O firmă din România specializată în servicii de consultanță în inginerie, Blue Projects SRL, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 12.734 lei, echivalentul a aproximativ 2.500 de euro, după un atac informatic care a compromis datele personale ale angajaților și colaboratorilor săi. Sancțiunea a fost aplicată în urma unei investigații încheiate în luna martie 2026, care a scos la iveală că firma nu a respectat unele dintre cerințele fundamentale ale Regulamentului UE 2016/679 privind protecția datelor personale.
Impactul atacului asupra datelor personale ale angajaților și colaboratorilor
Potrivit autorității de protecție a datelor, în urma atacului informatic, sistemele IT ale Blue Projects SRL au fost compromise, iar informațiile personale ale unui număr mare de persoane au fost accesate fără autorizație. Printre datele vizate s-au numărat nume, prenume, cod numeric personal (CNP), adrese, date de contact, emailuri, funcții și CV-uri. Firma a recunoscut oficial incidentul și a notificat ANSPDCP despre încălcarea securității datelor, însă măsurile preventive și de protecție implementate înainte de eveniment au fost considerate insuficiente.
Autoritatea a subliniat faptul că Blue Projects SRL nu a adoptat măsuri tehnice și organizatorice corespunzătoare pentru a asigura un nivel adecvat de securitate a datelor, conform articolelor 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul UE. În absența unor dispozitive tehnice de prevenție și a procedurilor stricte de testare și evaluare periodică a securității, riscurile au fost subestimate, iar consecințele atacului s-au dovedit a fi grave.
Nereguli în gestionarea și protecția datelor
Din raportul ANSPDCP rezultă clar că Blue Projects SRL nu a implementat măsuri eficiente pentru a proteja confidențialitatea și integritatea datelor procesate. Autoritatea a criticat lipsa unor sisteme de monitorizare a fluxurilor de date, precum și nevoia de revizuire constantă a măsurilor de securitate pentru a preveni incidentele de acest tip.
Potrivit comunicatului, firma trebuia să ia măsuri pentru a testa și evalua periodic eficacitatea noilor măsuri tehnice și organizatorice, însă acestea lipseau sau nu erau aplicate în mod corespunzător. În plus, lipsa unui sistem de monitorizare a flow-urilor de date a făcut dificilă detectarea rapidă a atacurilor și preîntâmpinarea daunelor majore.
ANSPDCP a punctat că aceste deficiențe nu doar că încalcă regulile Uniunii Europene, ci și compromit încrederea persoanelor în modul în care companiile gestionează informațiile sensibile. De asemenea, firma trebuie să se conformeze noilor reguli și să implementeze în cel mai scurt timp măsuri tehnice și procedurale concrete pentru a asigura o securitate mai bună în prelucrarea datelor.
De asemenea, este obligatoriu ca Blue Projects SRL să finalizeze și să documenteze un plan de măsuri pentru monitorizarea continuă a fluxurilor de date, precum și evaluări periodice ale sistemelor de securitate pentru a evita astfel de incidente pe viitor. Data limită pentru respectarea acestor măsuri nu a fost comunicată oficial, însă se estimează că firma trebuie să demonstreze progrese concrete în termen de 90 de zile de la notificare.
