Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Orange România cu 100.000 EUR pentru încălcarea anumitor prevederi ale Regulamentului UE privind protecția datelor personale (GDPR).
Investigația a pornit după ce Orange România a transmis către ANSPDCP o notificare cu privire la încălcarea securității datelor cu caracter personal, anunță, vineri, Autoritatea.
Potrivit ANSPDCP, în urma incidentului de securitate ce a avut loc în aplicația mobilă a companiei, un client a putut accesa și descărca facturi pentru echipamente aparținând altor clienți. Problema ar fi fost cauzată de o eroare de sincronizare între două aplicații interconectate ale operatorului, care a dus la asocierea greșită a unui cont de client cu un cont de angajat al companiei.
În urma verificărilor, ANSPDCP a constatat că Orange România nu a aplicat suficiente măsuri tehnice pentru a proteja drepturile utilizatorilor, în momentul configurării și utilizării platformelor sale digitale.
Acest lucru a dus la divulgarea neautorizată a unor date personale ale clienților, precum nume, adrese, date din actele de identitate și informații despre facturi.
De asemenea, investigația a arătat că operatorul nu a implementat suficiente măsuri de securitate pentru protejarea platformelor sale și nu a verificat periodic eficiența acestora.
„Această vulnerabilitate a permis un atac informatic asupra securității accesului în aplicația de ticketing a operatorului, care a condus astfel la accesul neautorizat și la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranță, cum ar fi conexiune securizată (VPN), autentificarea în doi pași (MFA) sau restricționarea accesului pe bază de IP”, susține ANSPDCP.
În urma incidentului, a fost accesat neautorizat un volum foarte mare de date personale ale mai multor persoane vizate, inclusiv nume, adrese, numere de telefon, adrese de e-mail, CNP-uri, informații despre carduri bancare, date de autentificare, coduri de client, coduri IBAN și date asociate cartelelor SIM.
În consecință, Orange România SA a fost sancționată contravențional cu două amenzi în cuantum de 523.900 lei (echivalentul a 100.000 EURO), astfel:
- cu amendă în cuantum de 104.780 lei (echivalentul sumei de 20.000 EUR) pentru încălcarea dispozițiilor art. 25 alin. (1) din Regulamentul (UE) 2016/679, cu privire la lipsa implementării unor măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în timpul prelucrării propriu-zise;
- cu amendă în cuantum de 419.120 lei (echivalentul sumei de 80.000 EUR) pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d), alin. (2) și (4) din Regulamentul (UE) 2016/679, referitoare la lipsa implementării unor măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea și securitatea corespunzătoare a prelucrării.
Pe lângă cele două amenzi, ANSPDCP a impus companiei și măsuri de remediere, printre care monitorizarea și testarea periodică a aplicațiilor informatice pentru identificarea și eliminarea vulnerabilităților care ar putea permite accesul neautorizat la date personale.