Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat im Januar 2025 eine Untersuchung beim Betreiber WEBRASOFT SRL abgeschlossen und einen Verstoß gegen die Bestimmungen von Art. 35 festgestellt. 32 Absatz. (1) Buchstabe. b) und d) Art. 32 Absatz. (2) der Verordnung (EU) 2016/679.
Aus diesem Grund wurde der Betreiber mit einer Geldstrafe von 99.518,00 Lei (umgerechnet 20.000 Euro) belegt.
Die Untersuchung wurde nach einer Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß den Bestimmungen von Art. 33 der Verordnung (EU) 2016/679.
Bei den Ermittlungen stellte sich heraus, dass der Betreiber einer Online-Abrechnungsseite Opfer eines Cyberangriffs geworden war, bei dem illegal auf den Server zugegriffen wurde, auf dem die Kundendatenbank gespeichert war.
Gleichzeitig stellte sich im Laufe der Ermittlungen heraus, dass der Angreifer unbefugt auf personenbezogene Daten des Betreibers zugegriffen hatte, wodurch die Vertraulichkeit der persönlichen Daten einer großen Anzahl von Kunden (Name, Vorname, persönliche Identifikationsnummer, Privatadresse, Telefonnummer, E-Mail-Adresse, Bankkontonummer) beeinträchtigt wurde.
Als Ergebnis wurde festgestellt, dass WEBRASOFT SRL keine regelmäßigen Tests, Evaluierungen und Bewertungen der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchführte , die darauf ausgelegt waren, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung zu integrieren , die Anforderungen der Verordnung (EU) 2016/679 zu erfüllen und die Rechte der betroffenen Personen zu schützen, einschließlich der Fähigkeit, die fortwährende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten .
Diese Situation führte zu einem unbefugten Zugriff Dritter auf die im Besitz des Betreibers befindlichen personenbezogenen Daten und stellte somit einen Verstoß gegen die Bestimmungen des Art. 32 Absatz. (1) Buchstabe. b) und d) und Art. 32 Absatz. (2) DSGVO .
Gemäß Art. 58 Absatz. (2) Brief. d) der Verordnung (EU) 2016/679 wurde die technische und organisatorische Implementierung einer Protokollierung aller gültigen Zugriffe/Fehler über erfolglose Zugriffsversuche auf die Server in der IT-Infrastruktur des Betreibers mit deren Aufbewahrung für eine Dauer von mindestens 30 Tagen, einschließlich der Sicherung der Protokolldateien (Logs), angeordnet.
Wir nehmen zur Kenntnis, dass der Betreiber das verhängte Bußgeld bezahlt hat.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_04_03_2025&lang=ro