În luna aprilie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la operatorul BITDEFENDER SRL, constatând încălcări grave privind securitatea datelor personale. Compania a fost amendată cu 49.772 lei (echivalentul a 10.000 euro) pentru nerespectarea obligațiilor prevăzute de Regulamentul General privind Protecția Datelor (GDPR).
Contextul investigației și impactul asupra securității datelor personale
Ancheta a fost declanșată în urma unei notificări transmise de BITDEFENDER SRL, conform art. 33 din Regulamentul (UE) 2016/679, prin care compania a raportat o breșă de securitate a datelor personale. Investigația a relevat că o eroare în procesul de actualizare a unui serviciu de analiză a securității e-mail-urilor a dus la expunerea neautorizată a datelor personale, inclusiv nume, prenume și adrese de e-mail ale unui număr semnificativ de clienți.
Autoritatea a constatat că BITDEFENDER SRL a încălcat prevederile art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679, care reglementează securitatea datelor personale. Compania nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni accesul neautorizat și nu a realizat evaluări periodice ale eficacității acestor măsuri, ceea ce a compromis confidențialitatea datelor.
Textul legal încălcat și obligațiile privind securitatea datelor personale
Articolul 32 din Regulamentul (UE) 2016/679 stipulează cerințele pentru securitatea datelor personale:
- Art. 32 alin. (1) lit. b): Operatorul trebuie să asigure „capacitatea de a garanta confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.”
- Art. 32 alin. (1) lit. d): Operatorul trebuie să implementeze „o procedură pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”
- Art. 32 alin. (2): Operatorul trebuie să evalueze riscurile care pot afecta securitatea datelor personale, inclusiv divulgarea neautorizată.
BITDEFENDER SRL avea obligația de a implementa măsuri robuste pentru securitatea datelor personale, cum ar fi criptarea datelor, controale stricte de acces și evaluări regulate ale sistemelor, pentru a preveni breșele de securitate.
Ce măsuri trebuiau luate pentru a asigura securitatea datelor personale?
Pentru a respecta cerințele legale privind securitatea datelor personale, BITDEFENDER SRL ar fi trebuit să:
- Implementeze sisteme de criptare și controale stricte de acces pentru a proteja datele personale.
- Efectueze teste periodice pentru a evalua eficacitatea măsurilor de securitate a datelor personale.
- Asigure instruirea personalului pentru a preveni erorile care pot compromite securitatea datelor personale.
- Actualizeze constant sistemele pentru a răspunde amenințărilor cibernetice emergente.
Impactul breșei asupra clienților și importanța securității datelor personale
Breșa de securitate a datelor personale a afectat un număr semnificativ de clienți, expunându-i riscurilor precum furtul de identitate sau utilizarea neautorizată a datelor. Acest incident subliniază necesitatea ca operatorii să prioritizeze securitatea datelor personale pentru a proteja drepturile și libertățile persoanelor vizate.
ANSPDCP recomandă companiilor să investească în măsuri proactive pentru securitatea datelor personale, inclusiv audituri regulate și tehnologii avansate de protecție. Nerespectarea acestor obligații poate duce nu doar la sancțiuni financiare, ci și la pierderea încrederii clienților.
Concluzie
Sancțiunea aplicată BITDEFENDER SRL evidențiază importanța respectării normelor GDPR pentru securitatea datelor personale. Operatorii de date trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a preveni breșele de securitate și pentru a menține încrederea publicului. Acest caz servește drept exemplu pentru toate companiile care prelucrează date personale, subliniind că securitatea datelor personale este o prioritate absolută.
10 Întrebări Frecvente (FAQ) despre securitatea datelor personale
1. Ce înseamnă o breșă de securitate a datelor personale?
O breșă de securitate a datelor personale reprezintă un incident care duce la accesul neautorizat, divulgarea sau pierderea datelor personale. În cazul BITDEFENDER SRL, o eroare de programare a permis expunerea datelor clienților, inclusiv nume și adrese de e-mail, către terți neautorizați.
2. De ce a fost amendată BITDEFENDER SRL pentru securitatea datelor personale?
BITDEFENDER SRL a fost amendată pentru că nu a respectat art. 32 din Regulamentul (UE) 2016/679, care impune implementarea măsurilor adecvate pentru securitatea datelor personale. Compania nu a efectuat evaluări periodice și nu a asigurat confidențialitatea datelor, ceea ce a dus la o breșă de securitate.
3. Ce obligații legale are o companie pentru a asigura securitatea datelor personale?
Conform art. 32 din GDPR, o companie trebuie să implementeze măsuri tehnice și organizatorice, cum ar fi criptarea datelor și testarea periodică a sistemelor, pentru a garanta securitatea datelor personale. De asemenea, trebuie să evalueze riscurile și să prevină accesul neautorizat.
4. Ce tip de date personale au fost compromise în cazul BITDEFENDER?
În incidentul raportat, datele personale compromise au inclus nume, prenume și adrese de e-mail ale clienților. Aceste informații, dacă sunt utilizate necorespunzător, pot afecta grav securitatea datelor personale ale persoanelor vizate.
5. Ce măsuri ar fi trebuit să ia BITDEFENDER pentru a proteja securitatea datelor personale?
BITDEFENDER ar fi trebuit să implementeze sisteme de criptare, să efectueze teste regulate ale măsurilor de securitate a datelor personale și să instruiască personalul pentru a preveni erorile. Actualizarea constantă a sistemelor ar fi contribuit, de asemenea, la reducerea riscurilor.
6. Ce riscuri implică o breșă de securitate a datelor personale pentru clienți?
O breșă de securitate a datelor personale poate duce la furt de identitate, utilizarea neautorizată a datelor sau alte forme de fraudă. În cazul BITDEFENDER, clienții afectați au fost expuși acestor riscuri din cauza divulgării neautorizate a datelor lor.
7. Cum poate o companie să evite sancțiunile legate de securitatea datelor personale?
Pentru a evita sancțiunile, o companie trebuie să respecte GDPR, implementând măsuri robuste pentru securitatea datelor personale, cum ar fi audituri regulate, criptarea datelor și instruirea personalului. Evaluarea periodică a riscurilor este, de asemenea, esențială.
8. Ce rol are ANSPDCP în protejarea securității datelor personale?
ANSPDCP supraveghează respectarea normelor GDPR în România, investigând incidente precum cel al BITDEFENDER și aplicând sancțiuni atunci când securitatea datelor personale este compromisă. Autoritatea promovează conformitatea și protecția drepturilor persoanelor vizate.
9. Ce prevede articolul 32 din GDPR despre securitatea datelor personale?
Articolul 32 din GDPR obligă operatorii să implementeze măsuri tehnice și organizatorice pentru securitatea datelor personale, inclusiv criptarea, controale de acces și teste periodice ale sistemelor, pentru a preveni breșele de securitate și accesul neautorizat.
10. Cum pot clienții să se protejeze în cazul unei breșe de securitate a datelor personale?
Clienții pot monitoriza conturile lor pentru activități suspecte, schimba parolele frecvent și utiliza autentificarea cu doi factori. De asemenea, pot solicita operatorului informații despre măsurile luate pentru restabilirea securității datelor personale după un incident..