O persoană fizică autorizată (PFA) din domeniul contabil a fost sancționată cu o amendă de 2.000 EUR, în baza Regulamentului GDPR, în urma unui atac cibernetic care a dus la accesul neautorizat la datele personale ale mai multor persoane, precum și la informații financiare și contabile.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) spune că a finalizat, în luna noiembrie 2025, investigația în urma căreia PFA-ul din domeniul contabil a fost amendat cu 10.167 de lei, echivalentul a 2.000 EUR.
„Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 679/2016. În cadrul investigației, s-a constatat că, în urma unui atac cibernetic, a fost accesată și totodată restricționat accesul operatorului la infrastructura informatică proprie”, precizează ANSPDCP.
Această situație a dus la divulgarea și accesul neautorizat la datele cu caracter personal ale unui număr semnificativ de persoane, incluzând: nume, cod numeric personal, adresă, număr de telefon, adresă de e-mail, precum și informații financiare și contabile (extrase de cont, documente de facturare, declarații fiscale).
PFA-ul nu ar fi avut implementate măsurile tehnice și organizatorice necesare pentru asigurarea unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
„Această situație a condus la divulgarea neautorizată de date cu caracter personal aparținând unui număr semnificativ de persoane. În acest context, au fost încălcate prevederile art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016”, conform Autorității pentru protecția datelor personale.
Tudor Galoș: Amenda GDPR nu este cel mai rău lucru care i se poate întâmpla unei firme
Într-un interviu acordat StartupCafe.ro, Tudor Galoș, consultant în domeniul tehnologiei, a vorbit despre aplicarea GDPR în România, respectiv despre cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi.
Tudor Galoș crede că amenda nu este cel mai rău lucru care i se poate întâmpla unei firme care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
„Măsurile corective pot implica costuri mult mai mari decât o simplă amendă, de exemplu ștergerea unor baze de date sau implementarea de urgență a unor sisteme de securitate”, spune Galoș.
Regulamentul General privind Protecția Datelor are 99 de articole și 173 de considerente, la care se adaugă alte ghiduri de la European Data Protection Board, instituție europeană ce are rol de orchestrare a activității autorităților de supraveghere, cât și de la diversele autorități de supraveghere, inclusiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România, a explicat Galoș.