Rompetrol Downstream a fost amendată cu 4.000 de euro cu argumentul că, după o breșă de securitate a datelor, mai multe persoane fizice au primit e-mailuri neautorizate cu conținut malițios de tip „phishing”, a anunțat autoritatea națională de supraveghere a datelor personale (ANSPDCP). Investigația a constatat că parola la adresa de e-mail pentru corespondența companiei cu clienții era cunoscută de mai mulți angajați, ceea ce a permis accesul neautorizat.
Investigația a fost demarată ca urmare a transmiterii de către operatorul Rompetrol Downstream SRL a unei notificări de încălcare a securității datelor cu caracter personal, în temeiul obligației ce-i revine potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679 (n.a. GDPR), scrie Hotnews.ro.
Adrese de e-mail, nume, prenume și semnături, care se aflau în fișiere ale companiei – descărcate și accesate ilegal
Autoritatea spune că „s-a raportat că mai multe persoane fizice au primit e-mailuri neautorizate cu conținut malițios de tip „phishing”.
Mesajele de tip phishing conțin de regulă linkuri care dacă sunt accesate trimit victimele către site-uri web false, aflate sub controlul atacatorilor, scopul fiind de a fura informații sensibile sau pentru a livra malware.
Totodată, în cadrul aceluiași incident, datele cu caracter personal aparținând unor persoane vizate, precum: adresa de e-mail, nume și prenume conținute în denumirea e-mailului, nume, prenume și semnături, care se aflau în fișiere ce aparțineau operatorului, au fost descărcate și accesate în mod nelegal.
În cadrul investigației, s-a constatat că adresa de e-mail a operatorului destinată corespondenței în relația cu clienții, administrată și utilizată exclusiv de o persoana juridică împuternicită de operator, avea parola cunoscută de mai multe persoane angajate ale acestuia, ceea ce a permis un acces neautorizat al adresei de e-mail în cauză, încălcându-se astfel confidențialitatea datelor.
De asemenea, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării de date personale, incluzând capacitatea de a asigura confidențialitatea, mai arată instituția.
Ca atare, Rompetrol Downstream SRL a fost sancționat cu amendă, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 2016/679.
Totodată, s-a dispus față de operator măsura corectivă de stabilire a unui plan de inspecții/audituri la nivelul persoanei împuternicite de acesta, de a lua măsuri pentru îndreptarea deficiențelor constatate, astfel încât să se evite incidente de securitate similare.
