Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna iunie 2025, o investigație la operatorul Agricola International SA și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 25,226.50 lei (echivalentul a 5.000 de EURO).

Investigația a fost demarată ca urmare a transmiterii de către operatorul Agricola International S.A a unei notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.

Astfel, operatorul a notificat faptul că, în urma unui atac cibernetic, au fost afectate o serie de categorii de date cu caracter personal ale unui număr semnificativ de angajați, membrii de familie ai acestora și clienți, precum: fotografia actului de identitate, numele, prenumele, inițiala tatălui, data nașterii, vârsta, sexul, codul numeric personal, număr marcă, locația, funcția, meseria, departamentul, tipul angajării, statutul angajatului, data nașterii soțului/soției, compania, data angajării, numărul de telefon mobil, numărul de fax, adresa de e-mail, numele și prenumele și numărul de telefon al părinților, adresa angajatului, starea civilă, numele și prenumele soțului/soției, codul numeric personal al soțului/soției, documente personale precum: cartea de identitate, cartea de muncă, fișă de aptitudine, detalii studii, atestate profesionale, istoric carte de muncă, cont bancar, cursuri, evidența plăți salarii, evidența concedii, evidența asigurări de sănătate, parametri plăți, evidență invalidități, evidență sporuri, adresa poștală).

Totodată, în cursul investigației, a rezultat că operatorul nu avea implementate, la momentul atacului informatic, măsuri de securitate cu cerințe specifice privind accesul securizat la echipamentul de stocare de rețea care să diminueze riscul unui acces neautorizat la datele personale menționate.

Ca urmare, s-a constatat faptul că Agricola International SA nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea sistemelor și serviciilor de prelucrare și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice.

Această situație a condus la divulgarea neautorizată sau accesul neautorizat al unui terț la datele cu caracter personal deținute de operator, fiind astfel încălcate prevederile art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679.

În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus și măsura corectivă de implementare de măsuri tehnice și organizatorice adecvate, inclusiv prin instalarea de sisteme de operare cu suport activ din partea producătorului, soluții antivirus complete și actualizate pe toate echipamentele IT din rețeaua operatorului (servere, dispozitive de lucru), respectiv securizarea accesului extern, după caz, la echipamentele infrastructurii operatorului (VPN, MFA, restricționare IP).

Menționăm că operatorul a achitat amenda contravențională aplicată.

Direcția juridică și comunicare

A.N.S.P.D.C.P