Salutare,
recent un site care vinde sfaturi despre cum sa fii conform cu GDPR a luat amenda, ca nu a respectat cerintele pentru a fi conform cu GDPR.
Acum, ei zic ca se indreapta catre firma de “IT” pt ca, nu le-au securizat bine site-ul.
voi ce masuri ati luat in sensul asta si cum vi se pare decizia de a se indreptat catre firma de IT, in conditiile in care stim cu totii cam cat platesc ei pt securitate si cata atentie dau clientii acestui aspect?
TL;DR: Firma amendată este una de avocatură. Vina o poartă - aparent - firma care le-a implementat un site. În plus, breșa este, de fapt, un link ce nu putea fi accesat altfel decât direct (un DB dump probabil).
Acum, că acel dump avea un nume foarte „ghicibil” sau că s-a șoptit ceva, undeva, nu avem de unde ști.
Sunt putin confuz de ce a luat amenda. A spus ca fisierul continea doar date B2B. Din cursul pe care l-am urmat chiar de la avocatoo pe GDPR cica acesta nu se aplica companiilor in relatiile intre ele.
Treaba asta cu GDPR se poate transforma rapid intr-o vanatoare de vrajitoare. Daca ma apuc si citesc cateva zile legislatia fac pariu ca descopar ca cel putin 50% din site-uri au ceva ce incalca macar o prevedere obscura. Pe de alta parte furtul de baze de date este intr-adevar destul de grav si poate expune date sensibile.
Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unei sesizări din data de 10.12.2018 prin care se semnala faptul că un set de fișiere cu privire la detaliile tranzacțiilor recepționate de site-ul avocatoo.ro, ce conținea nume, prenume, adresa de corespondență, email, telefon, loc de muncă și detalii tranzacții efectuate, era accesibil public prin intermediul a două link-uri.
Deci nu cred că era cum au spus că erau doar b2b. Plus de asta sunt curios cum a găsit cineva linkul la cele 2 fisiere.
Da, foarte bizar. Amenda si-au luat pt ca au reclamat ei ca i s-a furat baza de date, altfel nu cred ca le-a zis cineva. cel putin asa inteleg eu din articol.
Oricum, din ce vad eu, dupa cum au administrat situatia, au reusit sa intoarca asta in favoarea lor, ceea ce este de apreciat :).
Pot sa va raspund chiar personal - era un fisier de tip dump, care continea date doar B2B si al carui link era cunoscut doar de catre 3 persoane, din care 1 un fost colaborator.
Exista metode sau pot aparea metode prin care poti vedea ca exista acel link ascuns, faptul ca il stiau doar 3 persoane nu inseamna ca era sigur. Din alea 3 persoane poate cineva are copii si copilul da click pe youtube pe un add-on de chrome care iti ia tot history-ul si multe alte date. Chiar multe browsere si sistemul de operare iti pot trimite link-ul la Google/Microsoft etc. pentru telemetrie. Sa nu imi zici nici ca ati scris link-ul ala pe hartie, probabil l-ati share-uit pe skype/facebook. Facebook/Skype probabil cum ai pus link-ul pe messenger a si scanat ce contine site-ul (pentru securitatea ta) si acum datele se afla pe un server din SUA. AI-ul de la facebook va stoca toate datele celor care au colaborat cu tine si le va vinde companiilor de scoring. Daca un client se va muta in SUA si va cere un credit de la banca o sa aiba un rating mai prost fiindca sistemul de rating va depista ca tu il ajutai tocmai legat cu o problema la credit cu o banca. Poate nici macar nu isi mai ia viza fiindca un sistem automat de la NSA il va pune pe lista neagra, poate chiar absurd din motivul ca a colaborat cu cineva care a luat o amenda legata de GDPR.
In cel mai bun caz vine un rus/pakistanez care a facut add-on de chrome si are acces la toate datele precizate mai sus.
Probabil se ascund lucruri din toata povestea pentru ca pana aici eu unul nu gasesc mare sens in ce s-a relatat.
Ba sunt date cu caracter personal, ba nu sunt, ba sunt criptate datele, ba nu sunt, ba nu se stie de fisier, ba stia de fisier adica evident se stia si cum se acceseaza.
Pe urma, desi in continuare sustine ca NU erau date cu caracter personal in acel fisier nu se specifica in niciun fel de vreo contestatie la amenda ci spune ca se indreapta spre firma dezvoltatoare. Ca ce? Ca au lasat un fisier fara date personale, criptat, si de care administratorul siteului, adica cei raspunzatori, stiau?
BTW
Nu vad cum se poate garanta ca o baza de date cu tranzactiile dintre profesionisti contine sau nu date cu caracter personal. Daca fac comanda in numele unei societati dar cu adresa de e-mail, livrare si numar de telefon propriu nu sunt date cu caracter personal? Eu as zice ca sunt.
