Brandul românesc Farmec reacționează după amenda primită de la Autoritatea pentru Protecția Datelor.
Producătorul român de cosmetice Farmec, sancționat cu o amendă de 5.000 de euro de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), susține că a raportat din proprie inițiativă un posibil incident de securitate cibernetică. Compania a sesizat autoritatea în decembrie 2023, precizând că doar o mică parte din datele din baza sa de clienți ar fi fost afectată.
În paralel, Farmec a notificat individual toți clienții potențial impactați și a implementat măsuri suplimentare pentru creșterea securității conturilor.
„Monitorizarea atentă, derulată pe parcursul anului 2024, nu a relevat faptul că vreuna dintre datele expuse riscului ar fi fost utilizate pentru eventuale fraude. Investigația ANSPDCP s-a bazat exclusiv pe datele puse la dispoziție, în ianuarie 2024, în mod transparent, de către companie. Chiar dacă nu a existat niciun alt incident, compania a continuat să își dezvolte procedurile pentru a ne asigura că astfel de situații nu pot fi repetate. Îi asigurăm pe toți clienții noștri că Farmec nu stochează date sensibile legate de clienții săi (CNP, date legate de utilizarea cardurilor, etc) ci doar datele minime necesare pentru accesarea conturilor (adrese de mail si parole criptate), și le stăm la dispoziție permanent pentru orice întrebări au referitoare la siguranța datelor lor, pe adresa [email protected]”, se arată într-o comunicare oficială.
Totul a plecat de la o breșă de securitate
S-a constatat o breșă de securitate în sistemul companiei, de unde și scurgerea de date cu caracter personal care au atras după sine sancțiunea amintită mai sus. În urma unei investigații desfășurate la compania Farmec SA, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat, în decembrie 2024, încălcarea normelor europene privind protecția datelor. Mai exact, instituția a stabilit că Farmec nu a respectat prevederile articolului 25, alineatul (1), și articolului 32, alineatul (1), literele b) și d), precum și alineatul (2) din Regulamentul (UE) 2016/679.
Farmec SA a fost sancționată cu o amendă de 24.854,50 lei (echivalentul a 5.000 de euro) după ce Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a descoperit deficiențe în protecția datelor utilizatorilor. Investigația a fost declanșată în urma unei notificări transmise de companie, conform prevederilor articolului 33 din Regulamentul (UE) 2016/679, privind încălcarea securității datelor cu caracter personal.
În cadrul verificărilor, autoritățile au constatat că un atac cibernetic a permis accesul neautorizat la o bază de date conținând informații despre utilizatorii și administratorii site-ului companiei, ceea ce a dus la extragerea unor date din sistem. Totodată, s-a stabilit că Farmec nu a implementat măsuri de securitate adecvate pentru a preveni atacul și nu și-a actualizat sistemele informatice la cele mai recente versiuni disponibile prin licențiere, expunând astfel rețeaua la riscuri cibernetice, potrivit autorității.
Incidentul de securitate a dus la accesul sau divulgarea neautorizată a datelor personale ale unui număr semnificativ de utilizatori, printre care nume, prenume, adrese de e-mail și parole criptate pentru conturile acestora. Aceste deficiențe au fost considerate o încălcare a prevederilor articolului 25, alineatul (1), și articolului 32, alineatul (1), literele b) și d), precum și alineatul (2) din Regulamentul (UE) 2016/679. Operatorul a achitat amenda contravențională aplicată de autorități.
