Autoritatea pentru protecția datelor personale a aplicat o amendă GDPR în valoare de 5.000 euro companiei Agricola International SA.
Compania desfāșoară activități de producție, procesare și distribuție de alimente.
Sancțiunea a fost impusă în urma unui atac cibernetic care a dus la compromiterea datelor personale ale unui număr semnificativ de angajați, membri ai familiilor acestora și clienți.
„Operatorul a notificat faptul că, în urma unui atac cibernetic, au fost afectate o serie de categorii de date cu caracter personal ale unui număr semnificativ de angajați, membrii de familie ai acestora și clienți, precum: fotografia actului de identitate, numele, prenumele, inițiala tatălui, data nașterii, vârsta, sexul, codul numeric personal, număr marcă, locația, funcția, meseria, departamentul, tipul angajării, statutul angajatului, data nașterii soțului/soției, compania, data angajării, numărul de telefon mobil, numărul de fax, adresa de e-mail, numele și prenumele și numărul de telefon al părinților, adresa angajatului, starea civilă, numele și prenumele soțului/soției, codul numeric personal al soțului/soției, documente personale precum: cartea de identitate, cartea de muncă, fișă de aptitudine, detalii studii, atestate profesionale, istoric carte de muncă, cont bancar, cursuri, evidența plăți salarii, evidența concedii, evidența asigurări de sănătate, parametri plăți, evidență invalidități, evidență sporuri, adresa poștală)”, arată ANSPDCP.
Ca atare, în urma investigației ce s-a finalizat în luna iulie 2025, firma a fost sancționată contravențional cu amendă în cuantum de 25.226 lei, echivalentul a 5.000 euro.
Firma nu avea implementate, la momentul atacului informatic, măsuri de securitate cu cerințe specifice privind accesul securizat la echipamentul de stocare de rețea care să diminueze riscul unui acces neautorizat la datele personale.
„Ca urmare, s-a constatat faptul că Agricola International SA nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice”, precizează ANSPDCP.
Firma va trebui să implementeze măsuri tehnice și organizatorice adecvate, inclusiv prin instalarea de sisteme de operare cu suport activ din partea producătorului, soluții antivirus complete și actualizate pe toate echipamentele IT din rețeaua operatorului (servere, dispozitive de lucru), respectiv securizarea accesului extern, după caz, la echipamentele infrastructurii operatorului (VPN, MFA, restricționare IP).
Compania a achitat amenda contravențională.
