O firmă de servicii contabilitate din România a fost ținta unui atac cibernetic, în urma căruia atacatorii au accesat ilegal datele personale ale mai multor salariați ai clienților săi, iar acum, ca urmare a acestui incident de securitate, societatea a fost amendată în baza Regulamentului GDPR.
Autoritatea pentru protecția datelor (ANSPDCP) a anunțat, miercuri, că a finalizat în luna aprilie 2025 o investigație la firma CVA Tax & Finance SRL. În cadrul investigației, ANSPDCP a constatat că în urma unui atac cibernetic, a fost accesată și totodată restricționat accesul firmei la infrastructura informatică proprie.
Situația a condus la divulgarea și accesul neautorizat la datele cu caracter personal ale unui număr semnificativ de salariați ai clienților din portofoliul firmei, respectiv: nume, prenume, cod numeric personal, domiciliu, funcție, salariu, sporuri și alte drepturi salariale, spune Autoritatea pentru protecția datelor.
Astfel, firma a fost sancționată cu amendă în valoare de 9.954 lei, echivalentul a 2.000 EUR.
Firma CVA Tax & Finance SRL, care în 2024 a avut venituri totale de 262.266 lei, profit de 133.677 lei și un singur salariat, conform datelor oficiale de la Ministerul Finanțelor, a achitat, între timp, amenda.
ANSPDCP susține că firma nu a implementat măsuri tehnice și organizatorice necesare pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise, stocate și prelucrate într-un alt mod.
„Totodată, în temeiul art. 58 alin. (2) lit. d) din Regulament s-a dispus față de operator măsura corectivă de verificare periodică a respectării procedurilor de lucru implementate referitoare la protecția datelor cu caracter personal, precum și instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal”, mai spune ANSPDCP.
Tudor Galoș: Amenda GDPR nu este cel mai rău lucru care i se poate întâmpla unei firme
Într-un interviu acordat StartupCafe.ro, Tudor Galoș, consultant în domeniul tehnologiei, a vorbit despre aplicarea GDPR în România, respectiv despre cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi.
Tudor Galoș crede că amenda nu este cel mai rău lucru care i se poate întâmpla unei firme care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
Regulamentul General privind Protecția Datelor are 99 de articole și 173 de considerente, la care se adaugă alte ghiduri de la European Data Protection Board, instituție europeană ce are rol de orchestrare a activității autorităților de supraveghere, cât și de la diversele autorități de supraveghere, inclusiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România, a explicat Galoș.
Printre obligațiile pe care firmele le au se numără, conform lui Galoș:
- obligația de a informa persoanele despre prelucrările care li se fac într-un limbaj non-legal (evitarea termenilor tehnici, a referințelor către articole și legi etc), simplu și clar;
- obligația de a avea scopuri de prelucrare bine definite cu temeiuri legale asociate;
- obligația de a prelucra minimum de date necesare unui scop, nu maximum;
- obligația de a prelucra date corecte;
- obligația de a păstra datele strict cât este necesar (și după aceea să fie distruse);
- obligația de a prelucra datele într-un mod sigur, asigurând confidențialitatea, integritatea și disponibilitatea datelor.
Firmele trebuie să se asigure că nu produc surprize persoanelor cărora li se prelucrează datele, acestea înțeleg detaliat de ce și cum li se prelucrează datele și în ce scop, unde ajung și de ce, cât timp sunt ținute, de ce, ce drepturi au și cum și le pot exercita, a mai spus consultantul.