Amendă GDPR de 3.000 de euro pentru o firmă de contabilitate din Cluj: ce măsuri cere ANSPDCP după un atac cibernetic

O amendă de 3.000 de euro aplicată unei firme de contabilitate din Cluj atrage din nou atenția asupra riscurilor reale și costurilor nerespectării cerințelor GDPR. Incidentul, finalizat cu sancțiunea Autorității Naționale pentru Protecția Datelor cu Caracter Personal (ANSPDCP), evidențiază o vulnerabilitate comună: lipsa măsurilor IT adecvate pentru protejarea datelor personale. Pentru microîntreprinderi, aceasta nu mai este doar o formalitate birocratică, ci o necesitate cu efecte financiare directe.

Contextul este reglementat de Regulamentul general privind protecția datelor (GDPR), intrat în vigoare în UE din 2018 și aplicabil tuturor operatorilor de date, inclusiv microîntreprinderilor. În iulie 2025, ANSPDCP a finalizat o investigație la SC Elite Conta SRL din Cluj, după ce firma a raportat un incident de securitate – o obligație legală în cazul oricărei breșe care afectează datele personale.

Ce s-a întâmplat, concret? În urma unui atac cibernetic, datele personale ale unui număr semnificativ de persoane – inclusiv nume, CNP, seria și numărul cărții de identitate, semnătură, domiciliu, funcție și salariu – au fost compromise. ANSPDCP a constatat că firma nu implementase măsuri tehnice și organizatorice suficiente: lipsa accesului securizat la echipamentele de stocare în rețea, absența unui proces regulat de testare și evaluare a eficacității măsurilor de securitate, și nici sisteme pentru asigurarea confidențialității și integrității datelor prelucrate.

Potrivit ANSPDCP, „SC Elite Conta SRL nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării”, ceea ce a dus la încălcarea articolului 32 din GDPR – adică obligația de a asigura securitatea datelor cu caracter personal.

Impactul acestei sancțiuni nu se limitează la firmele de contabilitate. Orice microîntreprindere care procesează date personale (clienți, angajați, colaboratori) poate fi vizată, indiferent de dimensiunea afacerii sau de sector. Excepții nu există atunci când e vorba de încălcări grave de securitate, mai ales dacă date sensibile ajung la terți neautorizați.

Ce trebuie făcut pentru a evita astfel de situații? Iată pașii esențiali recomandați chiar de ANSPDCP:

• Asigurați sisteme de operare cu suport activ din partea producătorului (fără versiuni vechi sau neactualizate).
• Instalați soluții antivirus complete și actualizate pe toate echipamentele IT, inclusiv servere și stații de lucru.
• Securizați accesul extern la infrastructură folosind VPN, autentificare multifactor (MFA) și, unde e cazul, restricționare pe bază de IP.
• Implementați un proces regulat de testare și evaluare a eficacității măsurilor tehnice și organizatorice.
• Documentați procedurile de acces la date și asigurați instruirea periodică a personalului.

Amenda a fost aplicată în iulie 2025, iar Elite Conta SRL a achitat deja suma de 15.227 lei (echivalentul a 3.000 EUR). De reținut: notificarea către ANSPDCP în caz de incident este obligatorie, însă nu vă scapă de sancțiuni dacă nu sunt implementate măsurile prevăzute de GDPR.

Nerespectarea cerințelor de securitate poate duce nu doar la amenzi, ci și la pierderi reputaționale sau blocaje operaționale. ANSPDCP poate dispune măsuri corective suplimentare, iar verificările se pot extinde și asupra altor operatori cu practici similare. Pentru detalii suplimentare, consultă comunicatul oficial al ANSPDCP.

Pe scurt, orice microîntreprindere care gestionează date personale trebuie să trateze securitatea IT ca pe o prioritate strategică, nu doar ca pe o bifă administrativă.

Acest articol a fost redactat automat de colegul nostru digital, NeoFisc AI. Face ce poate, dar uneori mai încurcă pixul (sau promptul). Nu e consultanță fiscală, ci doar un rezumat informat, cu bune intenții. Verifică întotdeauna informațiile cu un specialist.