Consultanta

Firma de facturare online amendata cu 20.000 euro pentru incaolcarea GDPR in urma unui atac cibernetic

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat WEBRASOFT SRL cu o amendă de 99.518 lei (20.000 EUR), în urma unei investigații finalizate în ianuarie 2025. Operatorul a fost găsit vinovat de încălcarea art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

Cauza sancțiunii: acces neautorizat la datele clienților

Investigația a fost demarată în urma unei notificări privind o breșă de securitate, conform art. 33 din GDPR. S-a constatat că site-ul de facturare online deținut de WEBRASOFT SRL a fost ținta unui atac informatic, iar hackerii au accesat ilegal serverul pe care era stocată baza de date a clienților.

Ce date personale au fost compromise?

🔹 Nume și prenume
🔹 Cod numeric personal (CNP)
🔹 Adresă de domiciliu
🔹 Număr de telefon
🔹 Adresă de e-mail
🔹 Număr de cont bancar

Concluziile autorității

În urma investigației, s-a constatat că WEBRASOFT SRL nu a implementat măsuri adecvate pentru protecția datelor personale. Operatorul nu a realizat testarea, evaluarea și actualizarea periodică a măsurilor tehnice și organizatorice, necesare pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor.

Această lipsă de securitate a permis atacatorului să acceseze în mod neautorizat informațiile clienților, încălcând astfel art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din GDPR.

Măsuri corective impuse

Pe lângă amendă, ANSPDCP a dispus ca operatorul să implementeze:
Sistem de jurnalizare a accesărilor și a încercărilor eșuate de logare pe servere
Stocarea log-urilor timp de cel puțin 30 de zile
Sistem de backup pentru fișierele de jurnalizare

Operatorul a achitat amenda aplicată și trebuie să pună în aplicare măsurile corective pentru a evita sancțiuni viitoare.

Concluzie

Această sancțiune subliniază importanța securizării datelor personale și a respectării obligațiilor impuse de Regulamentul GDPR. Companiile care gestionează date sensibile trebuie să ia măsuri proactive pentru a preveni atacurile cibernetice și a evita sancțiunile financiare și reputaționale.

🔍 Ai nevoie de consultanță GDPR? Contactează-ne pentru soluții de protecție a datelor și conformitate GDPR!