Farmec a fost amendată! Firma clujeană, cel mai mare producător de cosmetice din România, a primit amendă pentru că datele clienților au fost accesate , în urma unui atac cibernetic

Producătorul român de cosmetice, Farmec, a fost sancționat cu o amendă de 5.000 de euro în urma unui atac cibernetic care a permis accesul neautorizat la baza de date ce conținea informații despre utilizatorii și administratorii site-ului companiei. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat miercuri că Farmec nu a implementat măsurile de securitate necesare pentru a preveni atacul.

Investigația autorității a fost inițiată după ce Farmec SA a notificat încălcarea securității datelor cu caracter personal, conform prevederilor articolului 33 din Regulamentul (UE) 2016/679 (GDPR).

„În cadrul investigației s-a constatat că, în urma unui atac cibernetic, a fost accesată o bază de date cu utilizatori și administratori ai site-ului operatorului, fapt care a condus la extragerea de date din sistemul de evidență menționat. De asemenea, s-a constatat că operatorul nu a implementat la data incidentului măsurile de securitate necesare, astfel încât să prevină atacul și nu și-a actualizat sistemele informatice la ultima versiune permisă de licențiere, pentru a face față noilor amenințări cibernetice”, a anunțat autoritatea.

Incidentul a dus la divulgarea sau accesul neautorizat la datele personale ale unui număr semnificativ de persoane fizice, incluzând nume, prenume, adrese de e-mail și parole criptate pentru accesul contului de utilizator. Aceste deficiențe constituie o încălcare a articolului 25 alineatul (1) coroborat cu articolul 32 alineatul (1) literele b) și d), precum și alineatul (2) din Regulamentul (UE) 2016/679.

Compania Farmec a achitat amenda contravențională stabilită.

----------------------------------------------------

UPDATE: 6.02.2025 ora 14:40

Referitor la amenda primită, compania Farmec a făcut următoarele precizări. Le redăm integral mai jos: 

„În decembrie 2023, adică acum mai bine de 12 luni, compania Farmec a sesizat din proprie inițiativă ANSPDCP cu privire la un posibil incident de securitate cibernetică în care erau implicate o mică parte din datele existente, în acel moment, în bazele de clienți ale companiei. În paralel, compania a notificat individual toți clienții potențial afectați cu privire la incident și a luat măsuri suplimentare de sporire a securității tuturor conturilor.

Monitorizarea atentă, derulată pe parcursul anului 2024, nu a relevant faptul că vreuna dintre datele expuse riscului ar fi fost utilizate pentru eventuale fraude.

Investigația ANSPDCP s-a bazat exclusiv pe datele puse la dispoziție, în ianuarie 2024, în mod transparent, de către companie.  Chiar dacă nu a existat niciun alt incident, compania a continuat să își dezvolte procedurile pentru a ne asigura că astfel de situații nu pot fi repetate. Îi asigurăm pe toți clienții noștri că Farmec nu stochează date sensibile legate de clienții săi (CNP, date legate de utilizarea cardurilor, etc) ci doar datele minime necesare pentru accesarea conturilor (adrese de mail si parole criptate),  și le stăm la dispoziție permanent pentru orice întrebări au referitoare la siguranța datelor lor, pe adresa gdpr@farmec.ro”.