ASK THE DPO Stirile saptamanii 1-8 martie 2021

Vă transmitem virtual LA MULȚI ANI doamnelor și domnișoarelor!
Incepand de azi, stirile saptamanale vor fi si sub forma video, pentru a fi mai usor de urmarit. Și iata ce s-a intamplat săptămana trecută în domeniul securitații informatiei si a protecției datelor

  • Amenda de 500 euro pentru o persoana fizica 

Autoritatea Națională de Supraveghere a finalizat în data de 16.02.2021 o investigație la o persoană fizică, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic și a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția Datelor.

Persoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor.

Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

 

  1. Atacurile de tip phishing continua. Pentru cei care doresc va pot pune la dispozitie informatii despre acestea pe care ar trebui sa le trimiteti angajatilor.

  2. Actualizări de securitate pentru vulnerabilități critice ale Microsoft Exchange Server (versiunile 2013, 2016 și 2019)  Microsoft a lansat în cursul zilei de ieri actualizări critice pentru versiunile de Exchange Server 2010-2019. Acest set de actualizări de securitate suplimentare sunt dedicate următoarelor versiuni de Exchange Server:
  • Exchange Server 2013
  • Exchange Server 2016
  • Exchange Server 2019

Vulnerabilitățile afectează Microsoft Exchange Server, iar Exchange Online nu este afectat. Actualizările de securitate sunt disponibile pentru următoarele versiuni specifice de Exchange:

Microsoft a atras deja atenția pe site asupra faptului că atacatorii au în vizor exploatarea acestor vulnerabilități. În cursul zilei de ieri, compania americană publica informația conform căreia a detectat multiple exploatări folosite pentru a ataca versiunile locale ale Microsoft Exchange Server în atacuri limitate și cu o țintă precisă.

4.Parlamentul României a aprobat proiectul de Lege privind aprobarea Ordonanței de urgență a Guvernului nr.119/2020, act care vizează deblocarea procesului de implementare a prevederilor Directivei NIS în România

Camera Deputaților a Parlamentului României a adoptat și a transmis spre promulgare proiectul de Lege privind aprobarea Ordonanţei de urgenţă a Guvernului nr.119/2020 pentru modificarea şi completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice (PL-x nr. 506/2020).

Principalul obiectiv al acestei inițiative legislative l-a reprezentat deblocarea procesului de implementare a Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice și respectarea obligațiilor ce revin României prin Directiva UE 1148/2016 (Directiva NIS).

Sursa https://cert.ro/citeste/comunicat-OUG-119-2020

  1. CJUE decide condiţiile de acces la datele de comunicare şi localizare a unei persoane

Pe 2 martie 2021, Curtea de Justiţie a Uniunii Europene a stabilit condiţiile în care legislaţia naţională poate permite obţinerea datelor de comunicaţie şi de localizare unor echipamente de comunicare electronică folosite de cineva: procedura trebuie să vizeze o investigaţie penală cu privire la infracţiuni grave sau ameninţări la siguranţa naţională, iar autorizarea de acces la aceste date nu poate fi dată de procuror (Hotărârea în cauza C-746/18 H. K/Prokuratuur).

În Estonia există un caz judiciar cu privire la o persoană condamnată la închisoare pentru furt şi  utilizarea cardului unei alte persoane. În recurs, instanţa naţională a suspendat cauza şi a cerut opinia CJUE cu privire la compatibilitatea dintre normele interne şi legislaţia europeană cu privire la modul în care au fost obţinute datele electronice despre inculpat. Procedura se numeşte întrebare preliminară şi este permisă de art. 267 din Tratatul pentru funcţionarea UE, entitate căreia România îi aparţine din 1 ianuarie 2007. CJUE este singura instituţie europeană care interpretează Tratatul în mod oficial şi cu efect obligatoriu pentru statele membre.

CJUE a decis ieri că dreptul european impune următoarele:

–  datele de transfer sau de localizare cu privire la aspectele de viaţă privată a unei persoane, ce au relevanţă într-un caz penal, trebuie limitat la proceduri care vizează combaterea infracționalității grave sau prevenirea amenințărilor  grave la adresa siguranței publice. Legea trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz;

– Ministerul Public poate autoriza accesul unei autorități publice la datele de transfer și la datele de localizare în scopul desfășurării unei urmăriri penale. Atunci când se solicită accesul la asemenea date este necesar un control prealabil, care să fie efectuat de oganism independent, adică să nu fie implicat în investigaţia penală şi să fie nertu faţă de părţile din dosar.

Sursa https://vedemjust.ro/