Hidroelectrica, amendată pentru divulgarea datelor personale ale unui număr semnificativ de clienți

Hidroelectrica a fost amendată cu suma de 74.562 lei (15.000 de euro) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, întrucât nu a testat suficient aplicația iHidro, ceea ce a dus la divulgarea datelor personale în cazul unui număr semnificativ de clienți. UPDATE: Compania spune că au fost afectați 69 de consumatori.
Furnizorul de energie are, în total, peste 500.000 de clienți casnici și noncasnici.
Investigația a fost demarată ca urmare a transmiterii de către operatorul Hidroelectrica a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679, se arată într-un comunicat postat pe site-ul instituției de control.
În cadrul investigației, s-a constatat că încălcarea securității datelor cu caracter personal a avut loc în cadrul și în momentul lansării aplicației operatorului, ca urmare a unei erori tehnice și a neefectuării unei testarări suficiente a acesteia într-un mediu de test care să simuleze mediul de utilizare reală în toate procesele și interacțiunile cu alte aplicații folosite de operator.
Această situație a condus la pierderea integrității și disponibilității datelor cu caracter personal, respectiv la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal aparținând unui număr semnificativ de persoane vizate.
În consecință, întrucât operatorul nu a prelucrat datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, acesta a fost sancționat cu amendă.
Totodată, Hidroelectrica a fost obligată să realizeze testarea aplicației, „într-un mod care să simuleze scenariul real din producție în toate situațiile plauzibile din mediul de producție, anterior lansării în producție a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal”.
Operatorul a achitat amenda contravențională stabilită.
UPDATE
În urma publicării acestui articol, Hidroelectrica a transmis următorul punct de vedere:
„Hidroelectrica își reafirmă angajamentul ferm față de protecția datelor cu caracter personal ale clienților și angajaților săi. Acest incident nefericit nu reflectă standardele companiei noastre în privința protecției datelor și suntem dedicați să consolidăm măsurile de securitate pentru a asigura că toate procesele noastre respectă cele mai înalte standarde de protecție a datelor.
Precizăm că acest incident singular a fost cauzat de o eroare tehnică apărută în timpul migrării datelor către sistemul iHidro în octombrie 2023, fiind afectați 69 de utilizatori din cei peste 500.000 de clienți ai companiei. Eroarea a fost remediată prompt.
Hidroelectrica a respectat în totalitate recomandările autorităților și a implementat măsuri tehnice și organizatorice suplimentare pentru a preveni recurența unor astfel de erori”.