Asculta acest articol
NTT Data a fost sancționată cu o amendă de 125.000 de lei pentru nerespectarea protecției datelor și pentru întârzierea notificării privind breșa de securitate. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a făcut publice rezultatele investigației finalizate în februarie 2025, privind activitatea operatorului NTT DATA ROMÂNIA S.A. și a descoperit încălcări grave ale Regulamentului General privind Protecția Datelor (GDPR).
În urma investigației, compania a fost sancționată astfel:
O amendă de 124.432,50 lei (aproximativ 25.000 de euro) pentru nerespectarea prevederilor articolului 32 alin. (1) lit. b) și d), alin. (2) din GDPR.
Un avertisment pentru nerespectarea articolului 33 alin. (1) din GDPR privind notificarea incidentelor de securitate ale datelor în termen de 72 de ore: „În cazul unei încălcări a securității datelor cu caracter personal, operatorul trebuie să notifice autoritatea competentă fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la momentul în care a luat cunoștință de incident.”
Circumstanțele incidentului
Investigația a fost declanșată după ce NTT DATA ROMÂNIA S.A. a notificat o breșă de securitate conform articolului 33 din GDPR. În urma unui atac cibernetic, infrastructura informatică a companiei a fost compromisă, iar datele personale ale mai multor persoane fizice au fost accesate și extrase neautorizat.
Printre datele expuse se numără:
Nume, prenume, semnături, adrese, numere de telefon, adrese de e-mail.
Copii ale actelor de identitate, certificate de naștere, pașapoarte, certificate de căsătorie.
Date financiare (facturi, contracte, planuri de buget) și informații educaționale (CV-uri, diplome).
Date sensibile privind sănătatea angajaților.
Constatările autorității
Autoritatea a concluzionat că NTT DATA ROMÂNIA S.A. nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea prelucrării datelor, așa cum prevede GDPR. Mai precis, compania nu a realizat evaluări periodice ale eficienței măsurilor de protecție, ceea ce ar fi garantat:
Confidențialitatea, integritatea și disponibilitatea datelor.
Rezistența continuă a sistemelor și serviciilor de prelucrare.
De asemenea, s-a constatat că NTT DATA ROMÂNIA S.A. a încălcat termenul de 72 de ore pentru notificarea autorității de supraveghere cu privire la incidentul de securitate, conform articolului 33 alin. (1) din GDPR.
Fii primul care comentează