Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat în luna aprilie o investigație amplă la operatorul AG Broker de Asigurare S.R.L., în urma căreia a aplicat o amendă în valoare de 24.887 lei (echivalentul a 5.000 de euro) pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor (GDPR).

Investigația a fost declanșată în urma unei notificări transmise chiar de către companie, în temeiul art. 33 din Regulamentul (UE) 2016/679, cu privire la o încălcare a securității datelor cu caracter personal. Potrivit informațiilor furnizate de operator, incidentul a fost cauzat de un atac cibernetic în urma căruia au fost compromise date personale sensibile ale unui număr semnificativ de clienți.

Conform ANSPDCP, printre datele expuse s-au regăsit: nume, prenume, cod numeric personal (CNP), fotografii din cărți de identitate, certificate de naștere, permise de conducere, certificate de înmatriculare auto, adrese de email și numere de telefon.

Concluziile autorității de supraveghere sunt severe: firma în cauză nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor, încălcând astfel articolul 32 alineatele (1) litera b) și (2) din GDPR. Mai exact, aceasta nu dispunea de sisteme de control al accesului securizat la echipamentele de stocare în rețea, ceea ce a facilitat accesul neautorizat la informațiile confidențiale.

În cadrul raportului de investigație, ANSPDCP subliniază că lipsa unor măsuri corespunzătoare a condus la divulgarea neautorizată a datelor cu caracter personal, ceea ce pune în pericol drepturile și libertățile fundamentale ale persoanelor vizate, precum și încrederea în operatorii economici care procesează astfel de date.

Potrivit reglementărilor europene, fiecare operator este obligat să asigure un nivel adecvat de securitate în funcție de riscurile implicate în procesarea datelor, inclusiv protecția împotriva accesului ilegal, pierderii sau modificării neautorizate.