O firmă românească specializată în servicii de consultanță în inginerie, Blue Projects SRL, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 12.734 de lei, echivalentul a aproximativ 2.500 de euro, după ce sistemele sale informatice au fost vulnerabilizate într-un atac cibernetic ce a compromis datele personale ale angajaților și colaboratorilor.
Un atac informatic a dus la scurgerea datelor sensibile ale mai multor persoane
Potrivit unui comunicat emis joi de ANSPDCP, firma a notificat autoritatea cu privire la o încălcare de securitate a datelor cu caracter personal, care a avut loc în urma unui atac cibernetic împotriva sistemelor IT. În urma acestui eveniment, au fost accesate fără autorizație informații despre angajați, colaboratori și alte persoane din corespondență. Datele afectate includ nume, prenume, cod numeric personal, adrese, date de contact, emailuri, funcții ocupate și CV-uri.
Investigația autorității a relevat că firma nu a implementat suficiente măsuri tehnice și organizatorice pentru a proteja datele prelucrate și pentru a asigura un nivel adecvat de securitate. În comunicatul ANSPDCP se precizează că lipsea un sistem eficient de monitorizare a fluxurilor de date, precum și un proces clar pentru testarea și evaluarea periodică a măsurilor de securitate implementate.
„În urma anchetei, s-a constatat că Blue Projects SRL nu a reușit să adopte măsuri corespunzătoare pentru a preveni astfel de incidente, ceea ce contravine prevederilor Regulamentului (UE) 2016/679”, a declarat oficialul autorității.
Măsuri obligatorii pentru firma penalizată
Autoritatea a dispus ca firma să implementeze urgent măsuri tehnice și procedurale pentru securizarea fluxurilor de date și pentru prevenirea unor incidente similare în viitor. Printre acestea se numără introducerea unui sistem de monitorizare a traficului de date în timp real, precum și crearea unor proceduri clare de testare periodică a eficacității măsurilor de securitate.
De asemenea, Blue Projects SRL are obligația de a realiza o analiză de risc detaliată și de a conforma procesele interne pentru a asigura confidențialitatea și integritatea datelor cu caracter personal.
Dispoziția autorității vine după ce compania a declarat că a luat măsuri imediate pentru remedierea vulnerabilităților, dar nu a specificat în ce stadiu se află astfel de acțiuni.
Statisticile ANSPDCP arată că, în ultimii ani, numărul cazurilor de breșe de securitate cibernetică din rândul firmelor din România a înregistrat o creștere constantă, insatisfacția fiind cauzată în parte de lipsa unor măsuri adecvate de protecție a datelor.
Data de referință pentru sancțiune și viitoare măsuri
ANSPDCP a subliniat că sancțiunea a fost aplicată în conformitate cu prevederile legislative, în contextul în care legislația europeană și națională impune companiilor responsabilitatea de a garanta securitatea datelor prelucrate.
Blue Projects SRL are termen până la 15 martie pentru a raporta măsurile luate și pentru a demonstra conformitatea cu recomandările autorității. În cazul în care nu va respecta aceste instrucțiuni, compania se poate confrunta cu alte sancțiuni, inclusiv amendamente suplimentare sau măsuri corrective mai dure.
