Home » Comunicat_Presa_21_08_2023
 Română | English | Francais

21.08.2023

Sancțiune – prelucrare transfrontalieră

 

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal  a finalizat, în luna iulie a anului curent, o investigație la operatorul Uipath SRL și a constatat încălcarea prevederilor art. 25 și art. 32 din Regulamentul (UE) 679/2016.

În cazul de față, având în vedere că sediul central al UIPATH SRL este în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competentă să acționeze în calitate de autoritate principală pentru prelucrarea transfrontalieră efectuată de UiPath SRL în conformitate cu procedura prevăzută la art. 60 din Regulamentul (UE) 679/2016.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.

Astfel, Uipath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.

În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Uipath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane,  incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

Acest fapt a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidenţialității datelor cu caracter personal.

Autoritatea Națională de Supraveghere a apreciat că circumstanțele cazului menționat mai sus prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevăzute la articolul 83 aliniatul (2) și (3) din RGDP, în special cele referitoare la:

  • natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
  • caracterul neglijent al vinovăției operatorului în acest caz;
  • măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
  • gradul de cooperare cu autoritatea de supraveghere;
  • categoriile de date cu caracter personal prelucrate (nume și prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) .

În urma investigației efectuate, Autoritatea Naţională de Supraveghere a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.

Având în vedere faptul că Uipath SRL a efectuat o prelucrare transfrontalieră, s-au aplicat dispozițiile art. 60 din Regulamentul (UE) 679/2016, precum și cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicată, care prevăd aplicarea sancțiunilor/măsurilor corective prin decizie a președintelui ANSPDCP, care are la bază procesul-verbal de constatare şi raportul de control.

Ca atare, Uipath SRL a fost sancționat contravențional cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO.

În același timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus față de operator măsura corectivă de a implementa un mecanism procedurat și aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică  a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.

 

Direcția juridică și comunicare

A.N.S.P.D.C.P.