Ce sancțiuni GDPR au fost aplicate contabililor și auditorilor în 2025

În anul 2025, Autoritatea din România care supraveghează aplicarea GDPR (ANSPDCP) a sancționat un număr surprinzător de mare de firme de contabilitate și audit, comparativ cu alți ani.

7 societăți din domeniu au fost amendate cu sume între 2.000 și 10.000 euro. Toate sancțiunile au fost aplicate pentru probleme legate de securitatea datelor, ca urmare a unor atacuri cibernetice sau a comportamentului propriului personal.

Iată rezumatul sancțiunilor publicate de ANSPDCP:

ANSPDCP a sancționat operatorul cu amendă de 10.167 lei (2.000 euro) după o investigație declanșată în urma notificării unui incident de securitate. Un atac cibernetic a permis accesul neautorizat la infrastructura informatică și divulgarea datelor personale ale unui număr mare de persoane (nume, CNP, adrese, telefon, e-mail, date financiare și fiscale). Autoritatea a constatat lipsa unor măsuri tehnice și organizatorice adecvate de securitate, fiind încălcate prevederile art. 32 GDPR privind protecția datelor.

Societatea a fost amendată cu 15.227,70 lei (3.000 euro) în urma unui atac informatic notificat autorității, care a afectat date precum nume, CNP, date din cartea de identitate, domiciliu, funcție și salariu. Investigația a arătat că firma nu avea implementate măsuri suficiente de securizare a accesului la echipamentele de stocare și nici proceduri de testare periodică a eficienței măsurilor tehnice. Pe lângă amendă, ANSPDCP a dispus măsuri corective privind actualizarea sistemelor, utilizarea de soluții antivirus și securizarea accesului extern (VPN, MFA).

Compania a fost sancționată cu 50.553 lei (10.000 euro) după un atac cibernetic care a dus la divulgarea neautorizată a unui volum foarte mare de date personale ale angajaților clienților săi, inclusiv state de plată, acte constitutive și documente financiar-contabile. Investigația a pornit atât de la notificarea firmei, cât și de la notificările unor clienți. ANSPDCP a stabilit că, în calitate de împuternicit, societatea nu a asigurat măsuri adecvate pentru confidențialitatea și integritatea sistemelor de prelucrare a datelor.

Operatorul a fost amendat cu 24.887 lei (5.000 euro) după ce persoane neautorizate au accesat ilegal datele salariale și de identificare ale angajaților clienților. Autoritatea a constatat lipsa măsurilor tehnice și organizatorice adecvate pentru protejarea datelor, iar pe lângă sancțiune a impus și măsuri corective, precum verificarea periodică a procedurilor interne și instruirea angajaților privind protecția datelor.

Societatea a fost sancționată cu 9.954,80 lei (2.000 euro) în urma unui atac cibernetic care a compromis infrastructura IT și a dus la acces neautorizat la datele salariale ale angajaților clienților. ANSPDCP a concluzionat că operatorul nu implementase măsuri suficiente de securitate a datelor și a dispus, suplimentar, măsuri corective privind verificarea procedurilor interne și instruirea periodică a personalului.

Firma a primit o amendă de 9.955 lei (2.000 euro) după un incident de securitate generat de un atac informatic care a dus la divulgarea datelor personale ale salariaților clienților. Investigația a evidențiat lipsa măsurilor tehnice și organizatorice adecvate pentru prevenirea accesului neautorizat, iar autoritatea a impus și obligația revizuirii periodice a procedurilor și instruirea personalului în domeniul protecției datelor.

Operatorul a fost sancționat cu două amenzi, totalizând 10.000 euro, pentru necooperarea cu autoritatea și pentru deficiențe grave de securitate a datelor. Investigația a arătat că firma nu a răspuns solicitărilor ANSPDCP și a transmis prin WhatsApp un tabel cu parole de acces în platforma Revisal, permițând accesul neautorizat la datele angajaților mai multor companii. Pe lângă sancțiunile financiare, s-a dispus schimbarea tuturor credențialelor de acces și remedierea urgentă a măsurilor de securitate.