12.05.2023
Noi sancțiuni
Autoritatea Națională de Supraveghere a finalizat, în luna aprilie 2023, două investigații la operatori din domeniul asigurărilor.
Investigațiile au fost demarate ca urmare a unor notificări de încălcare a securității datelor care au fost transmise de NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. și NN Asigurări de Viață S.A.
Ca atare, s-a constatat că:
- Operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. a încălcat dispozițiile art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 7.407,00 lei (echivalentul a 1500 euro).
- Operatorul NN Asigurări de Viață S.A. a încălcat dispozițiile art. 32 alin. (1) lit. b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și fost sancționat contravențional cu amendă în cuantum de 4.938,00 lei (echivalentul a 1000 euro).
1. În cadrul investigației efectuate la operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. s-a constatat că acesta a efectuat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de a păstra paginile web în memoria acesteia. Ca atare, această situație a determinat vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau.
Din verificările efectuate, a rezultat că această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon) fiind afectate de incident 2 persoane vizate. De asemenea, a reieșit faptul că, anterior punerii la dispoziția publicului a aplicației NN Direct, modificările de configurație specifice echipamentului care asigură memoria temporară a paginilor web ale acesteia nu au fost supuse unui proces de testare la nivelul operatorului.
Autoritatea Națională de Supraveghere a constatat că operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa un mecanism de testare procedurat și promovat la intervale regulate de timp prin care să fie efectuate teste privind configurațiile posibile ale aplicațiilor active și disponibile clienților NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A., respectiv documentarea rezultatelor prin aplicarea unor măsuri de remediere în sensul evitării unor incidente de securitate similare.
2. În cadrul unei investigații la operatorul NN Asigurări de Viață S.A. s-a constatat că acesta a executat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de păstrare a paginilor web în memoria acesteia. Prin urmare, a fost posibilă vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau.
Ca urmare a verificărilor din cadrul investigației, a rezultat că această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon). Totodată, a reieșit faptul că, anterior punerii la dispoziția publicului a aplicației NN Direct, modificările acesteia nu au fost supuse unui proces de testare de către operator.
Autoritatea Națională de Supraveghere a constatat că operatorul NN Asigurări de Viață S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa un mecanism de testare procedurat și promovat la intervale regulate de timp, prin care să fie efectuate teste privind configurațiile posibile ale aplicațiilor active și disponibile clienților NN Asigurări de Viață S.A., respectiv documentarea rezultatelor prin aplicarea unor măsuri de remediere în sensul evitării unor incidente de securitate similare.
Direcția juridică și comunicare
A.N.S.P.D.C.P