Klass Wagen S.R.L. a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 35.615 lei (echivalentul a 7.000 de euro), pentru încălcarea dispozițiilor Regulamentului (UE) 2016/679 (GDPR) privind securitatea datelor cu caracter personal.

Potrivit comunicatului transmis de autoritate, investigația a fost declanșată după ce operatorul a notificat o încălcare a securității datelor, conform art. 33 din Regulament, dar și în urma unei sesizări primite de ANSPDCP. Ancheta a scos la iveală că breșa de securitate a vizat un acces neautorizat la sistemul de gestionare a contractelor al companiei. Incidentul a fost cauzat de faptul că un fost angajat a divulgat credențialele (numele de utilizator și parolele) unor colegi, permițând astfel accesul ilegal la datele personale ale unui număr mare de persoane vizate.

Printre informațiile compromise s-au numărat nume, prenume, adrese, numere de telefon, emailuri, date de naștere, serii și numere de acte de identitate, coduri numerice personale (CNP), precum și detalii din permisele de conducere. Autoritatea a mai constatat că incidentul a fost raportat cu întârziere pe cale internă, iar operatorul nu a luat măsuri imediate și adecvate pentru limitarea efectelor breșei. Din această cauză, datele personale ale unui număr semnificativ de clienți și angajați – inclusiv persoane din alte state membre ale Uniunii Europene, din Spațiul Economic European și chiar din afara UE – au fost afectate.

În urma investigației, ANSPDCP a concluzionat că Klass Wagen S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate pentru a proteja datele personale, încălcând astfel art. 32 alin. (1) lit. b) și d) și alin. (2) din GDPR. Această neglijență a condus la divulgarea și accesul neautorizat la datele cu caracter personal ale clienților și angajaților firmei.

„În cadrul investigației s-a constatat faptul că încălcarea de securitatea s-a produs ca urmare a faptului că un fost angajat a divulgat credențialele unor colegi pentru sistemul de gestionare a contractelor, fapt ce a permis accesul neautorizat la datele cu caracter personal (nume, prenume, adresă, număr de telefon, email, locul și data nașterii, număr și dată de expirare permis de conducere, serie și număr CI/pașaport, CNP) unui număr semnificativ de persoane vizate, inclusiv persoane vizate din state membre UE/Spațiul Economic European și Non UE“, a transmis ANSPDCP.

Pe lângă amendă, autoritatea a impus și o măsură corectivă, obligând compania să implementeze o procedură clară de revocare a drepturilor de acces și dezactivare a conturilor foștilor angajați, pentru a preveni incidente similare în viitor.