Amenda de 20.000 euro in urma unui atac cibernetic

O firma din Oradea a fost sanctionata de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) cu o amenda de aproape 100.000 de lei (echivalentul a 20.000 de euro), dupa ce a fost tinta unui atac cibernetic ce a compromis datele clientilor sai.

In urma unei investigatii finalizate in ianuarie 2025, ANSPDCP a constatat ca firma WEBRASOFT SRL nu a implementat masuri de securitate adecvate pentru protectia datelor cu caracter personal, incalcand astfel prevederile Regulamentului (UE) 2016/679.

Incidentul a dus la accesarea ilegala a serverului pe care era stocata baza de date a clientilor, expunand informatii sensibile precum nume, coduri numerice personale, adrese, numere de telefon, e-mailuri si chiar conturi bancare.

Prin urmare, ANSPDCP anunta ca a aplicat o amenda in cuantum de 99.518,00 lei (echivalentul a 20.000 de EURO). Potrivit sursei citate, amenda a fost deja achitata.

Concret, in cadrul investigatiei efectuate s-a constatat faptul ca firma, care detinea un site de facturare online, a fost victima unui atac informatic prin care a fost accesat, in mod ilegal, serverul pe care era stocata baza de date a clientilor.

Totodata, in cursul investigatiei a rezultat ca atacatorul a accesat neautorizat datele cu caracter personal detinute de operator, ceea ce a afectat confidentialitatea datelor personale ale unui numar mare de clienti (numele, prenumele, codul numeric personal, adresa de domiciliu, telefonul, adresa de e-mail, numarul de cont bancar).

Ca urmare, s-a constatat faptul ca WEBRASOFT SRL nu a realizat testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele Regulamentului (UE) 2016/679 si pentru a proteja drepturile persoanelor vizate, incluzand capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare.

Aceasta situatie a condus la accesul neautorizat al unui tert la datele cu caracter personal detinute de operator, fiind astfel incalcate prevederile art. 32 alin. (1) lit. b) si d) si art. 32 alin. (2) din RGPD.

In temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus implementarea tehnica si organizatorica a unui sistem de jurnalizare a tuturor accesarilor valide/erorilor privind incercarile nereusite de acces asupra serverelor din infrastructura IT a operatorului, cu retinerea acestora pe o durata de cel putin 30 de zile, inclusiv cu efectuarea de back-up asupra fisierelor de jurnalizare (log-uri).