Consultanta

Sanctiune GDPR in domeniul fiscal pentru lipsa masurilor de securitate cibernetica

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna aprilie 2025 o investigație privind respectarea prevederilor Regulamentului General privind Protecția Datelor (GDPR) de către operatorul CVA TAX & FINANCE S.R.L.

În urma verificărilor, s-a constatat încălcarea dispozițiilor art. 32 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679, referitoare la obligația operatorului de a implementa măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel corespunzător de securitate a prelucrării datelor cu caracter personal.

Incident de securitate raportat și consecințele acestuia

Investigația a fost declanșată în urma notificării unui incident de securitate a datelor cu caracter personal, transmisă de CVA TAX & FINANCE S.R.L., conform art. 33 din GDPR.

Conform constatărilor autorității, operatorul a fost victima unui atac cibernetic care a dus la:

 -accesarea neautorizată a infrastructurii informatice;

 -blocarea accesului intern la datele procesate;

 -divulgarea neautorizată a datelor personale ale salariaților din portofoliul de clienți.

Datele afectate au inclus: nume, prenume, CNP, domiciliu, funcție, salariu, sporuri și alte drepturi salariale – informații cu caracter sensibil care necesită un nivel ridicat de protecție.

Lipsa măsurilor adecvate de securitate și sancțiunea aplicată

În urma analizei, ANSPDCP a concluzionat că operatorul nu a implementat măsuri de securitate suficiente pentru a preveni riscurile asociate prelucrării datelor, cum ar fi: distrugerea accidentală sau ilegală, pierderea, modificarea, accesul sau divulgarea neautorizată.

Pentru această abatere, CVA TAX & FINANCE S.R.L. a fost sancționată cu amendă în valoare de 9.954,80 lei (echivalentul a 2.000 Euro).

Măsuri corective impuse de autoritate

Pe lângă sancțiunea financiară, autoritatea a dispus, în temeiul art. 58 alin. (2) lit. d) din GDPR, următoarele măsuri corective:

 -verificarea periodică a respectării procedurilor interne privind protecția datelor personale;

 -instruirea continuă a angajaților care acționează sub autoritatea operatorului, cu accent pe identificarea și gestionarea riscurilor în prelucrarea datelor.

Operatorul a achitat amenda aplicată, conform deciziei autorității.

Ai nevoie de ajutor pentru conformarea cu GDPR?

Evită sancțiunile și riscurile reputaționale generate de incidente de securitate. Echipa noastră oferă servicii specializate de implementare și consultanță GDPR, adaptate nevoilor fiecărei companii.

Contactează-ne pentru o evaluare gratuită a nivelului de conformitate cu legislația privind protecția datelor!