FARMEC SA amendată de ANSPDCP pentru încălcarea securității datelor
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la operatorul FARMEC SA în decembrie 2024, constatând încălcări ale Regulamentului (UE) 2016/679 (GDPR) privind protecția datelor cu caracter personal. În consecință, FARMEC SA a fost sancționată cu o amendă de 24.854,50 lei, echivalentul a 5000 de euro.
Investigația a fost declanșată în urma unei notificări de încălcare a securității datelor cu caracter personal, transmisă de FARMEC S.A. conform art. 33 din GDPR. În urma unui atac cibernetic, o bază de date conținând informații despre utilizatorii și administratorii site-ului operatorului a fost accesată, datele fiind extrase din sistemul de evidență.
ANSPDCP a constatat că FARMEC SA nu implementase la momentul incidentului măsurile de securitate necesare pentru a preveni atacul cibernetic. Mai mult, sistemele informatice nu fuseseră actualizate la ultima versiune de licențiere, vulnerabilitatea fiind exploatată de atacatori. Această neglijență a dus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr semnificativ de persoane fizice, inclusiv nume, prenume, adrese de e-mail și parole criptate pentru accesul la conturile de utilizator. Prin urmare, au fost încălcate prevederile art. 25 alin. (1) coroborat cu art. 32 alin. (1) lit. b), d) și alin. (2) din GDPR.
FARMEC SA a achitat amenda contravențională. Acest caz subliniază importanța crucială a implementării și menținerii unor măsuri de securitate robuste pentru protecția datelor cu caracter personal, precum și necesitatea actualizării constante a sistemelor informatice pentru a contracara amenințările cibernetice în continuă evoluție. Nerespectarea GDPR poate atrage sancțiuni financiare semnificative și poate afecta negativ reputația companiilor.
V&M Contab&Management SRL amendată de ANSPDCP pentru multiple încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație în decembrie 2024 la V&M Contab&Management SRL, constatând multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR). Operatorul a fost sancționat contravențional cu două amenzi cumulate:
- 9.954,00 lei (2.000 EURO): pentru încălcarea art. 58 alin. (1) lit. a) și e) din GDPR, coroborat cu art. 83 alin. (5) lit. e). Această amendă a fost aplicată pentru că V&M Contab&Management SRL nu a răspuns solicitărilor de informații ale ANSPDCP, deși avea obligația legală de a permite accesul la datele cu caracter personal și la informațiile necesare investigației.
- 39.816,00 lei (8.000 EURO): pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și alin. (2) din GDPR. Această amendă a fost aplicată în urma constatării transmiterii prin WhatsApp către un terț a unui tabel cu parole de acces în platforma Revisal pentru mai multe entități juridice. Prin intermediul acestor parole, terțul putea accesa datele personale ale angajaților sau foștilor angajați ai respectivelor societăți. Incidentul a dus la accesul neautorizat și divulgarea neautorizată a datelor cu caracter personal, incluzând nume, prenume, cetățenie, cod numeric personal și domiciliu. ANSPDCP a constatat că operatorul nu a luat măsuri pentru a se asigura că persoanele care acționează sub autoritatea sa și au acces la datele personale le prelucrează doar la cererea acestuia. Mai mult, operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării, inclusiv confidențialitatea și integritatea sistemelor și serviciilor de prelucrare.
Pe lângă amenzile financiare, ANSPDCP a dispus măsura corectivă de schimbare a tuturor credențialelor de acces în platforma Revisal pentru toate entitățile juridice afectate de incident.
Acest caz evidențiază gravitatea nerespectării prevederilor GDPR și importanța crucială a protecției datelor cu caracter personal. Companiile trebuie să acorde o atenție deosebită solicitărilor ANSPDCP, să implementeze măsuri de securitate adecvate și să se asigure că angajații respectă regulile privind prelucrarea datelor. Utilizarea canalelor de comunicare nesecurizate, cum ar fi WhatsApp, pentru transmiterea de informații sensibile, reprezintă un risc major pentru securitatea datelor.
Unicredit Bank SA amendată de ANSPDCP pentru două încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Unicredit Bank SA cu 74.652 lei (echivalentul a 15.000 de euro) în decembrie 2024, ca urmare a constatării a două încălcări ale prevederilor art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).
Investigația a fost inițiată în urma a două notificări de încălcare a securității datelor cu caracter personal, transmise de către bancă conform RGPD.
Primul incident: a fost cauzat de funcționarea defectuoasă a aplicației prin care se creează numele de utilizator, din cauza lipsei testării prealabile într-un mediu de testare. Aceasta a dus la divulgarea neautorizată a datelor cu caracter personal ale unor clienți, cum ar fi nume, prenume, informații despre contul curent, tranzacții și sold cont, tranzacții și sold card.
Al doilea incident: a survenit în urma implementării unei soluții de comunicare a clienților cu banca, din nou, fără o testare prealabilă adecvată în mediul de test. Consecința a fost divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai Unicredit Bank SA.
ANSPDCP a constatat că Unicredit Bank SA nu a implementat măsuri tehnice și organizatorice adecvate, atât la momentul stabilirii mijloacelor de prelucrare, cât și în cel al reluării acesteia, pentru a aplica eficient principiile de protecție a datelor și a integra garanțiile necesare în cadrul prelucrării. Prin urmare, a fost aplicată amenda pentru încălcarea art. 25 alin. (1) din RGPD.
Pe lângă amendă, ANSPDCP a dispus măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce urmează a fi introduse în activități care includ prelucrări de date cu caracter personal. Acest plan trebuie să analizeze toate funcționalitățile într-un mediu de test care să simuleze scenariul real din mediul de producție.
Unicredit Bank SA a achitat amenda aplicată. Acest caz subliniază importanța testării riguroase a sistemelor și aplicațiilor înainte de implementarea lor, mai ales când acestea implică prelucrarea datelor cu caracter personal. Lipsa unei testări adecvate poate duce la vulnerabilități de securitate și la divulgarea neautorizată a datelor, cu consecințe financiare și reputaționale semnificative.