Magazinul de electrocasnice Beko România a fost sancționat cu o amendă de 10.000 EUR de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), după ce o persoană neautorizată a accesat ilegal site-ul companiei, obținând datele personale ale clienților.
Datele clienților, compromise din cauza unei vulnerabilități de securitate
Investigația a fost declanșată în urma unei notificări privind o încălcare a securității datelor personale, conform Regulamentului (UE) 2016/679. Ancheta ANSPDCP a relevat că o vulnerabilitate de programare a permis unui utilizator să acceseze baza de date a clienților Beko România.
Persoana neautorizată a avut acces la informații sensibile, inclusiv nume, prenume, număr de telefon, adresă de e-mail, domiciliu și detalii despre produsele achiziționate.
Lipsa măsurilor de securitate, cauza principală a breșei
Autoritatea pentru protecția datelor a constatat că Beko România nu a implementat măsuri tehnice și organizatorice adecvate pentru protecția informațiilor, nici la momentul stabilirii mijloacelor de prelucrare, nici pe parcursul utilizării acestora. De asemenea, compania nu a realizat evaluări periodice ale eficienței măsurilor de securitate, ceea ce a dus la expunerea datelor personale.
Aceste deficiențe au reprezentat o încălcare a prevederilor GDPR privind securitatea datelor, mai exact a articolelor 25 și 32 din Regulamentul European 2016/679.
Pe lângă amenda de 49.766 lei (10.000 EUR), ANSPDCP a impus Beko România implementarea unui sistem tehnic de analiză a volumului de date din infrastructura IT, inclusiv efectuarea de back-up-uri regulate.
Compania a achitat deja amenda.
