Amendă administrativă în valoare de 950 000 euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor companiei Sambla Group pentru nerespectarea măsurilor de securitate a datelor

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 950 000 euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei Sambla Group pentruîncălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

SA Finlandeză a lansat o investigație pe baza unei plângeri depuse de un client. O investigație tehnică a evidențiat probleme grave de securitate a datelor cu privire la serviciile de comparare a împrumuturilor ale operatorului. Atunci când gravitatea problemelor de securitate a datelor a devenit evidentă, în primăvara anului 2024, companiei i s-a ordonat să înceteze imediat prelucrarea datelor cu caracter personal referitoare la solicitanții de împrumuturi în cadrul serviciilor sale electronice.

Serviciile de comparare a împrumuturilor ale Sambla Group nu au impus restricții adecvate pentru a împiedica accesul terților la datele din cererile de împrumut, astfel fiind încălcate prevederile art. 32, art. 25 și art. 5(1)(f)) din GDPR. Din cauza măsurilor precare de securitate a datelor, conținutul cererilor de împrumut ale clienților era accesibil terților prin intermediul URL-urilor personale destinate clienților. Oricine avea acces la URL și suficiente cunoștințe tehnice pentru a exploata vulnerabilitatea de securitate avea acces direct la date. Investigația tehnică a arătat că URL-urile fuseseră vizate de phishing și că datele cu caracter personal fuseseră divulgate unor terți. Informațiile disponibile prin intermediul link-urilor includeau cel puțin datele de contact ale solicitantului împrumutului, precum și informații privind venitul, costurile de întreținere a imobilului, starea civilă și numărul eventual de copii. 

În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 950 000  euro, fiind obligat să notifice incidentul clienților săi. Operatorul a anunțat că a încetat să mai utilizeze URL-urile vulnerabile și că a îmbunătățit măsurile de securitate a datelor din serviciile sale. 

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.