Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna noiembrie 2025, o investigație la operatorul Greencorp S.R.L., în cadrul căreia a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d) coroborat cu art. 32 alin. (2) din Regulamentul (UE) 2016/679.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 15.258 lei, echivalentul sumei de 3000 euro.

Investigația a fost demarată ca urmare a transmiterii de către operatorul Greencorp S.R.L. a unei notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.

Operatorul a notificat faptul că, în urma unui atac cibernetic, s-a generat criptarea bazei de date deținută, s-a restricționat accesul la aceasta și s-a împiedicat funcționarea sistemului său informatic.

Astfel, au fost afectate următoarele categorii de date cu caracter personal ale angajaților: nume, prenume, data nașterii, CNP, număr copii, CNP copii, studii, naționalitate, religie, serie, număr buletin/carte de identitate, date de valabilitate, date de contact (adresa domiciliu, adresa flotant, după caz, număr de telefon, adresa de e-mail personală, date de contact de la o persoana cu care se poate lua legătura în caz de urgență, datele contractului de muncă, datele financiare ale angajaților, respectiv date privind salariile încasate, modificările de funcție, de salariu, încetări de contracte de muncă, persoane în întreținere (cu CNP pentru ele), pontaje, concedii medicale, state de plată, fluturași de salariu, precum și datele bancare, respectiv conturile bancare ale acestora.

În cadrul investigației s-a constatat faptul că operatorul nu avea implementate măsuri de securitate cu cerințe specifice și relevante, astfel încât să se prevină un atac informatic precum cel care a permis atacatorului să îi acceseze întreaga bază de date și să cripteze infrastructura IT a acestuia.

Prin urmare, s-a constatat că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate și nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele GDPR și a proteja drepturile persoanelor vizate, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, ceea ce a condus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal ale unui număr semnificativ persoane fizice vizate.

În același timp, Autoritatea națională de supraveghere a aplicat și măsura corectivă prin care s-a dispus ca operatorul să asigure conformitatea dispozițiilor prevăzute de art. 32 din Regulamentul (UE)2016/679, în sensul implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării inclusiv prin implementarea autentificării multifactoriale pentru toate conturile de utilizator/administrator care se pot conecta de la distanță în infrastructura IT a societății Greencorp S.R.L., respectiv implementarea tehnică și organizatorică a unei politici de complexitate a parolelor utilizate pentru aceste conturi.

Direcția juridică și comunicare

A.N.S.P.D.C.P.