Compania de contabilitate SC Elite Conta SRL a fost amendată în baza Regulamentului GDPR, în urma unui atac cibernetic care a dus la compromiterea datelor personale ale mai multor persoane.
Vezi mai jos clarificările companiei
Autoritatea Națională pentru Protecția Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la companie, în urma unei notificări transmise de firmă privind o încălcare a securității datelor personale.
Astfel, operatorul a notificat faptul că, în urma unui atac cibernetic, au fost afectate o serie de categorii de date cu caracter personal ale unui număr semnificativ de persoane vizate, precum: numele, prenumele, codul numeric personal, seria și numărul cărții de identitate, semnătura, domiciliul, funcția și salariu de încadrare.
Totodată, în cursul investigației, a rezultat că operatorul nu avea implementate, la momentul atacului informatic, măsuri de securitate cu cerințe specifice privind accesul securizat la echipamentul de stocare de rețea care să diminueze riscul unui acces neautorizat la datele personale menționate.
Ca urmare, s-a constatat faptul că SC Elite Conta SRL nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice.
Această situație a condus la divulgarea neautorizată sau accesul neautorizat al unui terț la datele cu caracter personal deținute de operator, fiind astfel încălcate prevederile art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679.
În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus și măsura corectivă de a implementa măsuri tehnice și organizatorice adecvate, inclusiv prin asigurarea sistemelor de operare cu suport activ din partea producătorului, soluții antivirus complete și actualizate pe toate echipamentele IT din rețeaua Elite Conta SRL (servere, dispozitive de lucru), respectiv securizarea accesului extern, după caz, la echipamentele infrastructurii Elite Conta SRL (VPN, MFA, restricționare IP).
Operatorul a achitat amenda contravențională aplicată.
Clarificările companiei
În luna iulie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a încheiat investigația declanșată în urma autonotificării făcute de SC Elite Conta SRL, privind un atac cibernetic petrecut în februarie 2024.
Sancțiunea menționată, în valoare de 15.227,70 lei, a fost comunicată la peste un an de la producerea incidentului. Ea se referă strict la incident și la constatările făcute în februarie 2024 și nu reflectă nivelul actual de securitate al SC Elite Conta SRL.
În urma atacului, SC Elite Conta SRL a acționat imediat și responsabil, demarând un proces riguros de remediere și prevenție, care a inclus:
• Notificarea autorităților și respectarea tuturor obligațiilor legale;
• Informarea directă a persoanelor vizate;
• Colaborare cu două firme specializate în securitate cibernetică pentru crearea unui sistem extrem de complex de securitate;
• Reconfigurarea completă a infrastructurii IT;
• Instruirea continuă a echipei în privința protecției datelor și a riscurilor informatice;
• Actualizarea completă a documentației și circuitelor interne de date, sub coordonarea unei echipe specializate GDPR.
Atacul cibernetic din februarie 2024 a reprezentat o lecție importantă și o provocare profesională majoră, care a determinat o reevaluare profundă a proceselor interne și a infrastructurii noastre. Din acest proces am ieșit mai bine pregătiți, mai puternici și mai maturi operațional.
