La Avrig GDPR-ul e facultativ

Nu stiu cum sta treaba la voi, insa prin bula mea mai toata saptamana s-a discutat despre GDPR.

Nu stiti ce-i GDPR? Ei bine va lamuresc eu. GDPR reprezinta un regulament general de protectie a datelor care a intrat in vigoare la nivel de UE in mai 2016 si care urma sa fie adoptat si implementat de toate statele membre ale uniunii cat si de firmele, persoanele fizice si institutiile din afara UE care ofera vreun fel de servicii cetatenilor din UE.

Legi in ceea ce priveste datele personale si autoritati competente in domeniu avea fiecare tara, insa era nevoie de o legislatie care sa unifice prevederile din toate statele membre si sa se aplice si pe internet fara niciun fel de exceptie. De asemenea era nevoie si de o autoritate transfrontaliera in domeniu pentru a interveni acolo unde exista limite de jurisdictie si a evita astfel abuzurile pe care ar putea sa le comita diverse autoritati locale.

Conform protocoalelor existente la nivel de UE, noua normativa a intrat in vigoare in toate statele membre, indiferent daca si-au revizuit legislatia locala sau nu, dupa doi ani de la publicare, adica azi, iar de azi orice persoana fizica ce gestioneaza date personale, prin intermediul unui site de exemplu, orice persoana juridica (firma sau institutie) care gestioneaza date personale, indiferent in ce mod o face e obligata sa respecte GDPR-ul. In caz contrar, amenda maxima fiind de 20 milioane de euro sau 4% din cifra de afaceri (care dintre ele e mai mare in momentul sanctionarii).

Asa ca de curiozitate m-am uitat sa vad daca Primaria Avrig respecta sau nu GDPR-ul la ei pe site.

Nici vorba de GDPR sau de politici de confidentialitate si cookies, asta desi Cookie Law intrase in vigoare in urma cu doi ani si a cam ramas obligatorie.

Pe langa fatpul ca aparent stocheaza 21 de cookies, site-ul Primariei Avrig nici macar nu cripteaza comunicarea intre browser si site folosind un certificat SSL, iar datele transmise pot sa fie expuse foarte usor:

Si mai ciudat e faptul ca firma care gazduieste site-ul Primariei Avrig a generat un certificat de securitate care sa cripteze informatia transmisa si l-a configurat cat se poate de bine, insa nimeni nu s-a sinchisit aparent sa-l implementeze si pe site:

Probabil va intrebati ce date anume colecteaza Primari Avrig pe site incat sa fie nevoita sa respecte GDPR-ul. Ei bine, adresa de IP a vizitatorului care volens nolens se inregistreaza in log-urile de pe server pentru diverse scopuri statistice sau de audit si protectie impotriva atacurilor informatice e considerata ca facand parte din categoria datelor personale. Aceeasi adresa de IP e furnizata de catre Primaria Avrig, pe langa alte informatii tehnice (care nu reprezinta date personale) si celor de la Google printr-un cookie de monitorizare a traficului.

Apoi, numele si adresa de email pe care le colecteaza Primaria Avrig printr-un formular aflat in subsolul paginii reprezinta de asemenea date personale, mult mai importante decat adresa de IP:

Nici in acest caz nu exista vreun fel de clarificare in ceea ce priveste modul in care sunt colectate, procesate si stocate datele respective sau ce face Primaria Avrig mai exact cu ele.

Dar stati asa ca problemele nu se opresc aici pentru ca Primaria Avrig a facut in urma cu ceva vreme un chestionar de satisfactie pentru cetateni, chestionar care e gazduite pe o platforma gestionata de catre terti (Google) si care la randul lui colecteaza alte date personale (pe langa cele amintite mai devreme) precum adresa si numarul de telefon:

Nu exista nicaieri vreo informare pe site-ul Primariei Avrig privind modul in care sunt colectate aceste date, felul in care sunt ele securizate si stocate si mai ales in ceea ce priveste accesul pe care l-ar putea avea tertii care gestioneaza platforma respectiva la datele avrigenilor.

Desigur, astfel de aspecte puteau sa fie evitate prin implementarea unui astfel de formular, securizat, pe site-ul propriu, insa la Avrig tehnologia asta n-a ajuns inca. Sau poate c-a ajuns, dar n-au mai ramas bani (s-au dus pe comisioane si parandarat?) ca sa fie implementat.

Astea fiind zise, in momentul de fata oricine intra pe site-ul Primariei Avrig are dreptul sa faca o sesizare in acest sens la anspdcp@dataprotection.ro pentru ca aceasta institutie nu respecta GDPR-ul si nu informeaza vizitatorii site-ului la modul transparent in ceea ce priveste datele pe care le colecteaza, cum le gestioneaza si mai ales cat de securizate sunt aceste date.

Evident, Primaria Avrig ar putea sa incerce sa eschiveze responsabilitatea in acest sens si sa spuna ca nu detin site-ul respectiv, numai ca datele din whois-ul domeniului (date publice conform GDPR in cazul firmelor si al institutiilor) confirma faptul ca domeniul e inregistrat pe institutie, deci gestionat de aceasta:

In mod surprinzator, cel putin pentru mine, adresa de email pe care e inregistrat domeniul, si care confera control total asupra domeniului, apartine unei persoane fizice si nu institutiei. Oare de ce?

In definitiv la ce ne-am putea astepta de la unii care ne-au facut publice CNP-urile in urma cu ceva vreme, incalcand o lege locala care era in vigoare pana ieri cand a fost inlocuita de GDPR?

(Vizualizat de 96 ori, 1 vizite azi)
Postarea de comentarii pe acest site reprezinta acceptul dumneavoastra in ceea ce priveste stocarea si procesarea datelor furnizate prin formularul disponibil in acest sens, in conformitate cu politica noastra de confidentialitate.

Leave a Reply

Your email address will not be published. Required fields are marked *


Acest blog folosește cookie-uri pentru realizarea de statistici in ceea ce priveste vizitatorii, comentarii mai rapide, reclame personalizate și alte efecte vizuale. Nu se colecteaza alte date personale in afara de cele necesare pentru buna functionare a acestui site. Pentru a putea utiliza intreaga functionalitate a acestui site e recomandat sa acceptati utilizarea cookie-urilor.

Sunteti de acord? Da | Nu | Informatii suplimentare