NN Pensii si NN Asigurari de Viata, amendate GDPR pentru nereguli dupa actualizarile aplicatiei NN Direct

Autoritatea Nationala de Supraveghere a anuntat ca a finalizat in luna aprilie 2023 doua investigatii la operatori din domeniul asigurarilor.

Investigatiile au fost demarate ca urmare a unor notificari de incalcare a securitatii datelor care au fost transmise de NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. si NN Asigurari de Viata S.A.

Ca atare, s-a constatat ca:

1. Operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. a incalcat dispozitiile art. 32 alin. (1) lit. b) si d) si art. 32 alin. (2) din Regulamentul (UE) 2016/679 si a fost sanctionat contraventional cu amenda in cuantum de 7.407,00 lei (echivalentul a 1500 euro).

2. Operatorul NN Asigurari de Viata S.A. a incalcat dispozitiile art. 32 alin. (1) lit. b) si d) si art. 32 alin. (2) din Regulamentul (UE) 2016/679 si fost sanctionat contraventional cu amenda in cuantum de 4.938,00 lei (echivalentul a 1000 euro).

Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidul GDPR de AICI ...click pentru detalii si comenzi<<

1. In cadrul investigatiei efectuate la operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. s-a constatat ca acesta a efectuat o serie de modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de a pastra paginile web in memoria acesteia. Ca atare, aceasta situatie a determinat vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei operatorului, a datelor personale care nu le apartineau.

Din verificarile efectuate, a rezultat ca aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondenta, adresa de e-mail si numarul de telefon) fiind afectate de incident 2 persoane vizate. De asemenea, a reiesit faptul ca, anterior punerii la dispozitia publicului a aplicatiei NN Direct, modificarile de configuratie specifice echipamentului care asigura memoria temporara a paginilor web ale acesteia nu au fost supuse unui proces de testare la nivelul operatorului.

Autoritatea Nationala de Supraveghere a constatat ca operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, incluzand capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea  si rezistenta continue ale sistemelor si serviciilor de prelucrare si un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

In acelasi timp, s-a dispus fata de operator si masura corectiva de a implementa un mecanism de testare procedurat si promovat la intervale regulate de timp prin care sa fie efectuate teste privind configuratiile posibile ale aplicatiilor active si disponibile clientilor NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A., respectiv documentarea rezultatelor prin aplicarea unor masuri de remediere in sensul evitarii unor incidente de securitate similare.

2. In cadrul unei investigatii la operatorul NN Asigurari de Viata S.A. s-a constatat ca acesta a executat o serie de modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de pastrare a paginilor web in memoria acesteia. Prin urmare, a fost posibila vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei operatorului, a datelor personale care nu le apartineau.

Ca urmare a verificarilor din cadrul investigatiei, a rezultat ca aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondenta, adresa de e-mail si numarul de telefon). Totodata, a reiesit faptul ca, anterior punerii la dispozitia publicului a aplicatiei NN Direct, modificarile acesteia nu au fost supuse unui proces de testare de catre operator.

Autoritatea Nationala de Supraveghere a constatat ca operatorul NN Asigurari de Viata S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, incluzand capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea  si rezistenta continue ale sistemelor si serviciilor de prelucrare si un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

In acelasi timp, s-a dispus fata de operator si masura corectiva de a implementa un mecanism de testare procedurat si promovat la intervale regulate de timp, prin care sa fie efectuate teste privind configuratiile posibile ale aplicatiilor active si disponibile clientilor NN Asigurari de Viata S.A., respectiv documentarea rezultatelor prin aplicarea unor masuri de remediere in sensul evitarii unor incidente de securitate similare.