O firmă de servicii de consultanță în inginerie din România, Blue Projects SRL, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 12.734 lei, echivalentul a 2.500 de euro, ca urmare a unui atac informatic care a compromis datele personale ale angajaților și colaboratorilor săi. Decizia a fost anunțată joi, după o investigație finalizată în luna martie 2026, ce a relevat nerespectarea exigentelor legale privind protecția datelor.
Detalii despre încălcarea și impactul atacului
Potrivit autorității de protecție a datelor, sistemele informatice ale companiei au fost ținta unui atac cibernetic, care a permis accesul neautorizat la informații sensibile. Operatorul a notificat ANSPDCP despre incident, însă analizele au arătat că firma nu a implementat măsuri tehnice și organizatorice suficiente pentru a garanta securitatea datelor. În urma breșei, au fost compromise date precum nume, prenume, cod numeric personal, adresă, informații de contact, email, funcție și CV ale unui număr semnificativ de persoane.
Autoritatea a constatat că Blue Projects SRL nu a adoptat măsuri pentru a asigura un nivel corespunzător de protecție a datelor, în ciuda riscurilor implicate. În plus, nu a fost instituit un proces regulat de testare și evaluare a eficacității măsurilor de securitate, fapt care a permis efectuarea atacului și expunerea datelor personale.
Măsuri impuse și recomandări pentru firmă
ANSPDCP a stabilit că firma trebuie să implementeze urgent atât măsuri tehnice, cât și procedurale pentru a evita noi incidente. În plus, Blue Projects SRL trebuie să instituiască un sistem de monitorizare continuă a fluxurilor de date pentru a detecta în timp real orice anomalie sau acces neautorizat.
Autoritatea a subliniat importanța introducerii unei politici stricte de securitate cibernetică și a controlului periodic al sistemelor informatice. În plus, firma trebuie să asigure formarea angajaților în domeniul securității datelor și să stabilească proceduri clare pentru gestionarea incidentelor de securitate.
Una dintre principalele cerințe este implementarea unui plan de acțiune pentru reacția în situații de urgență, pentru a minimiza impactul unor eventuale breșe viitoare. Măsurile trebuie să fie documentate și reevaluate periodic, pentru a menține un nivel adecvat de protecție în fața amenințărilor tot mai sofisticate din domeniul cibernetic.
Blue Projects SRL are termen până la începutul lunii iunie pentru a se conforma deciziilor autorității și pentru a raporta progresul în remedierea deficiențelor. În cazul în care nu vor fi respectate aceste măsuri, compania riscă noi sancțiuni, inclusiv amenzi suplimentare.
