Bulgaria: Cea mai mare amendă GDPR acordată unei autorități publice europene

Cel mai mare furt de date din Balcani s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, fiind totodată cea mai mare amendă primită de o autoritate publică din Uniunea Europeană, pentru neasigurarea protecției corespunzătoare a datelor personale.

Mai mult, aceasta este oficial cea de-a doua amendă ca valoare din UE, după intrarea în vigoare a GDPR-ului. Am folosit termenul „oficial” pentru că cele două amenzi de proporții astronomice pe care ICO le-a propus în urma analizelor breșelor de securitate suferite de Marriott International (110 milioane €) și British Airways (230 milioane €) se vor poziționa în fruntea clasamentului la nivelul Uniunii Europene odată ce ICO va lua o decizie finală asupra valorii sancțiunilor după consultarea celorlalte părți implicate în aceste anchete. 

Sancțiune de 5,1 milioane de leva (aproximativ 2,6 milioane de euro)

Autoritatea bulgară pentru protecția datelor cu caracter personal a publicat un comunicat prin care a anunțat sancțiunea de 5,1 milioane de leva (aproximativ 2,6 milioane de euro) acordată Agenției Naționale a Veniturilor (echivalentul ANAF-ului nostru) pentru încălcarea care a dus la furtul datelor cu caracter personal de aproximativ 4,1 milioane de persoane (contribuabili), un procent considerabil din totalul de 7 milioane de locuitori ai Bulgariei.

În comunicat se arată că amenda a fost acordată pentru încălcarea art. 32, 1 litera (b) din Regulamentul (UE) 2016/679, în vederea unei încălcări a datelor privind accesul neautorizat, divulgarea neautorizată și difuzarea datelor cu caracter personal ale persoanelor fizice din bazele de date a agenției. 

Pe langa amenda, autoritatea bulgară a impus o serie de măsuri ce vor trebui implementate de administrația fiscală bulgară în următoarele 6 luni:

  • îmbunătățirea protecției procesării datelor cu caracter personal în serviciile electronice oferite cetățenilor (aplicații);
  • efectuarea analizei de risc a sistemelor și operațiunilor de procesare, inclusiv a normelor și obligațiilor funcționale stabilite pentru prelucrarea fiecărui sistem informațional;
  • efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem și a măsurilor corespunzătoare care trebuie luate;
  • efectuarea unei evaluări de impact la lansarea inițială a noilor sisteme de informații și aplicații.

Sursa : https://dpo-net.ro/