O persoană fizică a semnalat Autorității pentru Protecția Datelor cu Caracter Personal faptul că, după o solicitare telefonică către Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail un răspuns adresat altui client, persoană fizică, însoțit de anumite documente ce se puteau vizualiza.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în luna iulie 2022 o investigație la operatorul Enel Energie Muntenia S.A. în urma căreia s-a constatat încălcarea prevederilor Regulamentului General privind Protecția Datelor (RGPD), operatorul fiind sancționat contravențional cu amendă și avertisment, astfel:
Îți mulțumim că citești acest articol! Cu un LIKE pe Facebook ne dai încredere să continuăm.
- amendă în cuantum de 49.337 lei (echivalentul a 10.000 euro) pentru încălcarea dispozițiilor art. 32 din RGPD;
- avertisment pentru încălcarea dispozițiilor art. 33 RGPD
Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică ce a semnalat faptul că, după o solicitare telefonică către Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un răspuns adresat altui client, persoană fizică, însoțit de anumite documente ce se puteau vizualiza.
În cadrul investigației efectuate, s-a reținut faptul că operatorul Enel Energie Muntenia S.A. nu a prezentat informații clare cu privire la motivele pentru care un angajat al său a trimis răspunsul din greșeală petentului Autorității naționale de supraveghere.
De asemenea, operatorul nu a prezentat dovezi din care să rezulte că a luat măsuri de remediere în scopul reducerii riscului la care i-au fost supuse datele personale și pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale.
Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea națională de supraveghere. Or, având în vedere circumstanțele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat în baza art. 33 din RGPD, în termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunoștință de acesta.
Ca atare, operatorul Enel Energie Muntenia S.A. a fost sancționat cu amendă, întrucât nu a adoptat suficiente măsuri de securitate conform art. 32 din RGPD, fapt care a condus la producerea unui incident de securitate prin transmiterea pe e-mail a unor documente conținând în mod vizibil datele personale ale unei persoane vizate către o terță persoană, precum și cu avertisment întrucât nu a notificat la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus față de operatorul Enel Energie Muntenia S.A. :
– măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), al verificării regulate a respectării instrucțiunilor transmise acestora, al automatizării anumitor procese prin care să fie reduse riscurile de prelucrare ilegală sau neautorizată a datelor personale, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale;
– măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin contactarea petentului Autorității (pe adresa de e-mail a acestuia) pentru a-i solicita să ia măsuri de ștergere, distrugere, după caz, a informațiilor personale la care a avut acces în urma primirii pe email a corespondenței adresate unui terț;
– măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea unor măsuri interne de reducere a riscurilor la care au fost expuse datele personale ale terțului, pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale ale acestuia.
Sursa: ANSPDCP