UiPath, producator de software de automatizare, a primit o amenda in valoare de 70.000 de euro de la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pentru divulgarea datelor cu caracter personal a 600.000 de utilizatori ai platformei Academy.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal anunta, intr-un comunicat, ca a finalizat in luna iulie 2023 o investigatie la operatorul Uipath SRL si a constatat incalcarea prevederilor art. 25 si art. 32 din Regulamentul (UE) 679/2016.
In cazul de fata, avand in vedere ca sediul central al UIPATH SRL este in Romania, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competenta sa actioneze in calitate de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL in conformitate cu procedura prevazuta la art. 60 din Regulamentul (UE) 679/2016.
...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<
Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor.
Astfel, Uipath SRL a notificat o incalcare a confidentialitatii datelor cu caracter personal, constand in publicarea datelor cu caracter personal a unui numar semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
In cadrul investigatiei, Autoritatea a constatat ca Uipath SRL nu a pus in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane, incluzand capacitatea de a asigura confidentialitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare, precum si un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
Acest fapt a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal (nume si prenume utilizator, identificatorul unic al fiecarui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy apartinand operatorului UiPath, pentru o perioada de aproximativ 10 zile.
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a considerat ca aceasta incalcare a prelucrarii datelor cu caracter personal este de natura a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidentialitatii datelor cu caracter personal.
Autoritatea Nationala de Supraveghere a apreciat ca circumstantele cazului mentionat mai sus prezinta un grad de gravitate care impune aplicarea unei sanctiuni cu amenda impotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevazute la articolul 83 aliniatul (2) si (3) din RGDP, in special cele referitoare la:
- natura, gravitatea si durata incalcarii – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setarile tehnice ale spatiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat in publicarea datelor cu caracter personal pe un website tert, informatie adusa la cunostinta operatorului de o terta persoana;
- caracterul neglijent al vinovatiei operatorului in acest caz;
- masurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigatiei intreprinse de ANSPDCP;
- gradul de cooperare cu autoritatea de supraveghere;
- categoriile de date cu caracter personal prelucrate (nume si prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecarui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY) .
...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<
In urma investigatiei efectuate, Autoritatea Nationala de Supraveghere a informat celelalte autoritati de supraveghere implicate, in cadrul unei proceduri de consultare informala, bazata pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigatiile efectuate in acest caz cu impact transfrontalier si masurile propuse.
Avand in vedere faptul ca Uipath SRL a efectuat o prelucrare transfrontaliera, s-au aplicat dispozitiile art. 60 din Regulamentul (UE) 679/2016, precum si cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicata, care prevad aplicarea sanctiunilor/masurilor corective prin decizie a presedintelui ANSPDCP, care are la baza procesul-verbal de constatare si raportul de control.
Ca atare, Uipath SRL a fost sanctionat contraventional cu amenda in cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO.
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, Autoritatea de supraveghere a dispus fata de operator masura corectiva de a implementa un mecanism procedurat si aplicat la intervale regulate de timp, privind testarea, evaluarea si aprecierea periodica a eficacitatii masurilor adoptate, tinand cont de riscul prezentat de prelucrare, in vederea asigurarii unui nivel de securitate corespunzator si evitarii pe viitor a unor incidente de securitate similare.
Reprezentantii UiPath au anuntat ca au decis sa conteste amenda si vor astepta decizia finala care va fi emisa de catre instantele competente.