O firmă a fost amendată cu 20.000 de euro în urma unui atac cibernetic asupra site-ului său

În urma unei investigații efectuată de ANSPDCP, o companie fost amendată cu 99.518,00 de lei (echivalentul a 20.000 de euro) pentru lipsa unor măsuri de protecție adecvate pentru datele personale, inclusiv în ceea ce privește confidențialitatea și integritatea acestora, precum și măsuri de securitate necorespunzătoare sau inexistente pentru evaluarea riscurilor și testarea eficienței acestora.

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor cu caracter personal.

În cadrul investigației efectuate, s-a constatat faptul că operatorul care deținea un site de facturare online a fost victima unui atac cibernetic, prin care a fost accesat, în mod ilegal, serverul pe care era stocată baza de date a clienților.

Totodată, în cursul investigației, a rezultat că atacatorul a accesat neautorizat datele cu caracter personal deținute de operator, ceea ce a afectat confidențialitatea datelor personale ale unui număr mare de clienți (numele, prenumele, codul numeric personal, adresa de domiciliu, telefonul, adresa de e-mail, numărul de cont bancar).

Citește și: CJUE clarifică responsabilitatea operatorilor de date în caz de atacuri cibernetice - posibilitatea de a cere despăgubiri pentru simpla temere față de posibile consecințe negative ale atacului

Ca urmare, s-a constatat faptul că operatorul nu a evaluat și testat periodic eficacitatea măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele Regulamentului (UE) 2016/679 și pentru a proteja drepturile persoanelor vizate, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.

Această situație a condus la accesul neautorizat al unui terț la datele cu caracter personal deținute de operator.

În consecință, ANSPCDP i-a cerut operatorului implementarea tehnică si organizatorică a unui sistem de jurnalizare a tuturor accesărilor valide/erorilor privind încercările nereușite de acces asupra serverelor din infrastructura IT a operatorului, cu reținerea acestora pe o durată de cel puțin 30 de zile, inclusiv cu efectuarea de back-up asupra fișierelor de jurnalizare (log-uri).