Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna februarie 2025, o investigație la operatorul NTT DATA ROMÂNIA S.A. și a constatat existența unor grave nereguli. Breșa de securitate de la NTT Data Cluj.
Astfel, NTT Data a fost amendată cu 25.000 de euro, echivalentul în lei a sumei de 124.4 mii lei.
Investigația a fost demarată ca urmare a transmiterii de către operatorul NTT DATA ROMÂNIA S.A. a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
În cadrul investigației, s-a constatat că, în urma unui atac cibernetic, a fost accesată infrastructura informatică a operatorului și astfel au fost extrase în mod neautorizat date cu caracter personal.
”Ca atare, s-a constatat că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate și nu a realizat testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru garantarea securitatății prelucrării datelor, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare”, susțin cei de la Autoritate.
Nu au anunțat atacul cibernetic
În acest context s-a realizat un acces neautorizat la date cu caracter personal ale unui număr semnificativ de persoane fizice vizate, precum: nume, prenume, semnătură, adresă, număr de telefon, adresă de e-mail, sexul, naționalitatea, copii de pe acte de identitate, certificate de căsătorie, pașapoarte, certificate de naștere, informații privind ocuparea forței de muncă și informații financiare: facturi, contracte, planuri de buget, informații educaționale (înregistrări ale unor cursuri de formare, participarea la cursuri de formare, CV-uri, diplome de studii), date sensibile privind sănătatea angajaților.
De asemenea, în cadrul investigației s-a constatat că operatorul nu a notificat Autoritatea de supraveghere în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității datelor cu caracter personal, încălcând astfel dispozițiile art. 33 alin. (1) din RGPD.
Lasă un răspuns