Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) spune într-un comunicat că a finalizat în luna iunie o investigație la S.C. Delivery Solutions S.A. (Sameday) în urma căreia a constatat încălcarea dispozițiilor art. 29, art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor.

S.C. Delivery Solutions S.A. (Sameday) a fost sancționată contravențional cu amendă în cuantum de  14,825.70 lei (echivalentul a 3.000 EURO).

Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică care a semnalat faptul că baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vânzare pe internet.

În cadrul investigației efectuate ”s-a reținut faptul că S.C. Delivery Solutions S.A. (Sameday) este persoana împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, fiind obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, așa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv împotriva divulgării și/sau accesului neautorizat la date”, se spune în documentul emis de ANSPDCP.

De asemenea, s-a constatat că date cu caracter personal aparținând unui număr de 26.566 persoane fizice vizate (număr și dată AWB – documentul de transport ce însoțește obligatoriu expedierea oricărui colet, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare) erau disponibile spre vânzare pe forumul RaidForums și puteau fi accesate.

Ca atare, ANSPDCP a decis ca S.C. Delivery Solutions S.A. să fie sancționată cu amendă întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26.566 persoane fizice vizate.

UPDATE: După publicarea materialului de mai sus, compania Sameday a transmis pe adresa de e-mai a redacției o reacție pe care o publicăm aici:

Informarea de presă emisă de ANSPDCP, din data de 11 iulie 2022, este despre un incident care a avut loc în anul 2020, despre care compania și-a exprimat punctul de vedere și la momentul respectiv. În data de 7 aprilie 2020, Sameday a luat la cunoștință o situație neprevăzută, neautorizată și ilegală, care a compromis confidențialitata anumitor date cu caracter personal.

·        Pe website-ul https://raidforums.com/Thread-SELLING-=%C3%A6-SAMEDAY-RO-Romanian-Postal-Service a apărut un jurnal de trimiteri care conținea date cu caracter personal (număr și dată AWB, indicative de curieri, nume expeditor, nume destinatar, adresă, număr de telefon, status livrare, tipul serviciului, greutate colet, suma de încasat, interval de livrare) a 26.566 persoane fizice vizate. Niciun alt fel de date importante nu au fost expuse.

·        Website-ul radiforums.com a fost închis de către autoritățile competente: Biroul Federal de Investigații din Statele Unite ale Americii și Departamentul de Justiție al Satelor Unite ale Americii, alături de Serviciile Secrete ale SUA, Europol, Agenția Națională de Combatere a Criminalității a Marii Britanii, Poliția Română, Poliția Suedeză și alte autorități partenere.

·        După incidentul din 2020, Sameday a implementat o serie de măsuri suplimentare de siguranță și confidențialitate a datelor referitoare la fiecare expediție privind infrastructura și rețelele de comunicații, precum și modificări care au implicat sistemul compromis.

Sameday a tratat incidentul cu responsabilitate și, împreună cu autoritățile competente, a luat toate măsurile tehnice și organizatorice necesare pentru a restabili un nivel de securitate corespunzător riscului prelucrării generat, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu carcater personal stocate sau prelucrate într-un alt mod, care a condus la pierderea confidențialității datelor cu caracter personal.

Compania a desfășurat „evaluarea cantitativă și calitativă privind riscurile asupra drepturilor și libertăților persoanelor vizate”, aplicând recomandările de metodologie a evaluării gravității breșelor de securitate emise de Agenția Uniunii Europene pentru Securitatea Rețelelor și Informațiilor (ENISA), în urma căreia breșa de securitate a fost încadrată ca având un nivel de „gravitate mică”, ceea ce înseamnă că persoanele fizice nu au fost afectate.

După incident, Sameday a implementat o serie de măsuri privind infrastructura și rețelele de comunicații – review al drepturilor de acces, al regulilor de firewall aferente infrastructurii aplicației, la nivel de OS și softuri folosite, implementarea unui sistem de lucru IAC (Infrastructure As a Code), configurarea de sisteme de notificare automată la intervenția pe zonele de infrastructură considerate sensibile, înlocuirea sistemului de acces cu unul bazat pe o soluție de Active Directory oferită de Microsoft Azure, redesign al infrastructurii de producție, inventarierea și închiderea de aplicații legacy, unificarea endpointurilor publice și schimbarea furnizorului de auditare de securitate. 

Referitor la modificările care implică sistemul compromis, Sameday a dezactivat seviciul Application Gateaway care a fost identificat ca entry point-ul vulnerabil. A fost înlocuit complet sistemul de comunicare cu unul care să permită doar acces de scriere aplicației instalate pe lockere, iar întreaga comunicare cu device-urile fizice a fost mutată pe un VPN oferit de Vodafone, cu limitarea accesului la sistemele cloud doar din acest VPN.

De asemenea, în semnătură veți găsi datele mele de contact (atât număr de telefon, cât și adresa de mail) și mă puteți contacta ori de câte ori apare o știre care implică acest client. Vă asigurăm de faptul că aveți deschiderea noastră atunci când aveți nevoie de un punct de vedere din partea Sameday.   

_____________________________________________________________________

Citește și: Se preconizează schimbări privind solicitarea de DATE PERSONALE

De fapt, este intrare într-o normalitate care ar fi trebui să existe de mai multă vreme în România. Dar cum se spune, mai bine mai târziu decât niciodată. 

Instituțiile publice vor solicita și prelucra mai puține date personale. Asta numai în cazul în care propunerea legislativă elaborată în acest sens va reuși să parcurgă întreg parcursul legislativ și, după ce va trece de Senat, unde a fost depusă spre dezbatere și aprobare, va primi și vot favorabil din partea deputaților. 

În acest fel, regula minimizării prelucrării datelor personale, stabilită de Regulamentul general privind protecția datelor (GDPR), va fi aplicată și de către instituțiile publice.

Documentul în discuție stabilește, de altfel, o listă clară datelor personale care se pot solicita, mai scurtă decât cea existentă în prezent.

Mai exact, proiectul prevede că “se interzice instituțiilor publice și organelor de specialitate ale administrației publice locale și centrale să solicite” alte date de identificare decât:

- nume și prenume, CNP, tipul, seria și numărul actului de identitate - în cazul persoanelor fizice;

- date referitoare la denumire, forma de organizare, CUI și adresa sediului social - în cazul persoanelor juridice.

Potrivit inițiatorilor măsurii, în prezent, de multe ori, persoanelor fizice li se cer date precum data nașterii, deși reiese din CNP, domiciliul, instituția emitentă a actului de identitate sau data emiterii lui, informații care fie sunt irelevante, fie sunt deja cunoscute de autorități.

În aceste condiții, o persoană în vârstă, de exemplu, trebuie să piardă mult timp completând o simplă cerere către autorități, iar funcționarii alocă, de asemenea, mult timp, introducerii în sistemul informatic a acestor date neimportante sau deja existente, scrie Avocatnet.

Apoi, după cum apare în nota de fundamentare a proiectului, “prin eliminarea cerințelor inutile, printre care și domiciliul persoanei, se asigură și o mai bună respectare a datelor cu caracter personal, având în vedere că accesul la anumite documente ce conțin astfel de date nu este întotdeauna securizat”.

  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.