Renault România оштрафована за то, что после кибератаки важные данные о клиентах стали общедоступны

Введение

Renault România оштрафована после кибератаки, в результате которой на платформе были опубликованы важные персональные данные большого числа людей. Национальный орган по защите данных, Autoritatea Națională pentru Protecția Datelor Personale (ANSPDCP), признал, что компания не обеспечила адекватные меры безопасности и наложил штраф.

Ход расследования

ANSPDCP начала расследование после уведомления от Renault Commercial Roumanie SRL (n.a. Renault România) о нарушении безопасности персональных данных, поданном в соответствии с положениями art. 33 din Regulamentul (UE) 2016/679. В ходе проверки установлено, что инцидент произошёл из‑за кибератаки на приложение оператора, управляемое через împuternicit (уполномоченное лицо).

Расследование завершилось в этом месяце. ANSPDCP выявила несанкционированный доступ и публикацию данных на платформе, что привело к разглашению большого объёма персональной информации.

Какие данные были опубликованы

По результатам расследования были доступны и опубликованы следующие категории персональных данных: nume, prenume, număr de telefon personal, număr de telefon profesional, adresa domiciliu, număr permis de conducere, adresă de e-mail, adresă poștală, cod numeric personal, seria de șasiu, data nașterii, serie și număr carte de identitate, funcția, angajatorul, număr personal de identificare pentru angajați.

ANSPDCP подчёркивает, что опубликованные данные включали как контактную информацию, так и идентификационные реквизиты, что повышает риск злоупотреблений в отношении затронутых лиц.

Угроза конфиденциальности и последствий

Публикация таких данных может привести к идентификационным мошенничествам, целевым атакам и другим формам неправомерного использования. ANSPDCP отметила высокую серьезность риска, обусловленного объемом и характером раскрытых сведений.

Причины санкции и выводы ANSPDCP

Орган установил, что Renault România не внедрила адекватные технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам, связанным с обработкой данных. В частности, ANSPDCP указывает на недостаточную способность обеспечивать конфиденциальность систем и услуг обработки, а также на отсутствие процесса регулярного тестирования, оценки и пересмотра эффективности таких мер.

Кроме того, проверка показала, что оператор не убедился в том, что împuterniciti (уполномоченные лица) предоставляют достаточные гарантии по реализации необходимых технических и организационных мер, в соответствии с prevederile art. 28 alin. (1) din RGPD.

Наложенная санкция

В результате проверок оператор был наказан штрафом в размере 637.262,50 lei, эквивалент суммы 125.000 euro, за нарушение положений art. 32 alin. (1) lit. b), d) și alin. (2) coroborat cu art. 28 alin. (1) din Regulamentul (UE) 2016/679.

Выводы

Решение ANSPDCP подчёркивает необходимость строгих технических и организационных мер защиты данных, особенно при привлечении împuterniciti для управления приложениями и сервисами. Renault România оштрафована за системные упущения в обеспечении безопасности, что привело к масштабному разглашению персональной информации.

Аннотация дела служит напоминанием для операторов данных о важности регулярного тестирования и подтверждения гарантий от привлечённых исполнителей во избежание подобных инцидентов.