Renault România a fost sancționată cu o amendă de 125.000 de euro după un atac cibernetic asupra unei aplicații gestionate printr-un împuternicit, care a dus la divulgarea neautorizată a datelor personale ale unui număr mare de persoane, a anunțat miercuri Autoritatea Națională pentru Protecția Datelor Personale (ANSPDCP).
Detalii despre încălcările constatate
Investigația autorității s-a încheiat în această lună, după ce Renault Commercial Roumanie SRL a notificat încălcarea securității datelor cu caracter personal, conform dispozițiilor art. 33 din Regulamentul (UE) 2016/679. S-a stabilit că, în urma unui atac, au fost accesate și divulgate date cu caracter personal prin publicarea pe o platformă.
Autoritatea menționează tipurile de date expuse: nume, prenume, număr de telefon personal, număr de telefon profesional, adrese de domiciliu, permis de conducere, adrese de email și poștale, cod numeric personal, serial și număr de șasiu, data nașterii, serie și număr de carte de identitate, funcția, angajatorul și numere de identificare pentru angajați.
Deficiențe în măsurile de securitate
ANSPDCP a constatat că Renault România nu a implementat măsuri tehnice și organizatorice adecvate pentru a proteja informațiile, inclusiv în ceea ce privește confidențialitatea și evaluarea periodică a măsurilor de securitate.
De asemenea, operatorul nu s-a asigurat că doar persoane împuternicite, cu garanții suficiente, pot prelucra datele. În urma acestei analize, s-a emis sancțiunea cu suma de 637.262,50 lei, echivalentul a 125.000 de euro.
Reacția și interpretarea expertului GDPR
Tudor Galoș, expert în Regulamentul UE privind protecția datelor (GDPR), a comentat decizia și sancțiunea aplicată. El a explicat că, în conformitate cu principiul “responsabilității” (accountability), operatorul este responsabil pentru modul în care furnizorii și angajații săi prelucrează datele personale.
Potrivit acestuia, sancțiunea uriașă a fost influențată de faptul că ANSPDCP nu mai aplicase de mult venituri similare peste 100.000 de euro. Galoș a explicat că operatorul răspunde pentru încălcări făcute de furnizori sau persoane împuternicite dacă nu au fost puse în aplicare măsuri de securitate suficiente.
El a atras atenția asupra faptului că alegerea furnizorilor trebuie să fie riguros monitorizată, iar cei mai ieftini nu sunt întotdeauna cei mai siguri, deoarece orice încălcare de GDPR a acestora poate impacta direct operatorul.
Contextul sancțiunilor în cadrul GDPR
Expertul a subliniat că această amendă reprezintă o valoare semnificativă pentru Autoritatea Națională, fiind una dintre cele mai mari aplicate recent pentru cazul unui astfel de tip de breach. El a menționat că, în condițiile actuale, astfel de sancțiuni indică o accentuare a controalelor și responsabilizării operatorilor de date din România.
Pe lângă amenda în sine, autoritatea a trasat meni pentru implementarea unor măsuri mai stricte de securitate și a evidențiat importanța selecției și verificării contractuale a furnizorilor cu acces la date personale.
Raportul final al investigației arată că Renault România nu a asigurat un nivel corespunzător de protecție a datelor, încălcând prevederile art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul (UE) 2016/679 și art. 28 alin. (1) din aceeași reglementare.