OPPDATERING kl 21:15: Rompetrol Downstream sendte, gjennom en pressemelding, at de tok til etterretning konklusjonen av etterforskningen åpnet av ANSPDCP angående hendelsen relatert til GDPR, og bemerket at «hendelsen ble opprinnelig rapportert av selskapet i mars 2022, og myndigheten hadde fordel av all vår støtte gjennom hele perioden, på en fullstendig og transparent måte».
«Sikkerheten og sikkerheten til Rompetrol Downstream-kunders personopplysninger er en prioritet i selskapets aktivitet. I den gitte sammenhengen mener Rompetrol Downstream at de har tatt faste tiltak for å beskytte kundenes personopplysninger, for fullt ut å overholde GDPR-reglene og for å implementere alle tekniske og organisatoriske tiltak rettet mot dette målet», opplyste selskapet også.
Rompetrol Downstream spesifiserte også at «i dette tilfellet snakker vi om en bestemt og isolert hendelse som for tiden er gjenstand for en åpen strafferettslig etterforskning basert på selskapets klage (april 2022) mot en av dets tidligere ansatte».
«De spesielle omstendighetene i denne saken, hvor visse personopplysninger ble avslørt og brukt til et uredelig formål i ond tro, er i strid med alle instruksjoner, opplæring og prosedyrer den ansatte mottok fra selskapet. I tillegg er Rompetrol Downstream forberedt på å bruke alle anerkjente rettigheter og juridiske prosedyrer som står til disposisjon for å bevare og forsvare sitt rykte i denne saken», konkluderte Rompetrol Downstream.
Innledende nyheter: «I løpet av etterforskningen viste det seg at dataene til enkelte kunder fra IT-programmet som eies av selskapet ble åpnet fra internt nivå og brukt på en uautorisert måte gjentatte ganger, og personopplysningene til noen kunder ble ulovlig utlevert. med det formål å få lån fra andre finansforetak på deres vegne», sier myndigheten.
Etterforskningen ble startet som et resultat av «operatørens overføring av flere meldinger om brudd på personopplysningssikkerheten, mellom 20.07.2021 og 3.02.2022» og ble fullført i oktober 2023.
I følge tilsynet ble følgende offentliggjort uten tillatelse:
- Fornavn og etternavn
- ID-kortserie og nummer
- personlig identifikasjonskode
- Adresse
- fødselssted
- Bilde
- Data fra lønnsattesten, som inntekt, ansiennitet, signatur.
Sikkerhetsproblemer
«Den nasjonale tilsynsmyndigheten fant at Rompetrol Downstream SRL ikke iverksatte tiltak for å sikre at enhver fysisk person som handler under operatørens myndighet og har tilgang til personopplysninger ikke behandler dem unntatt på hans anmodning, og heller ikke iverksatte tekniske tiltak og tilstrekkelige organisatoriske tiltak for å sikre et sikkerhetsnivå som tilsvarer risikoen ved behandling», sier institusjonen.
Libertatea kontaktet Rompetrol for et synspunkt. Så langt har jeg ikke fått noe svar.
Rompetrol Downstream er operatør for Rompetrol bensinstasjoner, det nest største bensinstasjonsnettverket i Romania, etter Petrom, og er en del av Rompetrol-gruppen. Det kontrolleres av den kasakhiske statseide kasakhstanske olje- og gassgruppen KazMunaiGaz.
