Operatorul LEGAL COMPANY & TAX HUB SRL a fost sancţionat contravenţional cu amendă în cuantum de 14.173,50 lei, echivalentul sumei de 3.000 euro.

Sancţiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată şi accesul neautorizat la datele cu caracter personal ale persoanelor care au efectuat tranzacţii recepţionate de site-ul avocatoo.ro (nume, prenume, adresa de corespondenţă, email, telefon, loc de muncă, detalii tranzacţii efectuate), documente accesibile public, în perioada 10 decembrie 2018-1 februarie 2019.

Autoritatea Naţională de Supraveghere a aplicat sancţiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fişiere cu privire la detaliile tranzacţiilor recepţionate de site-ul avocatoo.ro, ce conţinea nume, prenume, adresa de corespondenţă, email, telefon, loc de muncă şi detalii tranzacţii efectuate, era accesibil public prin intermediul a două link-uri.

Potrivit art. 5 alin. 1 lit. f) din RGPD, operatorul avea obligaţia de a prelucra date într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate“).

De asemenea, Regulamentul General privind Protecţia Datelor prevede, în art. 32 că: „(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

a) pseudonimizarea şi criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.“

În urma publicării comunicatului de presă, Ana-Maria Udrişte, Fondator Avocatoo & JURIO a declarat pentru dpo-NET.ro:

„La Avocatoo credem în buna implementare a normelor GDPR şi am văzut mereu acest regulament drept un element important de responsabilizare pentru ambele părţi implicate: persoanele vizate îşi dau seama de importanţa drepturilor pe care le au şi companiile trebuie să implementeze măsuri de securitate şi să devină şi mai responsabile. La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro pe un nou serviciu de hosting şi să demarăm o procedură de rebranding. Am apelat la o firmă terţă de IT, în speranţa că vom obţine rezultate optime. După ce a fost efectuat transferul, am efectuat o serie de teste de securitate de bază şi am fost asiguraţi de faptul că totul este pus la punct din perspectivă tehnică.

În ciuda acestui lucru, după cum aveam să aflăm ulterior, în urma investigaţiei ANSPDCP, în momentul în care s-a făcut migraţia de pe un server pe altul, un fişier care conţinea date criptate despre un număr limitat de tranzacţii B2B a putut fi accesat pe bază de link direct, doar dacă se ştia adresa exactă la care putea fi accesat acest fişier. Pentru a asigura clienţii Avocatoo de confidenţialitatea datelor lor merită menţionat faptul că este vorba despre un fişier de tranzacţii vechi, inactiv, care nu a fost accesat de persoane neautorizate. Cerem scuze tuturor celor care ar fi putut fi afectaţi de această vulnerabilitate. Nici furnizorul de servicii şi nici noi, ulterior, nu am identificat un potenţial risc, deşi ar fi trebuit. Au fost luate măsuri suplimentare pentru a asigura securitatea site-ului Avocatoo.ro şi a datelor vizitatorilor, utilizatorilor şi clienţilor noştri. Suntem de părere că legea GDPR este una dintre cele mai importante şi valoroase măsuri aplicate la nivel european în ceea ce priveşte protecţia utilizatorilor de internet şi privim măsura luată de ANSDCP drept o lecţie din care am învăţat lucruri, o lecţie pe care o putem aplica şi atunci când venim în sprijinul partenerilor noştri de business.“