O firmă mică din România a primit o amendă GDPR în valoare de 20.000 EUR, în urma unui atac informatic la site-ul de facturare online pe care îl deținea, incident care a dus la accesarea datelor personale ale mai multor clienți. Firma cu doar trei salariați și cu pierderi de aproape 64.000 lei în 2023, conform datelor de la Ministerul Finanțelor, a achitat amenda.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A NSPDCP) a finalizat, în luna ianuarie 2025, o investigație la firma Webrasoft SRL. Investigația a fost declanșată în urma unei notificări de încălcare a securității datelor cu caracter personal.
„În cadrul investigației efectuate, s-a constatat faptul că, operatorul care deținea un site de facturare online a fost victima unui atac informatic, prin care a fost accesat, în mod ilegal, serverul pe care era stocată baza de date a clienților”, arată Autoritatea pentru protecția datelor personale.
Atacatorul a accesat neautorizat datele cu caracter personal deținute de operator, ceea ce a afectat confidențialitatea datelor personale ale unui număr mare de clienți (numele, prenumele, codul numeric personal, adresa de domiciliu, telefonul, adresa de e-mail, numărul de cont bancar).
„Webrasoft SRL nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele Regulamentului (UE) 2016/679 și pentru a proteja drepturile persoanelor vizate, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare”, spune ANSPDCP.
Această situație a condus la accesul neautorizat al unui terț la datele cu caracter personal deținute de operator, fiind astfel încălcate prevederile art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din RGPD.
Astfel, firma a fost sancționată cu amendă în valoare de 99.518 lei, echivalentul a 20.000 de EUR.
De asemenea, firma va trebui să implementeze un sistem de jurnalizare a tuturor accesărilor valide/erorilor privind încercările nereușite de acces asupra serverelor din infrastructura IT, cu reținerea acestora pe o durată de cel puțin 30 de zile, inclusiv cu efectuarea de back-up asupra fișierelor de jurnalizare (log-uri).
Firma Webrasoft SRL din Oradea, care în 2023 a avut doar 3 angajați și a raportat pierderi în valoare de 63.938 lei, conform datelor oficiale de la Ministerul Finanțelor, a achitat, între timp amenda usturătoare în valoare de 20.000 EUR. Potrivit ultimelor date raportate, Webrasoft SRL a avut în 2023 venituri totale de 942.470 lei și cheltuieli de 998.245 lei.
În 2022, firma românească a avut venituri de 981.087 lei și cheltuieli de 965.527 lei, dar a reușit să scoată un profit de 5.841 lei.