O firmă de servicii contabilitate din România a fost ținta unui atac cibernetic, în urma căruia atacatorii au accesat ilegal datele personale ale mai multor salariați ai clienților săi.
Acum, ca urmare a acestui incident de securitate, societatea a fost amendată în baza Regulamentului GDPR.
Autoritatea pentru protecția datelor (ANSPDCP) a anunțat că a finalizat în luna aprilie 2025 o investigație la firma CVA Tax & Finance SRL. În cadrul investigației, ANSPDCP a constatat că în urma unui atac cibernetic, a fost accesată și totodată restricționat accesul firmei la infrastructura informatică proprie.
Situația a condus la divulgarea și accesul neautorizat la datele cu caracter personal ale unui număr semnificativ de salariați ai clienților din portofoliul firmei, respectiv: nume, prenume, cod numeric personal, domiciliu, funcție, salariu, sporuri și alte drepturi salariale, spune Autoritatea pentru protecția datelor.
Astfel, firma a fost sancționată cu amendă în valoare de 9.954 lei, echivalentul a 2.000 euro.
Firma CVA Tax & Finance SRL, care în 2024 a avut venituri totale de 262.266 lei, profit de 133.677 lei și un singur salariat, conform datelor oficiale de la Ministerul Finanțelor, a achitat, între timp, amenda.
ANSPDCP susține că firma nu a implementat măsuri tehnice și organizatorice necesare pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise, stocate și prelucrate într-un alt mod.
„Totodată, în temeiul art. 58 alin. (2) lit. d) din Regulament s-a dispus față de operator măsura corectivă de verificare periodică a respectării procedurilor de lucru implementate referitoare la protecția datelor cu caracter personal, precum și instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal”, mai spune ANSPDCP.
