L’Autorité nationale de contrôle du traitement des données personnelles a terminé, en janvier 2025 , une enquête auprès de l’opérateur WEBRASOFT SRL et a constaté une violation des dispositions de l’art. 32 paragraphe. (1) lettre. b) et d) l’art. 32 paragraphe. (2) du règlement (UE) 2016/679.
L’opérateur a ainsi été condamné à une amende de 99 518,00 lei (équivalent à 20 000 euros).
L’enquête a été ouverte suite à une notification d’une violation de données personnelles, conformément aux dispositions de l’art. 33 du règlement (UE) 2016/679.
Au cours de l’enquête, il a été découvert que l’opérateur propriétaire d’un site de facturation en ligne avait été victime d’une cyberattaque, à travers laquelle le serveur sur lequel était stockée la base de données clients avait été illégalement accédé.
Parallèlement, au cours de l’enquête, il est apparu que l’attaquant avait eu un accès non autorisé aux données personnelles détenues par l’opérateur, ce qui a porté atteinte à la confidentialité des données personnelles d’un grand nombre de clients (nom, prénom, numéro d’identification personnel, adresse du domicile, numéro de téléphone, adresse e-mail, numéro de compte bancaire).
En conséquence, il a été constaté que WEBRASOFT SRL n’a pas effectué de tests, d’évaluations et d’appréciations périodiques de l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement , conçues pour mettre en œuvre efficacement les principes de protection des données et intégrer les garanties nécessaires dans le traitement , pour répondre aux exigences du règlement (UE) 2016/679 et pour protéger les droits des personnes concernées, y compris la capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement .
Cette situation a conduit à l’accès non autorisé d’un tiers aux données personnelles détenues par l’opérateur, violant ainsi les dispositions de l’art. 32 paragraphe. (1) lettre. b) et d) et l’art. 32 paragraphe. (2) du RGPD .
Conformément à l’art. 58 paragraphe. (2) lettre. d) du Règlement (UE) 2016/679, il a été ordonné la mise en œuvre technique et organisationnelle d’un système de journalisation de tous les accès/erreurs valides concernant les tentatives d’accès infructueuses sur les serveurs de l’infrastructure informatique de l’opérateur, avec leur conservation pendant une période d’au moins 30 jours, y compris la sauvegarde des fichiers de journalisation (logs).
Nous constatons que l’opérateur a payé l’amende qui lui a été imposée.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_04_03_2025&lang=ro