Consultanta

Amenda GDPR de 3.000 euro aplicata unei firme de contabilitate dupa un atac cibernetic

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în iulie 2025, o investigație privind operatorul SC Elite Conta SRL, constatând încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

În urma verificărilor, compania a fost sancționată cu o amendă de 15.227,70 lei (echivalentul a 3.000 de euro).

Cum a început investigația?

Procedura a fost declanșată după ce firma a notificat ANSPDCP, conform art. 33 GDPR, despre o încălcare a securității datelor cu caracter personal în urma unui atac cibernetic.

Incidentul a dus la compromiterea mai multor tipuri de date personale aparținând unui număr semnificativ de persoane, inclusiv:

-nume și prenume;

-cod numeric personal (CNP);

-seria și numărul actului de identitate;

-semnătura;

-domiciliul;

-funcția și salariul de încadrare.

Ce a descoperit ANSPDCP?

Investigația a arătat că operatorul nu implementase măsuri adecvate de securitate la momentul atacului cibernetic. Lipsa unor cerințe clare pentru accesul securizat la echipamentele de stocare în rețea a permis riscul unui acces neautorizat la datele personale.

Mai mult, compania nu avea implementat un proces eficient pentru:

-testarea și evaluarea periodică a măsurilor tehnice și organizatorice;

-asigurarea confidențialității sistemelor și serviciilor de prelucrare.

Consecințe și măsuri corective

Această situație a dus la divulgarea și accesarea neautorizată a datelor cu caracter personal, ceea ce a determinat ANSPDCP să aplice amenda menționată.

În plus, autoritatea a impus și măsuri corective obligatorii, printre care:

-utilizarea unor sisteme de operare cu suport activ din partea producătorului;

-instalarea de soluții antivirus complete și actualizate pe toate echipamentele IT (servere și stații de lucru);

-securizarea accesului extern la infrastructură prin VPN, autentificare multifactor (MFA) și restricționarea adreselor IP.

Compania a achitat amenda aplicată și are obligația de a îmbunătăți nivelul de protecție a datelor personale pentru a preveni incidente similare în viitor.