Contextul incidentului: notificare de încălcare a securității datelor conform art. 33 GDPR
Investigația a fost declanșată după ce CV PRO CONSULT S.R.L. a transmis o notificare de încălcare a securității datelor (data breach), conform art. 33 GDPR. Operatorul a raportat un atac cibernetic care a compromis infrastructura informatică internă, generând:
- acces neautorizat la sistemele companiei
- restricționarea accesului operatorului la propriile date
- divulgarea unor informații sensibile aparținând angajaților clienților din portofoliu
Datele personale compromise în urma atacului
Incidentul a afectat un volum semnificativ de date personale, inclusiv:
- nume și prenume
- cod numeric personal (CNP)
- domiciliu
- funcție
- salariu
- sporuri și alte drepturi salariale
Aceste date sunt considerate cu risc ridicat, iar compromiterea lor poate genera consecințe grave precum fraude, furt de identitate sau prejudicii profesionale.
Constatările ANSPDCP: măsuri de securitate insuficiente
Autoritatea a concluzionat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, încălcând art. 32 GDPR. Printre deficiențele identificate:
- lipsa unor controale eficiente împotriva accesului neautorizat
- protecție insuficientă împotriva atacurilor cibernetice
- proceduri interne incomplete privind securitatea datelor
- instruire necorespunzătoare a personalului
Măsuri corective impuse operatorului
În baza art. 58 alin. (2) lit. d) GDPR, ANSPDCP a dispus:
- verificarea periodică a respectării procedurilor interne privind protecția datelor
- instruirea continuă a angajaților care prelucrează date personale
- consolidarea măsurilor tehnice și organizatorice pentru prevenirea incidentelor viitoare
Operatorul a achitat amenda contravențională.
Concluzie: un nou semnal de alarmă pentru organizațiile care gestionează date sensibile
Cazul CV PRO CONSULT S.R.L. evidențiază necesitatea:
- implementării unor măsuri robuste de securitate
- evaluării continue a riscurilor
- instruirii periodice a personalului
- monitorizării și auditării infrastructurii IT
În contextul creșterii atacurilor cibernetice, conformitatea GDPR nu este doar o obligație legală, ci o componentă esențială a managementului riscului la nivel enterprise.