NTT Data România, amendă de 25.000 de euro, în urma unui atac cibernetic. Hackerii au accesat date personale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat NTT Data România cu suma de 25.000 euro după o investigație care a depistat că datele personale ale unui „număr semnificativ” de persoane fizice au fost accesate neautorizat în urma unui atac cibernetic.

NTT Data România a fost amendată cu suma de 25.000 de euro în urma unui atac cibernetic pe care nu l-a semnalat în termen legal Autorității de supraveghere. Hackerii au accesat copii de pe acte de identitate, certificate de căsătorie și pașapoarte ale unui „număr semnificativ de persoane fizice”.

„Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna februarie 2025, o investigație la operatorul NTT DATA ROMÂNIA S.A. și a constatat încălcarea art. 32 alin. (1) lit. b) și d), alin. (2) și art. 33 alin. (1) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sancționat cu:

• amendă în cuantum de 124.432,50 lei, echivalentul sumei de 25.000 euro, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d), alin. (2) din Regulamentul (UE) 2016/679.
• avertisment pentru încălcărea dispozițiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679.

Investigația a fost demarată ca urmare a transmiterii de către operatorul NTT DATA ROMÂNIA S.A. a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679”, a transmis marți instituția.

Datele personale ale unui „număr semnificativ” de persoane fizice, accesate neautorizat

În cadrul investigației, s-a constatat că, în urma unui atac cibernetic, a fost accesată infrastructura informatică a operatorului și astfel au fost extrase în mod neautorizat date cu caracter personal.

„În acest context, precizăm că această situație a condus la accesul neautorizat la date cu caracter personal ale unui număr semnificativ de persoane fizice vizate, precum: nume, prenume, semnătură, adresă, număr de telefon, adresă de e-mail, sexul, naționalitatea, copii de pe acte de identitate, certificate de căsătorie, pașapoarte, certificate de naștere, informații privind ocuparea forței de muncă și informații financiare: facturi, contracte, planuri de buget, informații educaționale (înregistrări ale unor cursuri de formare, participarea la cursuri de formare, CV-uri, diplome de studii), date sensibile privind sănătatea angajaților”, mai arată instituția.

Operatorul nu a notificat incidentul în termenul legal

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal spune că furnizorul de soluții IT nu a pus în aplicare măsuri tehnice adecvate pentru protecția datelor personale și nici nu a notificat incidentul în termenul legal.

„S-a constatat că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate și nu a realizat testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru garantarea securitatății prelucrării datelor, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare. (…)

De asemenea, în cadrul investigației s-a constatat că operatorul nu a notificat Autoritatea de supraveghere în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității datelor cu caracter personal, încălcând astfel dispozițiile art. 33 alin. (1) din RGPD.

Operatorul a achitat amenda contravențională stabilită, mai arată ANSPDCP.

Reacția NTT Data România

NTT Data România a precizat, într-o reacție transmisă HotNews.ro, că a întărit măsurile de securitate după atacul cibernetic care a avut loc în vara anului 2024.

„Referitor la incidentul petrecut în urmă cu 9 luni, precizăm că accesul la sistemul compromis a fost restricționat de către experții noștri în securitate cibernetică, la foarte scurt timp după detectarea intruziunii. Acțiunea rapidă a condus la o limitare majoră a cantității și calității de date afectate, raportată la totalitatea datelor disponibile în sistem.

Izolarea sistemului afectat a împiedicat extinderea amenințării în alte zone. Angajamentul NTT DATA Romania de a proteja datele gestionate este confirmat de un set de măsuri tehnice pe care departamentele responsabile le-au aplicat pentru a crește rezistența la orice eventuală acțiune ostilă”, au precizat reprezentanții NTT Data România.