Consultanta

Ce se intampla? Inca o firma de contabilitate amendata pentru incalcarea GDPR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna mai 2025, o investigație privind respectarea cerințelor impuse de Regulamentul General privind Protecția Datelor (GDPR) de către compania Accounting Audit SRL. În urma verificărilor, s-a constatat că firma a încălcat prevederile art. 32 alin. (1) lit. b) și alin. (2) din GDPR, motiv pentru care a fost sancționată cu o amendă în valoare de 50.553 lei (echivalentul a 10.000 euro).

Ce a declanșat investigația?

Totul a pornit de la notificarea transmisă de Accounting Audit SRL, prin care firma a raportat o încălcare a securității datelor cu caracter personal, în conformitate cu obligațiile prevăzute de GDPR. Ulterior, și doi dintre clienții săi – pentru care compania acționa în calitate de împuternicit – au raportat incidente similare.

Ce s-a descoperit?

În urma investigației, ANSPDCP a stabilit că breșa de securitate a fost cauzată de un atac informatic, în urma căruia au fost divulgate în mod neautorizat date sensibile. Printre informațiile compromise se numără:

-Date de identificare ale persoanelor vizate

-State de plată

-Documente financiar-contabile

-Acte constitutive și alte documente confidențiale ale clienților

Conform autorității, un număr semnificativ de persoane au fost afectate, în special angajații clienților Accounting Audit SRL.

De ce a fost aplicată amenda?

Autoritatea a considerat că Accounting Audit SRL, în calitate de împuternicit, nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura un nivel de securitate adecvat riscului asociat prelucrării datelor. Printre cerințele nerespectate s-au numărat:

-Lipsa unor sisteme eficiente de protecție împotriva accesului neautorizat

-Neasigurarea integrității și confidențialității serviciilor și sistemelor de prelucrare

În aplicarea sancțiunii, ANSPDCP a ținut cont de criteriile prevăzute la art. 83 din GDPR, care reglementează modul de individualizare a amenzilor în funcție de gravitatea și natura încălcării.

Ce învățăm din acest caz?

Incidentul reprezintă un avertisment clar pentru toate companiile care prelucrează date cu caracter personal, fie ca operatori, fie ca împuterniciți. Respectarea cerințelor GDPR nu este opțională, iar măsurile de securitate trebuie adaptate constant în funcție de riscurile cibernetice tot mai complexe.