În luna ianuarie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDPC) a amendat cu 99.518,00 lei (echivalentul a 20.000 de EURO) operatorul WEBRASOFT SRL pentru că nu a luat măsuri tehnice și organizatorice adecvate pentru prevenirea unui incident de securitate care a afectat baza de date a clienților unui program de facturare.
Investigația a fost deschisă ca urmare a raportării către ANSPDCP a unui incident de securitate. Conform dispozițiilor art. 33 din Regulamentul (UE) 2016/679, atunci când incidentele de securitate por prezenta riscuri, operatorii ai obligația să notifice incidentele către Autoritate în termen de 72 de ore de la descoperirea incidentului, urmând o procedură specifică.
Pe parcursul investigației, autoritatea a constatat faptul că programul de facturare online a fost ținta unui atac informatic, iar atacatorul a accesat, în mod ilegal, serverul pe care era stocată baza de date a clienților. Operatorul a fost găsit culpabil de respectiva breșă de securitate și amendat conform GDPR deoarece „nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării”.
Cu alte cuvinte, Autoritatea de supraveghere a constatat că lipsa acestor măsuri tehnice și organizatorice a condus către accesul neautorizat la datele cu caracter personal.
În plus față de sancțiunea de 20.000 EURO, operatorul a primit și măsura corectivă de a implementa un sistem de jurnalizare a tuturor accesărilor valide/erorilor privind încercările nereușite de acces asupra serverelor din infrastructura IT a operatorului, cu reținerea acestora pe o durată de cel puțin 30 de zile și efectuarea de back-up asupra fișierelor de jurnalizare (log-uri).
Vrei să eviți amenzile GDPR? Atunci consultă oferta noastră de servicii GDPR!
Ești profesionist (jurist, avocat, ITist, DPO) și vrei să înveți cum să implementezi GDPR pratic ? Atunci înscrie-te la webinarul despre implementarea GDPR!
