A fost amendat şi primul site din România pentru GDPR. Detaliile tranzacţiilor online puteau fi accesate de oricine

A fost acordată deja şi a treia amendă pentru GDPR/RGDP în România. Dacă primele două au fost acordate către două entităţi mai mari, Banca UniCredit şi hotelul World Trade Center Bucharest, noua amendă merge către o companie mai mică, care oferă consultanţă în domeniul legal, cât şi pentru GDPR, ironic, având în vedere că nerespectarea GDPR este motivul pentru care a fost acordată această amendă.

Compania se numeşte Legal Company & Tax Hub SRL, însă activează online sub numele avocatoo.ro. Site-ul companiei nu a implementat măsuri tehnice şi organizatorice în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării datelor atunci când a procesat comenzi online. Se pare că sistemul pe care îl folosea a condus la „divulgarea neautorizată să accesul neautorizat la datele cu caracter personal” al personelor care au efectuat tranzacţii recepţionate de site.

Detaliile care au putut fi accesate sunt numele, prenumele, adresa de corespondenţă, e-mail-ul, telefonul, locul de muncă şi alte detalii specifice tranzacţiei. Acest lucru s-a întâmplat în perioada 10 decembrie 2018 – 1 februarie 2019.

ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) a luat acest lucru la cunoştinţă pe data de 10 decembrie, în urma unei sesizări. Aceste detalii erau stocate pe server în format text, neprotejat, toate informaţiile putând fi accesate prin intermediul unor link-uri care nu necesitau date de autentificare, deci publice.

În urma cercetărilor ANSPDCP, a aplicat o sancţiune de 14.173,50 lei, echivalentul sumei de 3.000 de euro către Legal Copany & Tax Hub SRL, pentru încălcarea articoelor 5 şi 32 din regulamentul GDPR, valabil la nivelul Uniunii Europene. Companiile sunt obligate să prelucreze informaţiile clienţilor în moduri care asigură securitatea adecvată a datelor cu caracter personal, în timp ce datele stocate trebuie musai să fie peudonimizate şi critpate, păstrate şi prelucrate într-un mediu securizat.

UPDATE: Ana-Maria Udrişte, cea care deţine avocatoo.ro şi firma din spatele acestuia, a publicat un articol pe blog-ul site-ului, unde explică situaţia în detaliu, cum a aflat despre probleme şi cum le-a corectat ulterior.