Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten schloss im Dezember 2024 eine Untersuchung beim Betreiber FARMEC SA ab und stellte einen Verstoß gegen Art. 25 Absatz. (1) in Verbindung mit Art. 32 Absatz. (1) Buchstabe. b), d) und Abs. (2) der Verordnung (EU) 2016/679 .
Aus diesem Grund wurde der Betreiber mit einer Geldstrafe von 24.854,50 Lei (umgerechnet 5.000 Euro) belegt .
Die Untersuchung wurde nach der Übermittlung einer Meldung über eine Verletzung der Sicherheit personenbezogener Daten durch den Betreiber FARMEC SA gemäß den Bestimmungen von Art. 33 der Verordnung (EU) 2016/679.
Im Zuge der Untersuchung wurde festgestellt, dass infolge eines Cyberangriffs auf die Datenbank der Benutzer und Administratoren der Website des Betreibers zugegriffen wurde, was zur Extraktion von Daten aus dem oben genannten Aufzeichnungssystem führte.
Darüber hinaus wurde festgestellt, dass der Betreiber zum Zeitpunkt des Vorfalls nicht die notwendigen Sicherheitsmaßnahmen ergriffen hatte, um den Angriff zu verhindern und seine IT-Systeme nicht auf die neueste, durch die Lizenz zulässige Version aktualisiert hatte, um neuen Cyber-Bedrohungen gerecht zu werden.
Dies führte zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten einer erheblichen Anzahl betroffener Personen, wie beispielsweise Vor- und Nachname, E-Mail-Adresse, verschlüsseltes Passwort für den Zugang zum Benutzerkonto, und verstieß somit gegen die Bestimmungen des Art. 25 Absatz. (1) in Verbindung mit Art. 32 Absatz. (1) Buchstabe. b), d) und Abs. (2) der Verordnung (EU). 2016/679.
Der Betreiber bezahlte die festgesetzte Geldbuße für die Ordnungswidrigkeit.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_05_02_2025&lang=ro