conceptul de risc cibernetic
GDPR

Amendă GDPR de 8.000 EUR pentru divulgarea neautorizată a datelor în urma unui atac ransomware

Luna august a adus o serie de sancțiuni notabile în România și Europa pentru încălcarea Regulamentului General privind Protecția Datelor (GDPR). Autoritățile de reglementare au continuat să fie vigilente în aplicarea normelor de protecție a datelor, impunând amenzi GDPR semnificative organizațiilor care nu au respectat cerințele stricte ale legislației. Află din acest articol ce companii au fost sancționate și care au fost motivele amenzilor acordate!

Amenzi GDPR în România de 19.000 Euro

În luna august 2024, ANSPDCP a aplicat 4 amenzi unor operatori care nu s-au conformat cu reglementările RGPD. Cea mai mare sancțiune a fost aplicată operatorului Ana Hotels pentru divulgarea neautorizată a datelor personale în urma unui atac ransomware.

Kruk România – amendă de 3.000 Euro pentru notificări transmise destinatarilor greșiți

Operatorul Kruk România SRL a fost sancționat contravențional cu o amendă în cuantum de 14.922,3 RON (echivalentul sumei de 3.000 EURO). Sancțiunea a fost aplicată deoarece compania a trimis notificări de cesiune de creanță și propuneri de angajamente de plată către destinatari greșiți. Aceste greșeli au rezultat din procesarea manuală incorectă a unei baze de date primite de la un partener de afaceri în urma unui contract de cesiune de creanțe.

Ca urmare a acestor erori, s-a produs o încălcare a confidențialității datelor personale. Informații precum nume, prenume, adrese, detalii ale contractelor, sume datorate și identitatea creditorilor au ajuns la persoane neautorizate. Această divulgare neautorizată a datelor personale reprezintă o încălcare gravă a normelor de protecție a datelor, ceea ce a dus la aplicarea sancțiunii.

Kaufland România sancționată cu 7.000 de Euro pentru 3 incidente de încălcare a securității datelor personale

Operatorul Kaufland România SCS a fost sancționat cu 3 amenzi în cuantum total de 34.839 lei (echivalentul sumei de 7.000  EURO). Investigația efectuată de ANSPDCP la operatorul Kaufland România SCS a fost declanșată în urma transmiterii mai multor notificări de încălcare a securității datelor cu caracter personal. Autoritatea de Supraveghere a identificat trei incidente distincte de încălcare a securității datelor personale, astfel:

  1. Agenții de pază ai operatorului au înregistrat cu telefoanele mobile imagini din sistemul de supraveghere, referitoare la un incident petrecut în incinta magazinului. Aceste imagini au fost apoi furnizate uneia dintre persoanele implicate, la cererea acesteia, fără autorizare corespunzătoare. 
  2. Într-un alt caz, o clientă care a reclamat furtul telefonului a fost lăsată să intre în camera de monitorizare. Aceasta a fotografiat imaginile cu presupusul făptuitor și le-a publicat pe Facebook. Astfel, s-a produs o divulgare neautorizată a imaginii unui client în mediul online, cu potențiale consecințe grave.
  3. În ultimul incident, o angajată din departamentul de recrutare a trimis din greșeală un e-mail conținând date personale ale unui candidat (nume, prenume, locația postului vizat) către o adresă greșită, aparținând unui terț.

Toate aceste situații reprezintă încălcări grave ale confidențialității datelor personale, putând duce la prejudicii semnificative pentru persoanele afectate. Consecințele pot include pierderea controlului asupra datelor personale, încălcarea secretului profesional sau dezavantaje economice și sociale pentru persoanele vizate.

Ana Hotels – amendă de 8.000 Euro pentru divulgarea neautorizată de date în urma unui atac ransomware

Ana Hotels SRL a fost sancționat cu amendă în cuantum de 39.763,20 lei, echivalentul a 8.000 EURO. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul RGPD. 

În cadrul investigației efectuate s-a constatat faptul că încălcarea securității prelucrării datelor s-a produs ca urmare a unui atac informatic de tip ransomware, situație ce a condus la divulgarea neautorizată a unor date cu caracter personal prelucrate și stocate prin sistemele informatice ale Ana Hotels SRL,  pentru un număr semnificativ de persoane vizate, angajați ai operatorului.

Pe lângă amenda contravențională, Ana Hotels a primit și măsura corectivă de a implementa un plan procedural care să includă un proces de testare, evaluare și apreciere periodică a tuturor sistemelor IT ale operatorului prin care se prelucrează date cu caracter personal, în sensul garantării securității prelucrării. Acest plan de securitate ar trebui să cuprindă și jurnalizarea continuă din punct de vedere atât al accesului, cât și a traficului de date asupra serverelor infrastructurii IT pe cel puțin 30 zile calendaristice, inclusiv aplicarea unui proces de backup asupra acesteia pe un interval de timp similar.

Curs Evaluarea și administrarea riscului cibernetic în cadrul societăților financiare

Tematică:

  • Metodologii de evaluare și administrare a riscului cibernetic: metrici, indicatori specifici, combinația dintre latura calitativă și latura cantitativă
  • Reflectarea adecvat[ a riscului cibernetic în cadrul Business Continuity Plan
  • Tipologii de atacuri cibernetice: metodologii de evaluare și administrare a riscurilor conexe
  • Aplicații și studii de caz

Detalii despre tematică și înscrieri AICI>>

Best Elan Online – amendă de 1.000 Euro pentru transmiterea de mesaje comerciale neautorizate

BEST ELAN ONLINE SRL a fost sancționat contravențional cu amendă în cuantum de 4.977,1 lei (echivalentul sumei de 1 000 EURO). Investigația a demarat ca urmare a unei plângeri transmise de o persoană vizată care a semnalat faptul că primea mesaje comerciale nesolicitate din partea operatorului. Deși persoana fizică a solicitat ștergerea datelor sale personale, inclusiv prin accesarea unui link pus la dispoziția persoanelor vizate de către operator, petentul nu a primit niciun răspuns la cererea sa. Operatorul a continuat să transmită persoanei vizate noi mesaje comerciale nesolicitate.

În cadrul investigației, operatorul nu a comunicat Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal informațiile solicitate în baza competențelor sale de investigare, încălcând, astfel, prevederile art. 58 alin. (1) din Regulamentul (UE) 2016/679.

Amenzi GDPR în Europa de 296.800 Euro

În ultima lună de vară, au fost acordate două amenzi, în Spania și Danemarca, astfel:

  1. Cea mai mare amendă GDPR a fost acordată în Spania. Aceasta a fost în valoare de 270.000 Euro și a fost aplicată companiei UNIQLO pentru transmiterea neautorizată a unui fișier PDF care conținea informațiile despre salariile tuturor salariaților companiei pentru luna iulie. Acest fișier a fost transmis din greșeală unei terțe persoane neautorizate de către un angajat din departamentul HR.
  2. Cea de-a doua amendă a fost în cuantum de 26.800 Euro și a fost aplicată Poliției din Vejen, un oraș din Danemarca. Autoritatea Norvegiană pentru Protecția Datelor a constatat în urma investigației efectuate că poliția municipalității Vejen deținea informații digitale necriptate despre mai mulți copii. În total, s-au descoperit aproximativ 300 de computere care nu erau criptate

Citește și: Drepturile persoanelor vizate – SIS/SINS (Schengen)

Sursa articol: Dataprotection.roEnforcementtracker.com

Sursa foto: vecteezy.com

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *