Regulamentul General privind Protecția Datelor (GDPR) nu este doar o sugestie – este o cerință legală pentru prelucrarea datelor cu caracter personal.
Nerespectarea poate duce la amenzi substanțiale și vă poate afecta reputația.
Sunteți sigur(ă) că afacerea dvs. respectă pe deplin regulamentul?
Multe companii, în ciuda celor mai bune intenții, cad în capcane comune. Să analizăm cinci greșeli frecvente legate de GDPR și cum să le evitați:
Eroarea „Politica este suficientă”
Greșeala: Ați elaborat politici GDPR frumoase, dar acestea rămân într-un dosar, nu se regăsesc în acțiunile de zi cu zi. Conformitatea este documentată, dar nu practicată.
Soluția: Asigurați-vă că politicile dvs. se traduc în proceduri concrete. Instruiți-vă personalul, efectuați verificări regulate și asigurați-vă că protecția datelor este integrată în operațiunile dvs., nu doar în documente.
Responsabilitatea unică pentru GDPR
Greșeala: Atribuirea întregii responsabilități pentru conformitatea GDPR unei singure persoane. Protecția datelor este adesea prea complexă pentru a fi gestionată de o singură persoană.
Soluția: Formați o echipă sau distribuiți responsabilitățile între departamentele relevante (IT, Resurse Umane, Marketing, Juridic). Protecția datelor este un efort colectiv.
Ignorarea datelor care nu aparțin clienților
Greșeala: Concentrarea eforturilor GDPR exclusiv pe datele clienților, ignorând înregistrările angajaților, detaliile furnizorilor sau alte date cu caracter personal pe care le prelucrați.
Soluția: Amintiți-vă că GDPR se aplică tuturor datelor cu caracter personal pe care le gestionați. Revizuiți toate activitățile dvs. de prelucrare a datelor pentru a vă asigura că fiecare tip de date cu caracter personal este gestionat conform principiilor GDPR.
Nerespectarea termenului de 72 de ore pentru raportarea încălcărilor
Greșeala: Neraportarea unei încălcări semnificative a securității datelor către autoritatea de supraveghere (cum ar fi ANSPDCP în România) în termen de 72 de ore de la momentul constatării acesteia.
Soluția: Stabiliți o procedură internă clară pentru identificarea, evaluarea și raportarea rapidă a încălcărilor. Asigurați-vă că personalul relevant cunoaște procesul și termenul limită strict.
Sindromul „Începem de mâine”
Greșeala: Amânarea continuă a implementării măsurilor GDPR necesare. Conformitatea necesită timp și efort, iar amânarea crește riscul.
Soluția: Nu amânați! Începeți acum procesul de conformare la GDPR. Evaluați practicile actuale, identificați lacunele și creați un plan realist pentru a le aborda.
Evitarea acestor greșeli comune legate de GDPR nu înseamnă doar evitarea amenzilor; este vorba despre construirea încrederii și gestionarea responsabilă a datelor cu caracter personal.
Asigurându-vă că practicile dvs. corespund politicilor, implicând o echipă, luând în considerare toate tipurile de date, raportând prompt încălcările și începând implementarea fără întârziere, vă puteți consolida semnificativ conformitatea GDPR.
Dacă aveți nevoie de ajutor în aplicarea corectă a prevederilor acestui regulament în cadrul companiei dvs. eu sunt aici ca să vă ajut. Și nu numai vă ajut ci particip cu dvs. la aplicarea acestei conformități. Scrieti-mi un email la cosmin.dinu @ gmail.com și am să vă răspund imediat.
Regulamentul General privind Protecția Datelor (GDPR) a schimbat fundamental modul în care organizațiile gestionează datele cu caracter personal. Consiliul European pentru Protecția Datelor (EDPB) a publicat recent ghiduri esențiale despre pseudonimizare, o tehnică importantă pentru conformitatea GDPR. Acest articol explică ce înseamnă pseudonimizarea, cum diferă de anonimizare și cum te poate ajuta să respecți GDPR.
Ce Este Pseudonimizarea?
Pseudonimizarea este un proces prin care datele cu caracter personal sunt prelucrate astfel încât să nu mai poată fi atribuite unei persoane specifice fără utilizarea unor informații suplimentare. Aceasta nu înseamnă anonimizare. Datele pseudonimizate sunt încă considerate date cu caracter personal, deoarece, teoretic, pot fi legate înapoi la o persoană.
Pseudonimizarea vs. Anonimizarea:
Pseudonimizarea: Reduce legătura directă dintre date și identitatea unei persoane, dar re-identificarea este posibilă cu informații suplimentare (cheia de pseudonimizare).
Anonimizarea: Face imposibilă identificarea persoanei, chiar și cu informații suplimentare. Datele anonimizate nu mai intră sub incidența GDPR.
De Ce Este Importantă Pseudonimizarea în GDPR?
Măsură de Securitate: Pseudonimizarea este o măsură tehnică și organizatorică recomandată de GDPR pentru a proteja datele cu caracter personal.
Protecția Datelor Încă din Faza de Proiectare (Data Protection by Design): Ajută la implementarea principiului “data protection by design and by default”.
Reducerea Riscurilor: Reduce riscul de încălcare a securității datelor și impactul unei eventuale breșe.
Respectarea principiului minimizarii datelor: EDPB sublineaza ca pseudonimizarea ajuta la respectarea acestui principiu.
Puncte Cheie din Ghidul EDPB:
Abordare Stratificată: EDPB recomandă o abordare combinată, folosind pseudonimizarea împreună cu alte măsuri de securitate (criptare, controlul accesului, minimizarea datelor).
Securitatea “Informațiilor Suplimentare”: Cheia care permite re-identificarea trebuie păstrată extrem de sigur și separat de datele pseudonimizate.
Exemple Practice: Ghidul oferă exemple de tehnici de pseudonimizare (hashing, criptare, tokenizare) și scenarii de utilizare.
Responsabilitatea Operatorului: Operatorul de date rămâne responsabil pentru evaluarea riscurilor de re-identificare și implementarea măsurilor de protecție adecvate.
Tehnici de pseudonimizare:
Ghidul menționează mai multe tehnici, printre care:
Criptare: Datele sunt transformate într-un format ilizibil, care poate fi decriptat doar cu o cheie secretă.
Hashing: O funcție unidirecțională transformă datele într-o valoare unică (hash), dar procesul nu este reversibil.
Tokenizare: Înlocuirea datelor sensibile cu valori non-sensibile (token-uri), păstrând formatul original (de exemplu, înlocuirea numerelor de card cu token-uri).
Concluzie:
Pseudonimizarea este un instrument valoros pentru conformitatea GDPR, dar nu un substitut pentru anonimizare. Este esențial să înțelegem diferența și să implementăm pseudonimizarea corect, ca parte a unei strategii complete de protecție a datelor.
Ghidul EDPB oferă clarificări importante și îndrumări practice pentru a naviga în acest aspect complex al GDPR.
Respectarea acestor recomandări va contribui semnificativ la protejarea datelor cu caracter personal și la evitarea sancțiunilor.
Recent, au fost descoperite multiple vulnerabilități de securitate în aplicația DeepSeek pentru iOS, una dintre cele mai populare din App Store. Aceste probleme sunt mai grave decât cele anterioare, care au expus istoricul conversațiilor și alte informații sensibile într-o bază de date nesecurizată.
Probleme anterioare cu DeepSeek
Deși am menționat anterior aplicația, pentru majoritatea oamenilor, DeepSeek a apărut brusc și a devenit rapid cea mai descărcată aplicație pentru iPhone. Cercetătorii în domeniul inteligenței artificiale au fost surprinși de capabilitățile unei aplicații care necesita resurse hardware semnificativ mai mici decât chatbot-urile de putere similară, iar această veste a dus la scăderea prețului acțiunilor unor companii americane de AI.
Nu a durat mult până când au apărut îngrijorări legate de securitate și confidențialitate. Autoritatea italiană pentru protecția datelor a pus sub semnul întrebării conformitatea aplicației cu legislația europeană privind confidențialitatea, iar Irlanda a ridicat întrebări similare. Oficialii americani investighează, de asemenea, potențialele implicații asupra securității naționale.
Ulterior, s-a descoperit că compania a omis, din neatenție, să securizeze o bază de date care conținea peste un milion de înregistrări de log, inclusiv istoricul conversațiilor și chei secrete.
Noi vulnerabilități de securitate în aplicația DeepSeek pentru iOS
Compania de securitate mobilă NowSecure a identificat multiple vulnerabilități în aplicația pentru iPhone, inclusiv dezactivarea sistemului integrat al Apple, App Transport Security (ATS). ATS este conceput pentru a asigura că datele personale sensibile sunt transmise doar prin canale criptate, însă NowSecure a constatat că DeepSeek a dezactivat această funcție.
Aplicația DeepSeek pentru iOS dezactivează global App Transport Security (ATS), o protecție la nivel de platformă iOS care previne transmiterea datelor sensibile prin canale necriptate. Deoarece această protecție este dezactivată, aplicația poate (și o face) să trimită date necriptate prin internet.
Compania afirmă că, deși datele expuse pot părea inofensive, acestea pot fi combinate cu ușurință pentru a de-anonimiza utilizatorii.
Deși niciuna dintre aceste date, luate separat, nu prezintă un risc ridicat, agregarea multor puncte de date în timp duce rapid la identificarea ușoară a indivizilor. Breșa recentă de date de la Gravy Analytics demonstrează că aceste date sunt colectate activ la scară largă și pot de-anonimiza eficient milioane de persoane.
În cazurile în care datele sunt criptate, compania utilizează o metodă de criptare depășită, cunoscută ca fiind defectuoasă.
Algoritmul de criptare ales pentru această parte a aplicației utilizează un algoritm de criptare cunoscut ca fiind defectuos (3DES), ceea ce îl face o alegere slabă pentru protejarea confidențialității datelor.
În plus, datele colectate de aplicație ar putea fi utilizate pentru a identifica potențiale ținte de spionaj.
Rețineți că nu doar zeci de puncte de date sunt colectate în aplicația DeepSeek pentru iOS, ci și date conexe sunt colectate din milioane de aplicații și pot fi achiziționate cu ușurință, combinate și apoi corelate pentru a de-anonimiza rapid utilizatorii.
Analiza detaliată concluzionează că aplicația DeepSeek pentru iOS nu este sigură de utilizat și notează că versiunea pentru Android este și mai puțin sigură.
Concluzie
Deși aplicația DeepSeek este impresionantă din punct de vedere tehnic și a fost interesant de testat capabilitățile sale, recomandăm ca nimeni să nu o utilizeze pentru sarcini reale care implică divulgarea oricăror date personale. Ar trebui să presupuneți că DeepSeek vă poate identifica și vedea conținutul interacțiunilor dvs.
Suntem încă într-o etapă relativ incipientă a cercetărilor de securitate asupra aplicației, astfel încât este probabil ca probleme suplimentare de securitate și confidențialitate să fie dezvăluite. Personal, am eliminat-o acum de pe iPhone-ul meu și aș sfătui și pe alții să facă la fel.
FARMEC SA amendată de ANSPDCP pentru încălcarea securității datelor
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la operatorul FARMEC SA în decembrie 2024, constatând încălcări ale Regulamentului (UE) 2016/679 (GDPR) privind protecția datelor cu caracter personal. În consecință, FARMEC SA a fost sancționată cu o amendă de 24.854,50 lei, echivalentul a 5000 de euro.
Investigația a fost declanșată în urma unei notificări de încălcare a securității datelor cu caracter personal, transmisă de FARMEC S.A. conform art. 33 din GDPR. În urma unui atac cibernetic, o bază de date conținând informații despre utilizatorii și administratorii site-ului operatorului a fost accesată, datele fiind extrase din sistemul de evidență.
ANSPDCP a constatat că FARMEC SA nu implementase la momentul incidentului măsurile de securitate necesare pentru a preveni atacul cibernetic. Mai mult, sistemele informatice nu fuseseră actualizate la ultima versiune de licențiere, vulnerabilitatea fiind exploatată de atacatori. Această neglijență a dus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr semnificativ de persoane fizice, inclusiv nume, prenume, adrese de e-mail și parole criptate pentru accesul la conturile de utilizator. Prin urmare, au fost încălcate prevederile art. 25 alin. (1) coroborat cu art. 32 alin. (1) lit. b), d) și alin. (2) din GDPR.
FARMEC SA a achitat amenda contravențională. Acest caz subliniază importanța crucială a implementării și menținerii unor măsuri de securitate robuste pentru protecția datelor cu caracter personal, precum și necesitatea actualizării constante a sistemelor informatice pentru a contracara amenințările cibernetice în continuă evoluție. Nerespectarea GDPR poate atrage sancțiuni financiare semnificative și poate afecta negativ reputația companiilor.
V&M Contab&Management SRL amendată de ANSPDCP pentru multiple încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație în decembrie 2024 la V&M Contab&Management SRL, constatând multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR). Operatorul a fost sancționat contravențional cu două amenzi cumulate:
9.954,00 lei (2.000 EURO): pentru încălcarea art. 58 alin. (1) lit. a) și e) din GDPR, coroborat cu art. 83 alin. (5) lit. e). Această amendă a fost aplicată pentru că V&M Contab&Management SRL nu a răspuns solicitărilor de informații ale ANSPDCP, deși avea obligația legală de a permite accesul la datele cu caracter personal și la informațiile necesare investigației.
39.816,00 lei (8.000 EURO): pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și alin. (2) din GDPR. Această amendă a fost aplicată în urma constatării transmiterii prin WhatsApp către un terț a unui tabel cu parole de acces în platforma Revisal pentru mai multe entități juridice. Prin intermediul acestor parole, terțul putea accesa datele personale ale angajaților sau foștilor angajați ai respectivelor societăți. Incidentul a dus la accesul neautorizat și divulgarea neautorizată a datelor cu caracter personal, incluzând nume, prenume, cetățenie, cod numeric personal și domiciliu. ANSPDCP a constatat că operatorul nu a luat măsuri pentru a se asigura că persoanele care acționează sub autoritatea sa și au acces la datele personale le prelucrează doar la cererea acestuia. Mai mult, operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării, inclusiv confidențialitatea și integritatea sistemelor și serviciilor de prelucrare.
Pe lângă amenzile financiare, ANSPDCP a dispus măsura corectivă de schimbare a tuturor credențialelor de acces în platforma Revisal pentru toate entitățile juridice afectate de incident.
Acest caz evidențiază gravitatea nerespectării prevederilor GDPR și importanța crucială a protecției datelor cu caracter personal. Companiile trebuie să acorde o atenție deosebită solicitărilor ANSPDCP, să implementeze măsuri de securitate adecvate și să se asigure că angajații respectă regulile privind prelucrarea datelor. Utilizarea canalelor de comunicare nesecurizate, cum ar fi WhatsApp, pentru transmiterea de informații sensibile, reprezintă un risc major pentru securitatea datelor.
Unicredit Bank SA amendată de ANSPDCP pentru două încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Unicredit Bank SA cu 74.652 lei (echivalentul a 15.000 de euro) în decembrie 2024, ca urmare a constatării a două încălcări ale prevederilor art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).
Investigația a fost inițiată în urma a două notificări de încălcare a securității datelor cu caracter personal, transmise de către bancă conform RGPD.
Primul incident: a fost cauzat de funcționarea defectuoasă a aplicației prin care se creează numele de utilizator, din cauza lipsei testării prealabile într-un mediu de testare. Aceasta a dus la divulgarea neautorizată a datelor cu caracter personal ale unor clienți, cum ar fi nume, prenume, informații despre contul curent, tranzacții și sold cont, tranzacții și sold card.
Al doilea incident: a survenit în urma implementării unei soluții de comunicare a clienților cu banca, din nou, fără o testare prealabilă adecvată în mediul de test. Consecința a fost divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai Unicredit Bank SA.
ANSPDCP a constatat că Unicredit Bank SA nu a implementat măsuri tehnice și organizatorice adecvate, atât la momentul stabilirii mijloacelor de prelucrare, cât și în cel al reluării acesteia, pentru a aplica eficient principiile de protecție a datelor și a integra garanțiile necesare în cadrul prelucrării. Prin urmare, a fost aplicată amenda pentru încălcarea art. 25 alin. (1) din RGPD.
Pe lângă amendă, ANSPDCP a dispus măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce urmează a fi introduse în activități care includ prelucrări de date cu caracter personal. Acest plan trebuie să analizeze toate funcționalitățile într-un mediu de test care să simuleze scenariul real din mediul de producție.
Unicredit Bank SA a achitat amenda aplicată. Acest caz subliniază importanța testării riguroase a sistemelor și aplicațiilor înainte de implementarea lor, mai ales când acestea implică prelucrarea datelor cu caracter personal. Lipsa unei testări adecvate poate duce la vulnerabilități de securitate și la divulgarea neautorizată a datelor, cu consecințe financiare și reputaționale semnificative.
Protecția datelor este un subiect important în Europa. Cu evoluția tehnologiei digitale, datele personale devin din ce în ce mai vulnerabile la acces neautorizat și utilizare necorespunzătoare. Pentru a proteja confidențialitatea cetățenilor săi, Europa a adoptat o serie de legi și reglementări privind protecția datelor.
Una dintre cele mai importante legi privind protecția datelor din Europa este Regulamentul General privind Protecția Datelor (GDPR). GDPR a intrat în vigoare în 2018 și se aplică tuturor organizațiilor care prelucrează datele personale ale cetățenilor europeni.
GDPR acordă indivizilor o serie de drepturi, inclusiv dreptul de a accesa și de a obiecta la prelucrarea datelor lor personale. De asemenea, GDPR impune organizațiilor să respecte o serie de obligații, cum ar fi notificarea autorităților de protecție a datelor cu privire la încălcările de date și asigurarea securității datelor personale.
GDPR este o lege importantă pentru protejarea confidențialității cetățenilor europeni. Organizațiile care nu respectă GDPR pot fi pasibile la amenzi considerabile.
În plus față de GDPR, există și alte legi și reglementări privind protecția datelor în Europa. De exemplu, Directiva privind protecția datelor din 1995 este încă aplicabilă în unele țări membre ale UE.
Protecția datelor este un subiect în continuă evoluție. Pe măsură ce tehnologia continuă să se dezvolte, este important să se actualizeze legile și reglementările privind protecția datelor pentru a proteja confidențialitatea cetățenilor.
Importanța protecției datelor
Protecția datelor este importantă pentru o serie de motive. În primul rând, protejează confidențialitatea cetățenilor. În al doilea rând, promovează încrederea în organizațiile care prelucrează datele personale. În al treilea rând, ajută la stimularea inovației și competitivității în economie.
Cum puteți proteja confidențialitatea dvs.
Există o serie de lucruri pe care le puteți face pentru a proteja confidențialitatea dvs. online și offline. De exemplu, puteți să vă informați despre politicile de confidențialitate ale organizațiilor cu care interacționați. De asemenea, puteți să utilizați instrumente de securitate, cum ar fi parole puternice și software antivirus.
Concluzie
Protecția datelor este un subiect important în Europa. Cu evoluția tehnologiei digitale, datele personale devin din ce în ce mai vulnerabile la acces neautorizat și utilizare necorespunzătoare. Pentru a proteja confidențialitatea cetățenilor săi, Europa a adoptat o serie de legi și reglementări privind protecția datelor.
GDPR este una dintre cele mai importante legi privind protecția datelor din Europa. GDPR acordă indivizilor o serie de drepturi și impune organizațiilor să respecte o serie de obligații.
Protecția datelor este un subiect în continuă evoluție. Pe măsură ce tehnologia continuă să se dezvolte, este important să se actualizeze legile și reglementările privind protecția datelor pentru a proteja confidențialitatea cetățenilor.