O firmă de consultanță în inginerie, amendată cu 2.500 EUR după un atac informatic

București – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat firma BLUE PROJECTS SRL, specializată în servicii de consultanță în inginerie, cu 12.734 lei (echivalentul a 2.500 EUR). Sancțiunea a survenit în urma unui atac informatic care a dus la compromiterea datelor personale ale angajaților, colaboratorilor și altor persoane implicate în activitatea companiei. Investigația ANSPDCP s-a încheiat în martie 2026.

Detalii despre încălcările GDPR

Conform comunicatului ANSPDCP, amenda a fost aplicată pentru încălcarea art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR). Aceste articole se referă la obligația operatorilor de date de a implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor prezentate de prelucrarea datelor.

În urma atacului informatic, datele personale accesate fără autorizație au inclus nume, prenume, CNP, adresă, date de contact, email, funcție și CV-uri. Firma a notificat ANSPDCP cu privire la incidentul de securitate, conform procedurilor. ANSPDCP a constatat că BLUE PROJECTS SRL nu a implementat măsuri suficiente pentru a proteja aceste date.

Deficiențe în securitatea datelor

ANSPDCP a subliniat că firma nu a asigurat confidențialitatea sistemelor și serviciilor de prelucrare a datelor. De asemenea, nu a fost implementat un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor de securitate. Această lipsă a evaluărilor periodice a dus la vulnerabilități care au permis atacatorilor să acceseze datele personale.

Autoritatea pentru protecția datelor a solicitat firmei să implementeze la nivel tehnic și procedural un sistem de monitorizare a fluxurilor de date. Această măsură are ca scop identificarea și prevenirea unor incidente similare în viitor.

Ca urmare a acestui incident, BLUE PROJECTS SRL trebuie să ia măsuri urgente pentru a remedia deficiențele de securitate constatate de ANSPDCP. Firma are obligația de a notifica persoanele ale căror date au fost compromise.

Sursa: StartupCafe