Updated on martie 26, 2025 
NTT Data a fost amendată cu 125 000 de lei pentru că nu a protejat datele, dar și pentru că nu a anunțat de îndată breșa de securitate. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a dat publicității rezultatele investigației finalizate, în luna februarie 2025, privind activitatea operatorului NTT DATA ROMÂNIA S.A. și a constatat încălcări grave ale Regulamentului General privind Protecția Datelor (GDPR).
În urma investigației, compania a fost sancționată cu:
O amendă de 124.432,50 lei (echivalentul a 25.000 de euro) pentru nerespectarea dispozițiilor articolului 32 alin. (1) lit. b) și d), alin. (2) din GDPR.
Un avertisment pentru încălcarea prevederilor articolului 33 alin. (1) din GDPR , privitor la notificarea în maxim 72 de ore a unui incident de securitate a datelor : „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta”
Investigația a fost declanșată după ce NTT DATA ROMÂNIA S.A. a notificat o încălcare a securității datelor, conform articolului 33 din GDPR. În urma unui atac cibernetic, infrastructura informatică a companiei a fost compromisă, iar date personale ale unui număr semnificativ de persoane fizice au fost accesate și extrase neautorizat, informează stiridecluj.ro.
Printre informațiile expuse se numără:
Nume, prenume, semnături, adrese, numere de telefon, adrese de e-mail.
Copii ale actelor de identitate, certificate de naștere, pașapoarte, certificate de căsătorie.
Date financiare (facturi, contracte, planuri de buget) și informații educaționale (CV-uri, diplome).
Date sensibile privind sănătatea angajaților.
Constatările autorității
Autoritatea a concluzionat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea prelucrării datelor, conform cerințelor RGPD. Mai exact, NTT DATA ROMÂNIA S.A. nu a efectuat testarea și evaluarea periodică a eficacității acestor măsuri, astfel încât să garanteze:
Confidențialitatea, integritatea și disponibilitatea datelor.
Rezistența continuă a sistemelor și serviciilor de prelucrare.
De asemenea, s-a constatat că operatorul a încălcat termenul de 72 de ore pentru notificarea autorității de supraveghere în cazul unui incident de securitate, conform articolului 33 alin. (1) din RGPD.