Amendă GDPR 5.000€ pentru ACCOUNTING & AUDIT CONSULTING SRL – breșă de securitate și sancțiune ANSPDCP

Contextul investigației

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în aprilie 2025, o investigație asupra operatorului ACCOUNTING & AUDIT CONSULTING SRL, ca urmare a unei notificări de încălcare a securității datelor cu caracter personal, transmisă în baza art. 33 din Regulamentul (UE) 2016/679 (GDPR).

În urma investigației, autoritatea a constatat încălcarea art. 32 alin. (1) și (2) GDPR și a aplicat o amendă contravențională în cuantum de 24.887 lei (echivalentul a 5.000 euro).

Ce s-a întâmplat

Investigația a evidențiat faptul că persoane neautorizate au accesat în mod ilegal datele personale ale salariaților clienților operatorului.

Datele compromise au inclus:

• numele și prenumele
• codul numeric personal
• domiciliul
• funcția
• salariul
• sporuri și alte drepturi salariale

Aceste categorii de date implică un nivel ridicat de risc, în special în ceea ce privește frauda, furtul de identitate și utilizarea abuzivă a informațiilor financiare.

Deficiențele constatate

Autoritatea a reținut că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării.

În mod concret, nu au fost prevenite:

• accesul neautorizat la date
• divulgarea neautorizată
• modificarea sau pierderea datelor

Această situație indică nu doar o vulnerabilitate tehnică, ci și o lipsă de control organizațional asupra proceselor de prelucrare.

Măsurile corective impuse

În temeiul art. 58 alin. (2) lit. d) GDPR, ANSPDCP a dispus și măsuri corective, respectiv:

• verificarea periodică a respectării procedurilor interne privind protecția datelor
• instruirea periodică a persoanelor care acționează sub autoritatea operatorului
• creșterea nivelului de conștientizare privind riscurile asociate prelucrării datelor

Aceste măsuri reflectă necesitatea unei abordări continue și sistematice a securității datelor.

Impactul real al incidentului

Deși amenda aplicată este relativ redusă, impactul asupra operatorului poate fi semnificativ:

• afectarea reputației
• pierderea încrederii clienților
• expunerea la litigii
• riscul unor controale ulterioare

În practică, costurile indirecte ale unei breșe depășesc frecvent sancțiunea financiară.

Lecții pentru operatori

Cazul analizat evidențiază o problemă frecventă: tratarea formală a obligațiilor GDPR, fără implementarea efectivă a măsurilor de securitate.

Pentru a evita astfel de situații, operatorii trebuie să asigure:

• controlul accesului la date pe baza rolurilor
• utilizarea autentificării multifactor
• criptarea datelor sensibile
• monitorizarea și auditarea accesului
• instruirea reală și periodică a personalului
• testarea și evaluarea periodică a vulnerabilităților

Concluzie

Cazul ACCOUNTING & AUDIT CONSULTING SRL demonstrează că lipsa unor măsuri adecvate de securitate conduce inevitabil la incidente și sancțiuni.

În contextul actual, în care volumul și sensibilitatea datelor prelucrate sunt în continuă creștere, securitatea nu mai poate fi tratată ca o obligație formală, ci ca un proces continuu, integrat în activitatea operațională a fiecărui operator.