125.000 € amendă pentru nerespectarea GDPR din cauza unei breșe de securitate

În urma unei investigații, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)  a aplicat o amendă de 637.262,50 lei (125.000 euro), ca urmare a unor deficiențe grave în protejarea datelor personale.

Ce s-a întâmplat

Investigația a fost declanșată după notificarea unui incident de securitate generat de un atac cibernetic asupra unei aplicații gestionate printr-un furnizor extern.

În urma acestui incident:

  • au fost accesate și divulgate neautorizat datele unui număr foarte mare de persoane

  • au fost compromise date sensibile, precum:

    • cod numeric personal

    • adresă de domiciliu

    • date din cartea de identitate

    • număr permis de conducere

    • adresă de e-mail

    • numere de telefon

    • informații profesionale și identificatori interni

Impactul a fost major atât prin volumul datelor, cât și prin natura acestora.

Ce prevederi GDPR au fost încălcate

Autoritatea a constatat încălcarea unor obligații esențiale:

Art. 32 – Securitatea prelucrării

Nu au fost implementate măsuri tehnice și organizatorice adecvate pentru:

  • asigurarea confidențialității datelor

  • prevenirea accesului neautorizat

  • testarea și evaluarea periodică a sistemelor

  • garantarea securității prelucrării în mod continuu

Art. 28 – Relația cu persoanele împuternicite

Operatorul nu s-a asigurat că furnizorul:

  • oferă garanții suficiente privind securitatea datelor

  • respectă cerințele GDPR

  • implementează măsuri tehnice adecvate

De ce a fost aplicată sancțiunea

Amenda reflectă gravitatea cumulată a situației:

  • număr foarte mare de persoane afectate

  • expunerea unor date cu caracter sensibil

  • lipsa unor măsuri reale de prevenție

  • lipsa unui control eficient asupra furnizorilor

  • risc ridicat pentru drepturile și libertățile persoanelor vizate

Nu doar atacul cibernetic a fost sancționat, ci modul în care acesta a fost posibil.

Cum pot companiile evita astfel de sancțiuni

Pentru a preveni situații similare, organizațiile trebuie să adopte o abordare proactivă:

Implementarea măsurilor de securitate adecvate

  • adaptarea nivelului de securitate la riscurile reale

  • protejarea datelor în funcție de sensibilitate și volum

Testare și evaluare periodică

  • audituri de securitate regulate

  • teste de penetrare

  • monitorizarea continuă a vulnerabilităților

Managementul furnizorilor

  • verificarea furnizorilor înainte de colaborare

  • încheierea de acorduri contractuale clare

  • monitorizarea constantă a conformității acestora

Integrarea principiului „privacy by design”

  • includerea măsurilor de protecție încă din faza de dezvoltare

  • evitarea implementării ulterioare a soluțiilor de securitate

Controlul accesului la date

  • acces limitat doar la personal autorizat

  • implementarea unor mecanisme de autentificare sigură

  • monitorizarea accesului și a activităților

Plan de răspuns la incidente

  • proceduri clare pentru gestionarea incidentelor

  • reacție rapidă pentru limitarea impactului

  • responsabilități bine definite

Trebuie sa se inteleaga de catre top management ca lipsa măsurilor adecvate de securitate atrage sancțiuni semnificative, chiar și atunci când incidentul este generat de un atac extern.

Si nu uitati: protecția datelor cu caracter personal trebuie tratată ca o prioritate operațională și strategică, nu doar ca o obligație formală.

Împărtășește-ți dragostea
Felix
Felix
Articole: 9

Actualizări newsletter

Introdu adresa ta de email mai jos și abonează-te la newsletter-ul nostru

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *