Donează aici. Susține o presă liberă.
Funcționăm ca organizație non-profit, iar banii rezultați din contribuțiile cititorilor sunt destinați integral finanțării proiectului G4Media.
CONT LEI: RO89RZBR0000060019874867
Deschis la Raiffeisen Bank
Compania de telecomunicații Orange România a primit două amenzi majore în valoare totală de 100.000 de euro, pentru încălcarea prevederilor privind protecția datelor cu caracter personal. Mai precis, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal anunță că a finalizat investigația în luna iunie, constatândîncălcarea dispozițiilor art. 25 alin. (1), art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) și (4) din Regulamentul (UE) 2016/679.
În consecință, Orange România SA a fost sancționată contravențional cu două amenzi în cuantum de 523.900 lei (echivalentul a 100.000 EURO), astfel:
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
Astfel, operatorul a notificat faptul că incidentul de securitate a apărut în aplicația mobilă deținută de acesta, unde un client a putut accesa și descărca facturile de echipamente aparținând altor clienți. Acesta a apărut ca urmare a unei erori de sincronizare între două aplicații interconectate ale operatorului care a generat astfel o identificare greșită între un cont de client cu cel al unui angajat al companiei.
În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în momentul configurării și utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi. Această situație a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria și numărul cărții de identitate, seria și numărul facturii, data emiterii acesteia, fiind astfel încălcate dispozițiile art. 25 alin. (1) din Regulamentul (UE) 2016/679.
În același timp, în cursul investigației, s-a constatat și faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător pentru a proteja platformele administrate și nu a testat periodic eficacitatea sistemelor de securitate. Această vulnerabilitate a permis un atac informatic asupra securității accesului în aplicația de ticketing a operatorului, care a condus astfel la accesul neautorizat și la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranță, cum ar fi conexiune securizată (VPN), autentificarea în doi pași (MFA) sau restricționarea accesului pe bază de IP.
Ca urmare, a fost sustras neautorizat un volum foarte mare de date personale ale persoanelor vizate, cum ar fi: numele și prenumele; adresele, numerele de telefon, adresele de e-mail, codul numeric personal, seria și numărul cărţii de identitate, inclusiv copii ale cărţii de identitate; informații legate de cardurile bancare, data expirării, furnizorul cardului; date de autentificare care reprezintă potențiale chei de acces pentru comunicare între aplicații (trecute sau prezente), codul de client, codul IBAN, numerele de SIM; tipologie funcție angajați.
În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus față de operator și măsura corectivă de implementare tehnică și organizatorică a unui proces de monitorizare și testare a tuturor aplicațiilor informatice utilizate în activitatea operatorului, prin care să existe controlul tuturor modificărilor la nivelul soft-urilor utilizate în cadrul acestora (update-uri, modificări de configurații, procese de interconectare etc.) și care să includă teste ulterioare în vederea identificării vulnerabilităților ce pot conduce la accesul neautorizat la datele cu caracter personal.