Amendă administrativă în valoare de 70.000 de euro aplicată de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România companiei UiPath SRL pentru încălcarea prevederilor art. 25 și art. 32 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare 70.000 de euro aplicată de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România companiei UiPath SRL pentru încălcarea prevederilor art. 25 și art. 32 din Regulamentului General privind Protecția Datelor (GDPR).
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul GDPR-ului.
Astfel, UiPath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
În cadrul investigației, ANSPDCP a constatat că UiPath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continuă ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodică ale eficacității măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Acest fapt a condus la divulgarea și accesul neautorizat la datele cu caracter personal (numele și prenumele utilizatorului, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.
ANSPDCP a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură să aducă persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidențialității datelor cu caracter personal.
În urma investigației efectuate, ANSPDCP a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.
Având în vedere faptul că UiPath SRL a efectuat o prelucrare transfrontalieră, s-au aplicat dispozițiile art. 60 din Regulamentul (UE) 679/2016, precum și cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicată, care prevăd aplicarea sancțiunilor/măsurilor corective prin decizie a președintelui ANSPDCP, care are la bază procesul-verbal de constatare şi raportul de control.
În acest context, UiPath SRL a fost sancționat contravențional cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 de euro.
În același timp, în temeiul art. 58 alin. (2) lit. d) din GDPR, ANSPDCP a dispus față de operator măsura corectivă de a implementa un mecanism aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.