O firmă de contabilitate, audit și consultanță fiscală din România a fost amendată cu 10.000 EUR în baza Regulamentului GDPR, în urma unui atac informatic care a dus la divulgarea neautorizată a datelor personale ale angajaților clienților săi.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat firma Accounting Audit SRL, după o investigație finalizată în luna mai 2025.
Investigația a fost demarată ca urmare a transmiterii de către Accounting Audit SRL a unei notificări de încălcare a securității datelor cu caracter personal în temeiul GDPR. De asemenea, au fost transmise notificări de încălcare a securității datelor și de către doi dintre clienții Accounting Audit SRL pentru care aceasta acționa ca și împuternicit.
„În cadrul investigației efectuate s-a constatat faptul că încălcarea securității prelucrării datelor s-a produs ca urmare a unui atac informatic, situație ce a condus la divulgarea neautorizată a unor date cu caracter personal (date de identificare, state de plata, acte constitutive, alte informații confidențiale primite de la clienți, documente financiar contabile) pentru un număr foarte mare de persoane vizate, în principal angajați ai clienților Accounting Audit SRL”, spune ANSPDCP.
Ca atare, firma a fost sancționată cu amendă în cuantum de 50.553 lei, echivalentul a 10.000 EUR.
Autoritatea pentru protecția datelor personale mai spune firma, în calitate de împuternicit, nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării, „incluzând capacitatea de a asigura confidențialitatea și integritatea sistemelor și serviciilor de prelucrare”.
Aplicarea GDPR în România. Cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi
Tudor Galoș, consultant în domeniul tehnologiei, a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii.
Alte greșeli apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
În opinia sa, amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
Una dintre măsurile pe care firmele le pot lua este cartografierea proceselor de prelucrare a datelor personale. Deși pare ceva greoi, este obligatoriu nu doar pentru respectarea GDPR ci pentru bunul mers al organizației.
„Deseori, ca auditori, descoperim procese de business (maparea este aproape 1:1 cu harta proceselor de business) care se făceau pe principiul „așa s-a făcut până acum", fără să se știe de ce. Nu se știa clar scopul, nu erau măsurate, impactul în business era minimal sau necunoscut. Și atunci simplificăm procesele și reducem riscurile. Cartografierea trebuie să mapeze grafic toate procesele de prelucrare, de la modul în care sunt culese datele, de ce sunt culese, în ce scop, ce alte date personale mai sunt generate (estimări, scoring, metadate etc) și de ce, cui mai sunt date (furnizori, outsourcing, hosting, servicii cloud etc) și de ce, cât timp sunt ținute și de ce”, spune Galoș.