UiPath, amenda 70.000 euro pentru o bresa MAJORA de securitate
UiPath, producator de software de automatizare, a primit o amenda in valoare de 70.000 de euro de la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pentru divulgarea datelor cu caracter personal a 600.000 de utilizatori ai platformei Academy.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal anunta, intr-un comunicat, ca a finalizat in luna iulie 2023 o investigatie la operatorul Uipath SRL si a constatat incalcarea prevederilor art. 25 si art. 32 din Regulamentul (UE) 679/2016.
In cazul de fata, avand in vedere ca sediul central al UIPATH SRL este in Romania, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competenta sa actioneze in calitate de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL in conformitate cu procedura prevazuta la art. 60 din Regulamentul (UE) 679/2016.
Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor.
Astfel, Uipath SRL a notificat o incalcare a confidentialitatii datelor cu caracter personal, constand in publicarea datelor cu caracter personal a unui numar semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
In cadrul investigatiei, Autoritatea a constatat ca Uipath SRL nu a pus in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane, incluzand capacitatea de a asigura confidentialitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare, precum si un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Acest fapt a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal (nume si prenume utilizator, identificatorul unic al fiecarui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy apartinand operatorului UiPath, pentru o perioada de aproximativ 10 zile.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a considerat ca aceasta incalcare a prelucrarii datelor cu caracter personal este de natura a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidentialitatii datelor cu caracter personal.
Autoritatea Nationala de Supraveghere a apreciat ca circumstantele cazului mentionat mai sus prezinta un grad de gravitate care impune aplicarea unei sanctiuni cu amenda impotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevazute la articolul 83 aliniatul (2) si (3) din RGDP, in special cele referitoare la:
In urma investigatiei efectuate, Autoritatea Nationala de Supraveghere a informat celelalte autoritati de supraveghere implicate, in cadrul unei proceduri de consultare informala, bazata pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigatiile efectuate in acest caz cu impact transfrontalier si masurile propuse.
Avand in vedere faptul ca Uipath SRL a efectuat o prelucrare transfrontaliera, s-au aplicat dispozitiile art. 60 din Regulamentul (UE) 679/2016, precum si cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicata, care prevad aplicarea sanctiunilor/masurilor corective prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare si raportul de control.
Ca atare, Uipath SRL a fost sanctionat contraventional cu amenda in cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO.
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus fata de operator masura corectiva de a implementa un mecanism procedurat si aplicat la intervale regulate de timp, privind testarea, evaluarea si aprecierea periodica a eficacitatii masurilor adoptate, tinand cont de riscul prezentat de prelucrare, in vederea asigurarii unui nivel de securitate corespunzator si evitarii pe viitor a unor incidente de securitate similare.
Reprezentantii UiPath au anuntat ca au decis sa conteste amenda si vor astepta decizia finala care va fi emisa de catre instantele competente.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal anunta, intr-un comunicat, ca a finalizat in luna iulie 2023 o investigatie la operatorul Uipath SRL si a constatat incalcarea prevederilor art. 25 si art. 32 din Regulamentul (UE) 679/2016.
In cazul de fata, avand in vedere ca sediul central al UIPATH SRL este in Romania, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competenta sa actioneze in calitate de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL in conformitate cu procedura prevazuta la art. 60 din Regulamentul (UE) 679/2016.
Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor.
Astfel, Uipath SRL a notificat o incalcare a confidentialitatii datelor cu caracter personal, constand in publicarea datelor cu caracter personal a unui numar semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
In cadrul investigatiei, Autoritatea a constatat ca Uipath SRL nu a pus in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane, incluzand capacitatea de a asigura confidentialitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare, precum si un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Acest fapt a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal (nume si prenume utilizator, identificatorul unic al fiecarui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy apartinand operatorului UiPath, pentru o perioada de aproximativ 10 zile.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a considerat ca aceasta incalcare a prelucrarii datelor cu caracter personal este de natura a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidentialitatii datelor cu caracter personal.
Autoritatea Nationala de Supraveghere a apreciat ca circumstantele cazului mentionat mai sus prezinta un grad de gravitate care impune aplicarea unei sanctiuni cu amenda impotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevazute la articolul 83 aliniatul (2) si (3) din RGDP, in special cele referitoare la:
- natura, gravitatea si durata incalcarii afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setarile tehnice ale spatiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat in publicarea datelor cu caracter personal pe un website tert, informatie adusa la cunostinta operatorului de o terta persoana;
- caracterul neglijent al vinovatiei operatorului in acest caz;
- masurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigatiei intreprinse de ANSPDCP;
- gradul de cooperare cu autoritatea de supraveghere;
- categoriile de date cu caracter personal prelucrate (nume si prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecarui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY) .
In urma investigatiei efectuate, Autoritatea Nationala de Supraveghere a informat celelalte autoritati de supraveghere implicate, in cadrul unei proceduri de consultare informala, bazata pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigatiile efectuate in acest caz cu impact transfrontalier si masurile propuse.
Avand in vedere faptul ca Uipath SRL a efectuat o prelucrare transfrontaliera, s-au aplicat dispozitiile art. 60 din Regulamentul (UE) 679/2016, precum si cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicata, care prevad aplicarea sanctiunilor/masurilor corective prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare si raportul de control.
Ca atare, Uipath SRL a fost sanctionat contraventional cu amenda in cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO.
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus fata de operator masura corectiva de a implementa un mecanism procedurat si aplicat la intervale regulate de timp, privind testarea, evaluarea si aprecierea periodica a eficacitatii masurilor adoptate, tinand cont de riscul prezentat de prelucrare, in vederea asigurarii unui nivel de securitate corespunzator si evitarii pe viitor a unor incidente de securitate similare.
Reprezentantii UiPath au anuntat ca au decis sa conteste amenda si vor astepta decizia finala care va fi emisa de catre instantele competente.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Entitati amendate
15Dec2023
IFN amendat GDPR dupa ce a ignorat un incident de securitate. Sanctiuni in cuantum de 24.000 EURO
de Colectivul de Specialisti Rentrop&Straton
15 Dec 2023
20Nov2023
Rompetrol, amenda GDPR de 110.000 de euro - datele unor clienti, folosite pentru obtinerea de credite de la IFN-uri
de Colectivul de Specialisti Rentrop&Straton
20 Nov 2023
01Nov2023
Asociatie de proprietari, sanctionata pentru afisarea listei de intretinere
de Colectivul de Specialisti Rentrop&Straton
01 Nov 2023
10Sep2023
Medic amendat pentru filmarea unei paciente si postarea clipului pe retele de socializare
de Colectivul de Specialisti Rentrop&Straton
10 Sep 2023
27Sep2023
Furnizor de energie electrica si gaze - Amenda GDPR in cuantum de peste 30.000 euro
de Colectivul de Specialisti Rentrop&Straton
27 Sep 2023
30Aug2023
Amenda GDPR de 10.000 EURO pentru o postare pe social media
de Colectivul de Specialisti Rentrop&Straton
30 Aug 2023
Un produs marca