Ce înveți după o amendă pe GDPR?
8 minute • Ana-Maria Udriste • 12 iulie 2019
În data de 12.07.2019, s-a publicat pe site-ul ANSPDCP un comunicat de presă privind a treia amendă pentru nerespectarea GDPR din România.
Care pică pe umerii unui site care scrie despre și furnizează, printre altele și servicii de conformare GDPR. Este vorba despre noi, avocatoo.ro.
Cum s-a întâmplat?
La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. Am apelat la niște cunoscuți pentru partea de IT, pentru că, deși orice antreprenor se pricepe să facă de toate, nu sunt atât inteligentă încât să am cunoștinte avansate de programare.
Am semnat contractul, am stabilit ce vreau, cum să arate, funcționalități noi, ce păstram din cele vechi etc. Exact cum faci și tu când vrei să achiziționezi niște servicii – găsești un furnizor, te vezi cu el, stabilești detaliile și te apuci de treabă.
Am muncit, am mutat site-ul, am adus funcționalități noi, toate bune și frumoase, fără niciun fel de probleme la momentul respectiv. Pentru că una din chestiile interesante este că nu vezi întotdeauna greșelile la momentul la care se fac, pentru că nu ai de unde să știi. Ne-am uitat să fie totul în regulă, am făcut testele obișnuite de securitate, mergea totul ok.
De ce spun asta?
Conform GDPR, în calitate de operator de date cu caracter personal, ai obligația principală de a implementa măsuri de securitate menite să protejeze datele cu caracter personal ale persoanelor cu care intri în contact (în cazul nostru, clienții care achiziționau produse și servicii prin intermediul site-ului).
Mai mult, în virtutea principiului responsabilității, tu ca operator de date răspunzi față de persoanele vizate și pentru eventualele prejudicii care se întâmplă din cauza persoanelor cu care tu ai decis să colaborezi (altfel spus, dacă, în cazul de față am ajunge la concluzia că firma de IT este răspunzătoare pentru că nu au făcut riguros testele de securitate, față de clienți și autoritate răspund tot eu în primă fază urmând ca, ulterior, dacă consider că așa este, să mă îndrept împotriva firmei de IT pentru recuperarea prejudiciului).
Ceea ce s-a și întâmplat. Pentru o breșă de securitate, avocatoo.ro, în calitate de operator de date cu caracter personal, a primit o amendă din partea ANSPDCP în cuantum de 3.000 euro pentru nerespectarea obligațiilor de securitate conform GDPR.
Ce s-a întâmplat mai exact?
Câteva luni bune mai târziu, după ce am finalizat migrarea site-ului complet, am primit o notificare că avem o breșă de securitate și că un set de date au putut fi accesate de către persoane neautorizate.
Imediat cum am aflat, am luat la mână tot site-ul și în mai puțin de 10 minute am resecurizat și acel link, care nu era oricum disponibil public, ci doar pe acces direct.
Aparent, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B (business-to-business, nu persoane fizice) a putut fi accesat pe bază de link direct (adică doar dacă știai în mod expres unde să cauți).
Totul s-a petrecut pe un fișier de tranzacții vechi, inactiv, la un import de bază de date cu ajutorul unui plugin de WooCommerce.
Mergând înainte, am primit solicitare de informații de la ANSPDCP, am colaborat cu ei, am furnizat informațiile și documentele necesare precum și măsurile luate atunci pe moment și ulterior, însă nu a fost suficient, pentru că autoritatea a constatat că se impune aplicarea unei amenzi.
Ce învățăminte am tras din asta (și de care ar trebui să ții și tu cont)?
Cum ziceam, unul din principiile GDPR este cel al responsabilizării, pe care trebuie să-l coroborăm cu cel al răspunderii.
Eu eram responsabilă față de datele pe care mi le încredințează persoanele care fac comenzi prin intermediul site-ului și eram răspunzătoare față de furnizorii de servicii pe îi aleg atunci când vreau să fac ceva.
Am considerat la momentul respectiv că am depus diligențele necesare, inclusiv prin efectuarea unor teste personale ca să văd că totul este în regulă (un fel de ochiul soacrei, pe unde m-am priceput și eu – am mai rugat chiar și un prieten din Politehnică să vadă dacă cumva mie mi-a scăpat ceva). Din păcate, ne-a scăpat.
Ce am învățat eu (Ana-Maria Udriște) din chestia asta?
- GDPR este mai serios decât ai crede – îmi place foarte mult domeniul, am certificări, scriu despre asta, însă chestiuni de genul acesta sunt inerente și se pot întâmpla oricui la un moment dat.
- poate că persoanele cu care am lucrat ar fi putut să fie mai bine pregătite – dar nu ai un criteriu de evaluare pentru asta, pentru că nu există standarde în domeniu. Este o problemă pe care am identificat-o personal: eu ca mic antreprenor nu știu de unde să o apuc – nu am un ghid, un standard, o îndrumare în domeniul ăsta. Am primit un site, care e frumos și merge. Bun! Cum fac verificarea? La ce trebuie să fiu atentă? La contabilitate mai găsești, pe documente mai găsești, dar aici?
- un moment de neatenție (pe care nici măcar nu l-am descoperit atunci, ci luni întregi mai târziu) m-a costat destul de mult – am mutat domeniul, am implementat alte măsuri de securitate, încă o doză de criptare și acum accesul se face cu dubla confirmare (am mai adăugat la securitate și recent, când am fost ”în construcție”). Și vorba aceea, nici măcar nu suntem un site atât de mare (a se vedea din amendă). Gândește-te la ideea de ”proof reading” când folosești Word-ul, el vine să contracareze acele momente de neatenție care ție îți scapă și te atenționează.
- GDPR se aplică și la companiile mici și la companiile mari și la cele cunoscute și la cele mai puțin cunoscute (asta vis-a-vis de întrebarea pe care o primesc – dar eu sunt firmă mică, nu o să mă calce pe mine autoritatea. Ei bine, nu e chiar așa). Însă este ce am susținut și repetat constant: GDPR nu este un bau-bau. El vine să responsabilizeze ambele părți implicate. Persoanele vizate pentru că își dau seama de importanța drepturilor pe care le au și companiile pentru că trebuie să implementeze măsuri de securitate și să devină și mai responsabile.
- operatorul are o serie de obligații conform GDPR de care trebuie să țină cont cu adevărat și chiar să depună eforturi pentru a se asigura că persoanele cu care lucrează respectă obligațiile de securitate și livrează servicii conforme (gândiți-vă la situația în care nu vorbeam despre adrese de tipul abc@companiaxyz.ro ca aici, ci despre CNP-uri cum a fost în cazul Unicredit sau despre date privind sănătatea).
Ce ar trebui să faci și tu în calitate de operator când prelucrezi datele cu caracter personal?
- să îți faci periodic un semi-audit al datelor personale și al stadiului în care acestea se află, mai ales când vrei să schimbi/modifici ceva (cum ar fi să adaugi servicii noi sau să le modifici pe cele existente).
- să te asiguri că persoanele cu care decizi să colaborezi au la rândul lor certificările necesare și implementate măsurile de securitate, chiar dacă îți sunt prieteni sau cunoscuți (inclusiv prin audituri, solicitare de rapoarte, furnizarea accesului la loguri, anexe de confidențialitate etc.).
- în contractele cu furnizorii/prestatorii de servicii să introduci clauze de atragere a răspunderii în cazul în care primești o amendă (așa-numitele ”clauze de regres”) și care-ți permit să soliciți în fața unei instanțe judecătorești cuantumul amenzii drept despăgubire pentru neîndeplinirea sau îndeplinirea necorespunzătoare a obligațiilor. Și nu ca o metodă de răzbunare, ci de responsabilizare.
- să te asiguri periodic că ai măsuri de securitate și că toate plug-in-urile, software-urile terțe pe care le folosești sunt și ele securizate și aduse la zi. Chiar dacă nu se întâmplă nimic despre care să știi, e bine să faci din când în când o verificare.
Pentru că mi s-a întâmplat mie și am trecut prin asta, targetul pentru perioada următoare este să colaborez cu specialiști din industrie (și fac un apel public prin asta) și să elaborăm un scurt ghid de recomandări ”umane”, pe care să le ai în vedere atunci când tu, ca antreprenor care nu dispui de resurse de zeci de mii de euro, vrei să verifici dacă ai un site în siguranță sau nu, pe care să îl punem la dispoziție, gratuit, pe avocatoo.ro.
Cum ziceam, a treia amendă pe GDPR din România pică pe umerii mei. Și am învățat din ea.
Sursa pozei: Fernando Arcos de la Pexels
