Consultanta

Operator sanctionat cu 25.000 euro pentru vulnerabilitate la atac cibernetic si alte incalcari GDPR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în februarie 2025, o investigație asupra operatorului NTT DATA ROMÂNIA S.A., constatând încălcarea prevederilor Regulamentului (UE) 2016/679 (GDPR).

Amendă aplicată pentru nerespectarea GDPR

Ca urmare a acestei investigații, operatorul a fost sancționat cu:

  • 124.432,50 lei (echivalentul a 25.000 EURO) pentru încălcarea art. 32 alin. (1) lit. b) și d), alin. (2) din GDPR;
  • Avertisment pentru încălcarea art. 33 alin. (1) din GDPR.

Motivele sancțiunii

Investigația a fost demarată după ce NTT DATA ROMÂNIA S.A. a notificat ANSPDCP despre un incident de securitate, conform art. 33 din GDPR.

În cadrul investigației, s-a constatat că infrastructura informatică a operatorului a fost accesată neautorizat în urma unui atac cibernetic, ceea ce a dus la extragerea datelor cu caracter personal ale unui număr semnificativ de persoane fizice. Printre datele compromise s-au numărat:

  • Nume, prenume, adresă, număr de telefon, e-mail, sex, naționalitate;
  • Copii ale actelor de identitate, pașapoarte, certificate de naștere, certificate de căsătorie;
  • Informații financiare, facturi, contracte, planuri de buget;
  • Informații educaționale, CV-uri, diplome de studii;
  • Date privind sănătatea angajaților.

S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protecția datelor și nu a efectuat testări periodice pentru a evalua eficiența măsurilor de securitate.

De asemenea, operatorul nu a notificat ANSPDCP în termen de 72 de ore de la momentul luării la cunoștință a breșei de securitate, încălcând astfel art. 33 alin. (1) din GDPR.

Măsuri corective impuse

Pe lângă sancțiunile aplicate, ANSPDCP a impus următoarele măsuri corective pentru NTT DATA ROMÂNIA S.A.:

  • Implementarea unor măsuri de securitate eficiente, care să asigure confidențialitatea, integritatea și disponibilitatea datelor;
  • Testarea periodică a sistemelor de securitate pentru prevenirea atacurilor cibernetice;
  • Respectarea termenelor legale pentru notificarea incidentelor de securitate către ANSPDCP;
  • Instruirea personalului cu privire la protecția și gestionarea datelor personale.

Această sancțiune subliniază importanța măsurilor de securitate cibernetică și respectarea obligațiilor GDPR. Pentru a evita riscurile asociate cu atacurile cibernetice și sancțiunile aferente, contactați-ne pentru consultanță GDPR și soluții personalizate!