Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.Astfel, Uipath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Uipath SRL nu ar fi pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Acest fapt ar fi condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură a aduce persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidențialității datelor cu caracter personal.Autoritatea a apreciat că circumstanțele cazului prezintă un grad de gravitate care impune aplicarea unei sancțiuni cu amendă împotriva operatorului. Cazul a fost analizat din punctul de vedere al criteriilor de individualizare a amenzilor prevăzute la articolul 83 aliniatul (2) și (3) din RGDP, în special cele referitoare la:
natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
caracterul neglijent al vinovăției operatorului în acest caz;
măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
gradul de cooperare cu autoritatea de supraveghere;
categoriile de date cu caracter personal prelucrate (nume și prenume utilizator asociat contului Platformei Academy, numele de utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY).
În urma investigației efectuate, Autoritatea Națională de Supraveghere a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.
Uipath SRL a fost sancționat contravențional cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 euro.În același timp, Autoritatea de supraveghere a dispus față de operator măsura corectivă de a implementa un mecanism procedurat și aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.
304