Consultanta

Incident de securitate = amenda GDPR! Ce trebuie sa stie orice business digital

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna martie 2025 o investigație privind încălcarea prevederilor Regulamentului (UE) 2016/679 (GDPR) de către un operator economic activ în domeniul digital, constatând deficiențe grave în ceea ce privește securitatea datelor cu caracter personal.

Ce a declanșat investigația

Investigația a fost inițiată după ce operatorul a transmis o notificare de încălcare a securității datelor, conform art. 33 din GDPR. Notificarea a semnalat producerea unui incident de securitate cibernetică, în urma căruia un terț neautorizat a obținut acces la datele personale ale angajaților companiei.

Datele compromise în urma atacului informatic

În urma atacului informatic, au fost accesate următoarele date personale sensibile ale angajaților:

-nume și prenume;

-cod numeric personal (CNP);

-seria și numărul cărții de identitate;

-adresa de domiciliu;

-informații legate de activitatea profesională.

Acest incident a dus la divulgarea și accesarea neautorizată a datelor unui număr semnificativ de persoane vizate.

Încălcările constatate de ANSPDCP

În urma analizei efectuate, ANSPDCP a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal. Printre deficiențele identificate se numără:

-lipsa testării și evaluării periodice a eficienței măsurilor de securitate;

-incapacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continuă a sistemelor de prelucrare a datelor personale.

Aceste deficiențe constituie o încălcare a art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul GDPR.

Sancțiunea aplicată

Ca urmare a constatărilor, operatorul a fost sancționat cu o amendă în valoare de 9.951,20 lei, echivalentul a 2.000 euro, pentru nerespectarea obligațiilor privind securitatea prelucrării datelor cu caracter personal.

Operatorul a achitat amenda contravențională impusă de ANSPDCP.

Concluzie

Acest caz atrage atenția asupra riscurilor reale asociate cu lipsa unor măsuri adecvate de securitate cibernetică și protecție a datelor. Operatorii economici au obligația legală de a proteja datele personale împotriva accesului neautorizat, iar testarea constantă a sistemelor de securitate devine o componentă esențială a conformității cu GDPR.

Pentru evitarea amenzilor și protejarea eficientă a datelor, este recomandată colaborarea cu specialiști în protecția datelor și implementarea unui sistem de management al securității informației bine documentat.