνας ο φορέας εκμετάλλευσης δεν απάντησε στα αιτήματα πληροφοριών της εθνικής εποπτικής αρχής, αν και είχε την υποχρέωση να επιτρέψει στο θεσμικό μας όργανο στα δεδομένα με προσωπικό χαρακτήρα και σε όλες τις απαραίτητες πληροφορίες, προκειμένου να εκπληρωθούν τα νομικά καθήκοντα, παραβιάζοντας έτσι τις διατάξεις της τέχνης. 58 παρ. (1) Επιστολή. α) και ε) της ρύθμισης (ΕΕ) 2016/679.

Ταυτόχρονα, σε σύγκριση με τον χειριστή, το διορθωτικό μέτρο για την αλλαγή όλων των διαπιστευτηρίων πρόσβασης στην πλατφόρμα Revisal που διατίθεται στον ιστότοπο https://reges.inspectiamuncii.ro/ για όλες τις νομικές οντότητες που επηρεάζονται από το περιστατικό.

Γιατί τροποποιήθηκε η Unicredit Bank

Τη Δευτέρα, 3 Φεβρουαρίου, η ANSPDCP ανακοίνωσε την εφαρμογή πρόστιμου 15.000 ευρώ στην Unicredit Bank, επίσης στο τέλος μιας έρευνας που ολοκληρώθηκε τον Δεκέμβριο του περασμένου έτους.

Η έρευνα ξεκίνησε ως αποτέλεσμα της μετάδοσης από την Unicredit Bank δύο ειδοποιήσεων για την παραβίαση της ασφάλειας των προσωπικών δεδομένων στο πλαίσιο του RGPD.

Ως μέρος της έρευνας που διεξήχθη, διαπιστώθηκε ότι, σε μια πρώτη κατάστασηη παραβίαση της ασφάλειας της επεξεργασίας δεδομένων έχει συμβεί ως αποτέλεσμα της λανθασμένης λειτουργίας της εφαρμογής του χειριστή μέσω της οποίας δημιουργείται το όνομα χρήστη, χωρίς να εκτελεί προκαταρκτική δοκιμή σε περιβάλλον δοκιμής.

Αυτή η κατάσταση έχει οδηγήσει στην μη εξουσιοδοτημένη αποκάλυψη επεξεργασμένων προσωπικών δεδομένων ορισμένων πελατών, όπως: όνομα, όνομα, πληροφορίες τρέχοντος λογαριασμού, συναλλαγές λογαριασμού, υπόλοιπο καρτών, συναλλαγές καρτών.

Στη δεύτερη κατάστασηη παραβίαση της ασφάλειας επεξεργασίας δεδομένων προέκυψε ως αποτέλεσμα της εφαρμογής από τον χειριστή μιας λύσης επικοινωνίας πελατών, χωρίς να εκτελείται η κατάλληλη προηγούμενη δοκιμή στο περιβάλλον δοκιμής, η οποία οδήγησε στην μη εξουσιοδοτημένη αποκάλυψη των προσωπικών δεδομένων (το όνομα του κατόχου του Κάρτα, ο αριθμός τηλεφώνου, η ημερομηνία της συναλλαγής, το νόμισμα, η διεύθυνση ηλεκτρονικού ταχυδρομείου, το ποσό της συναλλαγής, ο λόγος για την άρνηση) ενός σημαντικού αριθμού πελατών της Unicredit Bank SA.

Ως εκ τούτου, σε σχέση με τα κριτήρια για την εξατομίκευση των κυρώσεων που παρέχονται από την τέχνη. 83 του RGPD, η κύρωση δημιουργήθηκε με πρόστιμο για παραβίαση των διατάξεων της τέχνης. 25 παράγραφος. (1) του RGPD, καθώς ο χειριστής δεν έχει εφαρμόσει, τόσο κατά τη στιγμή της καθιέρωσης των μέσων επεξεργασίας όσο και της ίδιας της αντιστροφής, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, που αποσκοπούν στην αποτελεσματική εφαρμογή των αρχών προστασίας των δεδομένων και να ενσωματώσουν τις απαραίτητες εγγυήσεις στην επεξεργασία.

Ταυτόχρονα, διατάχθηκε στον χειριστή και το διορθωτικό μέτρο για την υλοποίηση τεχνικά και οργανωτικού σχεδίου δοκιμών για όλα τα στοιχεία/εφαρμογές που πρόκειται να εισαχθούν εντός των δραστηριοτήτων που περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων αναλύοντας όλες τις λειτουργίες τους στο -a δοκιμαστικό περιβάλλον, το οποίο θα προσομοιώσει το πραγματικό σενάριο στο περιβάλλον παραγωγής.

Η αρχή υπογραμμίζει ότι η Unicredit Bank έχει καταβάλει το εφαρμοσμένο πρόστιμο.