Vague d’amendes du RGPD: une entreprise, condamnée à une amende de 10 000 euros après avoir envoyé via WhatsApp Access Mots de passe à Revisal pour plusieurs sociétés / UniCredit, une amende de 15 000 euros

L’autorité de protection des données personnelles a annoncé mardi qu’elle avait une amende de 10 000 Euros V&M Contab & Management SRL, après une enquête terminée en décembre de l’année dernière, qui a révélé la violation du règlement de l’UE sur la protection des données personnelles (RGPD). Il y a un jour, l’autorité a annoncé une amende de 15 000 euros à UniCredit Bank.

Pourquoi la société V&M Contab & Management Srl était-elle une amende

Dans le cas de l’amende de 10 000 euros à V&M Contab & Management Srll’autorité fait valoir que “lors de l’enquête, il a été constaté que l’opérateur a transmis par WhatsApp à une troisième personne un accès des mots de passe de la plate-forme de révision pour plusieurs entités juridiques, à travers lesquelles les données personnelles des employés ou des anciens employés pouvaient être accessibles. à ces entreprises ».

• “Cet incident a conduit à un accès non autorisé et à une divulgation non autorisée de données personnelles (telles que le nom, le prénom, la citoyenneté, le code numérique personnel, le domicile) traité.
• Par conséquent, l’opérateur n’a pas pris de mesures pour s’assurer qu’une personne naturelle agissant sous son autorité et a accès à des données personnelles ne les traite qu’à la demande de l’opérateur.
• Dans le même temps, l’opérateur n’a pas mis en œuvre des mesures techniques et organisationnelles adéquates afin d’assurer un niveau de sécurité correspondant au risque de traitement, y compris la capacité d’assurer la confidentialité et l’intégrité des systèmes et services de traitement.
• Ainsi, les dispositions de l’art. 32 par. (1) lettre. b) et para. (2) et par. (4) du règlement (UE) 2016/679 », montre l’autorité.

L’enquête a été lancée à la suite d’une notification revendiquant une éventuelle violation des dispositions du règlement de l’UE, et au cours de l’enquête, l’opérateur n’a pas répondu aux demandes d’information de l’Autorité nationale de surveillance, bien qu’elle ait eu l’obligation d’autoriser notre institution aux données avec caractère personnel et à toutes les informations nécessaires afin de remplir les tâches juridiques, violant ainsi les dispositions de l’art. 58 par. (1) lettre. a) et e) du règlement (UE) 2016/679.

Dans le même temps, par rapport à l’opérateur, la mesure corrective visant à modifier toutes les informations d’accès de la plate-forme de révision disponibles sur le site pour toutes les entités légales touchées par l’incident a été commandée.

Pourquoi la banque Unicredit a-t-elle été modifiée

Lundi 3 février, ANSPDCP a annoncé l’application d’un Amendes de 15 000 euros à UniCredit Bankégalement à la fin d’une enquête terminée en décembre de l’année dernière.

L’enquête a été lancée à la suite de la transmission par UniCredit Bank de deux notifications pour violer la sécurité des données personnelles en vertu de la RGPD.

Dans le cadre de l’enquête menée, il a été constaté que, dans une première situationla violation de la sécurité du traitement des données s’est produite à la suite du fonctionnement erroné de l’application de l’opérateur à travers lequel le nom d’utilisateur est créé, sans effectuer de test préliminaire dans un environnement de test.

Cette situation a conduit à la divulgation non autorisée des données personnelles traitées de certains clients, telles que: nom, prénom, informations actuelles, transactions de compte, solde de la carte, transactions par carte.

Dans la deuxième situationLa violation de la sécurité du traitement des données s’est produite à la suite de la mise en œuvre par l’opérateur d’une solution de communication client, sans effectuer le test préalable approprié dans l’environnement de test, ce qui a conduit à la divulgation non autorisée des données personnelles (le nom du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire du détenteur du titulaire du titulaire du titulaire du titulaire du titulaire du titulaire carte, numéro de téléphone, date de la transaction, devise, adresse e-mail, montant de la transaction, raison du refus) d’un nombre important de clients de UniCredit Bank SA.

En tant que tel, par rapport aux critères pour individualiser les sanctions fournies par l’art. 83 du RGPD, la sanction a été établie avec une amende pour violer les dispositions de l’art. 25 par. (1) du RGPD, comme l’opérateur n’a pas mis en œuvre, à la fois au moment de l’établissement des moyens de traitement et dans le traitement lui-même, des mesures techniques et organisationnelles appropriées, destinées à mettre en œuvre efficacement les principes de protection des données et à intégrer les garanties nécessaires dans le traitement.

Dans le même temps, il a été ordonné à l’opérateur et à la mesure corrective pour mettre en œuvre techniquement et organisationnelle un plan de test pour tous les composants / applications qui doivent être introduits dans les activités qui incluent le traitement des données personnelles en analysant toutes leurs fonctionnalités en -a Environnement de test, qui simulera le scénario réel dans l’environnement de production.

L’autorité souligne que la banque Unicredit a payé l’amende appliquée.