Hidroelectrica a primit amendă. Ce s-a întâmplat cu datele personale ale clienților

SURSA FOTO: Inquam Photos / Octav Ganea

31 ianuarie 2025, 13:40 de Georgiana Natalia

Ultima modificare în 31 ianuarie 2025, 13:54

Hidroelectrica a primit o amendă pentru că a făcut publice, din greșeală, datele personale ale multor clienți. Eroarea s-a produs la lansarea aplicației din cauza unei defecțiuni tehnice și a lipsei testării adecvate, ceea ce a permis accesul neautorizat la datele clienților.

Hidroelectrica a fost amendată pentru că nu a testat suficient aplicația iHidro

Hidroelectrica a fost amendată cu 74.562 de lei pentru că nu a testat suficient aplicația iHidro, iar din această cauză datele personale ale multor clienți au fost expuse. Problema a fost descoperită după ce compania a raportat o breșă de securitate. Investigația a arătat că eroarea s-a produs la lansarea aplicației din cauza unei defecțiuni tehnice și a lipsei testării adecvate, ceea ce a permis accesul neautorizat la datele clienților.

Hidroelectrica a fost amendată pentru că nu a protejat suficient datele personale ale clienților, neasigurând măsuri adecvate pentru a preveni accesul neautorizat, pierderea sau deteriorarea lor.

De asemenea, compania a fost obligată să testeze mai bine aplicația iHidro înainte de lansare, simulând condiții reale pentru a evita astfel de probleme. Hidroelectrica a plătit amenda, iar în prezent are aproximativ 600.000 de clienți, atât persoane fizice, cât și firme.

Ce prevede Regulamentul (UE) nr. 679/2016?

Potrivit dispozițiilor Art. 33 din Regulamentul (UE) nr. 679/2016, dacă o companie descoperă o problemă de securitate care duce la scurgerea datelor personale ale clienților, trebuie să anunțe autoritatea responsabilă în cel mult 72 de ore, cu excepția cazului în care riscul este foarte mic. Dacă depășește acest termen, trebuie să explice motivul întârzierii.

Persoanele care gestionează datele în cadrul companiei trebuie să informeze rapid conducerea despre orice astfel de incident.

Notificarea trebuie să conțină detalii despre incident, câte persoane sunt afectate, ce tip de date au fost compromise, consecințele posibile și măsurile luate pentru a rezolva problema. Dacă nu poate furniza toate informațiile imediat, compania le poate transmite treptat, dar fără întârzieri nejustificate.

Compania trebuie să păstreze un raport despre fiecare astfel de incident, inclusiv ce s-a întâmplat, ce efecte a avut și ce măsuri s-au luat pentru a preveni probleme similare. Această documentație ajută autoritățile să verifice dacă regulile au fost respectate.

„(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere.

(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

(3) Notificarea menționată la alineatul (1) cel puțin:

descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(4) Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol.”