Operator amendat pentru incalcarea GDPR: acces neautorizat la datele clientilor

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în decembrie 2024, o investigație privind operatorul Omniasig Vienna Insurance Group S.A., constatând încălcarea dispozițiilor art. 32 alin. (4), coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

Ca urmare, operatorul a fost sancționat cu o amendă de 14.931 lei (aproximativ 3.000 euro).

Cum a avut loc incidentul?

Investigația a fost inițiată după ce Omniasig a notificat ANSPDCP despre o breșă de securitate a datelor. Un angajat al unei entități împuternicite de operator a utilizat în mod fraudulos datele unor clienți pentru a încasa sume necuvenite, completând cereri de despăgubire pentru evenimente inexistente.

În urma verificărilor, s-a constatat că angajatul respectiv a accesat neautorizat informații sensibile, inclusiv:

-Nume, prenume, adresa de domiciliu

-Imaginea persoanei, CNP, date din cartea de identitate

-Informații medicale și financiare

Aceste date aparțineau unui număr semnificativ de persoane vizate, iar accesul neautorizat s-a desfășurat pe o perioadă determinată de timp.

Concluziile investigației și măsurile impuse

Autoritatea de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel optim de securitate a datelor. De asemenea, nu a luat măsuri suficiente pentru a garanta că persoanele care au acces la date prelucrează aceste informații exclusiv conform instrucțiunilor primite.

Ca măsură corectivă, ANSPDCP a impus Omniasig implementarea unui plan de inspecții și audituri la nivelul entităților împuternicite, pentru a preveni incidente similare în viitor.

Omniasig a achitat amenda stabilită.