În urma controalelor, s-a constatat încălcarea reglementărilor privind securitatea datelor cu caracter personal, prevăzute de Regulamentul (UE) 2016/679, cunoscut și sub denumirea de Regulamentul General privind Protecția Datelor (RGPD).

Conform raportului emis de autoritate, compania a fost sancționată contravențional cu o amendă de 99.518,00 lei (echivalentul a aproximativ 20.000 de euro) pentru încălcarea articolului 32 din RGPD, care se referă la securitatea prelucrării datelor.

În acest context, Webrasoft SRL a fost acuzată de neîndeplinirea obligațiilor de evaluare și testare periodică a eficienței măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării datelor personale.

Un atac informatic major asupra serverului companiei

Investigația a fost inițiată ca urmare a unei notificări privind o încălcare a securității datelor. În urma acestei notificări, autoritatea a descoperit că, în perioada anterioară, firma orădeană a fost victima unui atac cibernetic semnificativ. Atacatorii au reușit să acceseze, în mod ilegal, serverul companiei, pe care era stocată baza de date cu informațiile personale ale clienților. Aceasta a dus la expunerea unor date sensibile ale unui număr mare de persoane fizice, inclusiv numele, prenumele, codul numeric personal, adresa de domiciliu, telefonul, adresa de e-mail și numărul de cont bancar.

Conform declarațiilor autorităților, atacul a afectat confidențialitatea datelor personale ale clienților, ceea ce constituie o încălcare gravă a drepturilor fundamentale ale persoanelor vizate, precum și a cerințelor stipulate de RGPD.

Măsuri de prevenire a atacurilor viitoare

În urma constatărilor, ANSPDCP a stabilit că Webrasoft SRL nu a implementat măsurile necesare pentru evaluarea periodică a eficienței securității datelor și pentru protejarea confidențialității, integrității și disponibilității sistemelor sale. În plus, operatorul nu a asigurat protecția adecvată a infrastructurii IT, ceea ce a permis accesul neautorizat la datele cu caracter personal.

Astfel, autoritatea a decis implementarea unui sistem de monitorizare a tuturor accesărilor și erorilor din infrastructura IT a companiei. De asemenea, operatorul este obligat să păstreze aceste informații timp de cel puțin 30 de zile și să realizeze backup-uri ale fișierelor de jurnalizare (log-uri) pentru a garanta trasabilitatea accesărilor și a încercărilor nereușite de acces.