Investigația a fost declanșată după ce compania a notificat autoritatea, în baza art. 33 din Regulamentul General privind Protecția Datelor (GDPR), cu privire la un incident de securitate.
Ce spun autoritățile despre atacul cibernetic în care a fost implicat Renault România
Potrivit ANSPDCP, atacul cibernetic a vizat o aplicație a Renault, administrată printr-un împuternicit, iar în urma acestuia au fost accesate și divulgate neautorizat, inclusiv prin publicare online, date cu caracter personal aparținând unui număr foarte mare de persoane.
Printre datele compromise se numără: nume, prenume, numere de telefon (personal și profesional), adresă de domiciliu, adresă de e-mail, cod numeric personal, număr permis de conducere, serie și număr carte de identitate, data nașterii, funcția și angajatorul, dar și informații precum seria de șasiu sau identificatori interni ai angajaților.
Renault România nu a respectat regulamentul GDPR
Autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel corespunzător de securitate, încălcând prevederi importante din regulamentul GDPR, inclusiv obligația de a garanta confidențialitatea sistemelor și de a testa și evalua periodic eficiența măsurilor de protecție.
De asemenea, compania nu s-a asigurat că furnizorul (împuternicitul) care administra aplicația oferea garanții suficiente privind securitatea prelucrării datelor, ceea ce a condus la încălcarea art. 28 din regulament.
În urma acestor constatări, ANSPDCP a aplicat sancțiunea pentru încălcarea art. 32 alin. (1) lit. b) și d), precum și alin. (2), coroborate cu art. 28 alin. (1) din GDPR.
