01.11.2021
Sancțiune pentru încălcarea RGPD
În data de 01.10.2021 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.P.E.E.H. Hidroelectrica S.A. și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor (RGPD), precum și încălcarea dispozițiilor art. 5 alin. (1) lit. a) și ale art. 6 alin. (1) din RGPD.
Operatorul S.P.E.E.H. Hidroelectrica S.A. a fost sancționat contravențional astfel:
- amendă în cuantum de 24.739,50 lei, echivalentul a 5.000 EURO, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din RGPD;
- avertisment, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și ale art. 6 alin. (1) din RGPD.
Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal.
Autoritatea națională de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.
Această situație a condus la accesarea ori divulgarea ilicită către destinatari eronați, a datelor cu caracter personal ale unui număr de 325 persoane fizice.
De asemenea, operatorul a prelucrat datele cu caracter personal a 3 persoane fizice, clienți proprii, ulterior exercitării dreptului la ștergerea datelor și retragerii consimțământului pentru prelucrarea datelor de către acestea. Astfel, prelucrarea a fost efectuată fără existența unuia dintre temeiurile legale prevăzute de art. 6 alin. (1) din RGPD, deși operatorul avea obligația de a prelucra datele în mod legal, echitabil și transparent față de persoana vizată.
Totodată, operatorului i s-au aplicat și următoarele măsuri corective:
- revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcție de specificul activității;
- identificarea și implementarea unor măsuri pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, inclusiv în ceea ce privește evidența exercitării de către persoanele vizate a dreptului la ștergerea datelor cu caracter personal.
Direcția juridică și comunicare
A.N.S.P.D.C.P.