Consultanta

Amenda de 5.000 de euro in urma unui atac cibernetic

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna iunie 2025 o investigație la operatorul Agricola International SA, în urma unei breșe de securitate raportate de companie.

În urma verificărilor, Autoritatea a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul General privind Protecția Datelor (GDPR – Regulamentul UE 2016/679). Drept urmare, operatorul a fost sancționat cu o amendă contravențională în valoare de 25.226,50 lei (echivalentul a 5.000 EURO).

Ce s-a întâmplat?

Incidentul a fost notificat de Agricola International SA conform obligațiilor din art. 33 GDPR, compania raportând un atac cibernetic ce a afectat securitatea datelor cu caracter personal ale:

-Angajaților

-Membrilor de familie ai angajaților

-Clienților companiei

Printre datele compromise se numără:

-Informații de identificare: nume, prenume, CNP, fotografie CI, data nașterii, adresa, cod marcă etc.

-Date despre angajare: funcție, meserie, departament, tipul angajării, istoricul în companie, fișe de aptitudine, studii, atestate

-Informații financiare: cont bancar, evidență salarii, evidență concedii

-Informații despre membrii familiei: nume, prenume, CNP, telefon, adresă

-Alte date personale sensibile și administrative

Lipsa măsurilor de securitate a dus la acces neautorizat

În timpul investigației, ANSPDCP a constatat că Agricola International SA nu avea implementate măsuri tehnice și organizatorice adecvate, în special:

-Lipsa accesului securizat la echipamentele de stocare de rețea

-Absența unui proces de testare și evaluare periodică a eficacității măsurilor de protecție

-Incapacitatea de a asigura confidențialitatea și integritatea sistemelor IT

Aceste deficiențe au dus la divulgarea și accesul neautorizat la datele personale, fapt ce reprezintă o încălcare clară a obligațiilor privind securitatea datelor.

Măsuri corective impuse

Pe lângă amenda aplicată, ANSPDCP a impus și implementarea unor măsuri corective obligatorii, printre care:

-Instalarea de sisteme de operare cu suport activ

-Implementarea de soluții antivirus complete și actualizate

-Securizarea accesului extern prin tehnologii precum VPN, autentificare multifactor (MFA) și restricționarea accesului pe IP

Operatorul a confirmat că a achitat amenda contravențională aplicată.

Concluzie

 

Acest caz subliniază importanța implementării riguroase a măsurilor de securitate cibernetică și a respectării prevederilor GDPR. Lipsa unor controale eficiente poate duce nu doar la pierderi de imagine și încredere, ci și la sancțiuni financiare importante.