Autoritatea pentru protecția datelor personale a sancționat compania care operează restaurantele McDonald’s în România, după un incident informatic cu impact asupra datelor angajaților. Cazul readuce în atenție vulnerabilitățile de securitate cibernetică și obligațiile legale ale marilor angajatori.

Ce a determinat sancționarea operatorului McDonald’s din România

Premier Restaurants România, compania care operează rețeaua de McDonald’s din România, a fost amendată în urma unui atac informatic care a permis accesarea neautorizată a datelor personale aparținând unui număr semnificativ de angajați ai companiei. Autoritatea a precizat că sancțiunea, în valoare de aproximativ 8.000 de euro, a fost aplicată după finalizarea unei investigații desfășurate pe parcursul anului trecut.

Investigația a fost declanșată ca urmare a unei notificări transmise chiar de operator, care a informat autoritățile despre incidentul de securitate produs la nivelul aplicațiilor informatice utilizate. Conform autorității, amenda a fost deja achitată de companie.

Ce tip de date au fost compromise în urma atacului informatic

În cadrul verificărilor, autoritatea a stabilit că atacul cibernetic a vizat o aplicație informatică deținută de operator, prin care au fost accesate date personale sensibile.

„Această situație a condus la accesarea neautorizată la datele cu caracter personal ce aparțineau unui număr semnificativ de persoane vizate (salariați ai operatorului), precum: nume, prenume, data nașterii, adresa de e-mail, funcția”, se arată în comunicatul oficial.

Aceste informații, deși nu includ date financiare, pot fi folosite în diverse forme de fraudă sau atacuri ulterioare, motiv pentru care legislația impune standarde ridicate de protecție.

De ce au considerat autoritățile că măsurile de securitate au fost insuficiente

a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate, raportate la riscurile asociate prelucrării datelor. Lipsurile identificate au vizat capacitatea de a garanta confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor informatice.

Totodată, investigația a relevat că firma nu s-a asigurat că apelează exclusiv la persoane împuternicite care pot oferi garanții suficiente privind protecția datelor. Aceste deficiențe contravin obligațiilor prevăzute de Regulamentul general privind protecția datelor, cunoscut ca GDPR.

Care sunt prevederile legale încălcate și consecințele aplicate

Ca urmare a constatărilor, Premier Restaurants România a fost sancționată pentru încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2), coroborat cu art. 28 alin. (1) din Regulamentul (UE) 679/2016. Autoritatea a subliniat că operatorul a achitat amenda contravențională aplicată, relatează HotNews.

Premier Restaurants România operează în prezent 114 restaurante McDonald’s în 34 de orașe din țară și are peste 7.000 de angajați, ceea ce amplifică impactul oricărui incident de securitate.