GDPR în România: UiPath, amendă de 70.000 EUR pentru divulgarea datelor personale a 600.000 de utilizatori

UiPath a primit o amendă în valoare de 70.000 EUR de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru divulgarea datelor cu caracter personal a 600.000 de utilizatori ai platformei Academy. 

În iulie 2023, ANSPDCP a finalizat o investigație la „operatorul UiPath SRL și a constatat încălcarea prevederilor art. 25 și art. 32 din Regulamentul (UE) 679/2016. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor”, se arată pe site-ul Autorității.

Potrivit sursei citate, UiPath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal „a unui număr semnificativ de utilizatori ai platformei Academy pe un website accesibil la o adresa URL”. 

În cadrul investigației, „Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Uipath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane,  incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării”, conform ANSPDCP. 

Acest lucru a dus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.

Ce mai arată Autoritatea Nașională de Supraveghere a Prelucrării Datelor cu Caracter Personal:

În cazul de față, având în vedere că sediul central al UiPath SRL este în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a avut rolul de autoritate de supraveghere a sediului principal al operatorului, competentă să acționeze în calitate de autoritate principală pentru prelucrarea transfrontalieră efectuată de UiPath SRL în conformitate cu procedura prevăzută la art. 60 din Regulamentul (UE) 679/2016.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidenţialității datelor cu caracter personal.

Autoritatea Națională de Supraveghere a apreciat că circumstanțele cazului menționat mai sus prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevăzute la articolul 83 aliniatul (2) și (3) din RGDP, în special cele referitoare la:

• natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
• caracterul neglijent al vinovăției operatorului în acest caz;
• măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
• gradul de cooperare cu autoritatea de supraveghere;
• categoriile de date cu caracter personal prelucrate (nume și prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) .

În urma investigației efectuate, Autoritatea Naţională de Supraveghere a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.

Având în vedere faptul că Uipath SRL a efectuat o prelucrare transfrontalieră, s-au aplicat dispozițiile art. 60 din Regulamentul (UE) 679/2016, precum și cele ale art. 16 alin. (3), (5), (6), (7) din Legea nr. 102/2005, republicată, care prevăd aplicarea sancțiunilor/măsurilor corective prin decizie a președintelui ANSPDCP, care are la bază procesul-verbal de constatare şi raportul de control.

Ca atare, Uipath SRL a fost sancționat contravențional cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EUR.

Ce venituri a avut UiPath România în 2022

Recent au apărut la Ministerul Finanțelor rezultatele oficiale pe anul 2022 ale UiPath SRL, firmă înregistrată în anul 2015, în București, subsidiară a companiei UiPath Inc. listate pe Bursa de la New York.

UiPath SRL din București a încheiat anul 2022 cu un număr mediu de 1.035 de salariați, cu 106 mai mulți decât avusese în anul 2021 (creștere de personal de peste 11%).

În anul 2022, UiPath Inc., cu sediul central la New York, a decis 2 rânduri de disponibilizări de personal la nivel global: în iunie 2022 a concediat 210 oameni (5% din personalul global), iar în octombrie a mai anunțat concedierea a 240 de persoane (6% din personal). De menționat că în 2022 UiPath a anunțat relocarea angajaților săi din Ucraina (unde avea 30 de oameni, într-un birou, la Liov), ca urmare a începerii războiului Rusiei asupra acestei țări. De asemenea, compania de RPA și-a încetat operațiunile pe care le avea în Rusia.

Firma din România, UiPath SRL, a avut venituri de 3,21 miliarde de lei în anul 2022, în creștere cu aproape 80% față de 2021.

SRL-ul din București a avut însă cheltuieli de 3,46 miliarde de lei, rezultând pierderi de  aproape 250 de milioane de lei în anul 2022.  Pierderile UiPath SRL s-au diminuat totuși cu 30% față de anul 2021.

Dacă ne uităm la veniturile totale, subsidiara bucureșteană a avut încasări aproape cât tot business-ul global al UiPath. În anul fiscal care s-a încheiat la 31 ianuarie 2023, UiPath Inc. a raportat venituri totale de 1,058 miliarde de dolari, adică 4,8 miliarde de lei.