Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat compania Blue Projects SRL cu o amendă de 12.734 lei, echivalentul a aproximativ 2.500 de euro, după un atac informatic care a compromis datele personale ale angajaților și colaboratorilor săi. Decizia a fost anunțată joi, în urma unei investigații finalizate în martie 2026, în care autoritatea a constatat mai multe încălcări ale regulilor privind protecția datelor, stipulate de Regulamentul UE 2016/679.
Compania, specializată în servicii de consultanță în inginerie, nu și-a respectat obligațiile de a asigura măsuri adecvate de securitate pentru prelucrarea datelor. În urma atacului, sistemele IT ale firmelor au fost compromise, iar informațiile personale ale unui număr semnificativ de persoane au fost accesate fără autorizare, după cum s-a precizat în notificarea transmisa către ANSPDCP. Dintre datele vizate s-au numărat nume, prenume, cod numeric personal, adrese, date de contact, emailuri, funcții și CV-uri.
Ce a încălcat firma în ceea ce privește securitatea datelor
Autoritatea a spus că Blue Projects SRL nu a implementat măsuri tehnice și organizatorice suficiente pentru a proteja datele prelucrate. Conform deciziei, compania nu a reușit să asigure un nivel de securitate corespunzător riscurilor existente, încălcând astfel prevederile articolului 32 din regulament. Mai precis, nu a fost adoptată o politică clară pentru testarea și evaluarea periodică a sistemelor, ceea ce ar fi trebuit să garanteze eficiența măsurilor tehnice și administrative.
În plus, nu s-au utilizat proceduri pentru monitorizarea fluxurilor de date sau pentru detectarea timpurie a eventualelor breșe de securitate. Consecința imediată a acestor deficiențe a fost accesul neautorizat la informații personale ale mai multor persoane, fără ca firma să fi luat măsuri imediate pentru a limita sau a anunța încălcarea.
ANSPDCP a subliniat că aceste erori ar fi putut fi evitabile dacă compania îndeplinea condițiile minime de securitate prevăzute de legislație, inclusiv protecția confidențialității sistemelor și a serviciilor de prelucrare a datelor.
Ce trebuie să facă compania pentru a se conforma
În urma sancțiunii, Blue Projects SRL trebuie să adopte urgent măsuri adecvate pentru remedierea deficiențelor. Autoritatea a specificat că firma trebuie să implementeze la nivel tehnic și procedural un sistem de monitorizare a fluxurilor de date, precum și să adopte un plan de evaluare periodică a măsurilor de securitate. Aceste acțiuni vizează atât creșterea nivelului de protecție, cât și prevenirea unor incidente similare în viitor.
Printre măsurile recomandate se numără introducerea unor tehnologii de criptare, formarea angajaților privind gestiunea sigură a datelor și revizuirea periodică a politicilor interne de securitate. În plus, operatorul trebuie să notifice orice breșă de securitate în cel mult 72 de ore autorității și persoanelor afectate, conform prevederilor legale.
Decizia de sancționare survine într-un moment în care tot mai multe companii se află sub presiune pentru a respecta rigorile protecției datelor personale. În cazul Blue Projects SRL, omisiunile în ceea ce privește securitatea sistemelor au avut consecințe directe asupra datelor a numeroase persoane, iar compania va trebui să demonstreze în următoarea perioadă eforturile de conformare. Data de 15 aprilie 2023 marchează termenul limită pentru implementarea măsurilor corective, conform deciziei emise de ANSPDCP.
