O noua amenda GDPR: 10.000 euro. Incident de securitate la Enel Energie Muntenia
Autoritatea Nationala de Supraveghere a transmis ca a amendat operatorul Enel Energie Muntenia S.A cu aproximativ 10.000 de euro, plus avertisment, pentru un incident de securitate referitor la datele personale ale unui client.
Energie Muntenia S.A. in urma careia s-a constatat incalcarea prevederilor Regulamentului General privind Protectia Datelor (RGPD), operatorul fiind sanctionat contraventional cu amenda si avertisment, astfel:
- amenda in cuantum de 49.337 lei (echivalentul a 10.000 euro) pentru incalcarea dispozitiilor art. 32 din RGPD;
- avertisment pentru incalcarea dispozitiilor art. 33 RGPD
Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza.
In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere.
De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale.
Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.
Ca atare, operatorul Enel Energie Muntenia S.A. a fost sanctionat cu amenda, intrucat nu a adoptat suficiente masuri de securitate conform art. 32 din RGPD, fapt care a condus la producerea unui incident de securitate prin transmiterea pe e-mail a unor documente continand in mod vizibil datele personale ale unei persoane vizate catre o terta persoana, precum si cu avertisment intrucat nu a notificat la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Totodata, in temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus fata de operatorul Enel Energie Muntenia S.A. :
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin punerea in aplicare a unor masuri de securitate tehnice si organizatorice adecvate specificului prelucrarii si riscurilor identificate, pe intreg ciclul de prelucrare a datelor, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati sau colaboratori), al verificarii regulate a respectarii instructiunilor transmise acestora, al automatizarii anumitor procese prin care sa fie reduse riscurile de prelucrare ilegala sau neautorizata a datelor personale, precum si al detectarii rapide, gestionarii si raportarii unor situatii de incalcare a securitatii datelor personale;
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin contactarea petentului Autoritatii (pe adresa de e-mail a acestuia) pentru a-i solicita sa ia masuri de stergere, distrugere, dupa caz, a informatiilor personale la care a avut acces in urma primirii pe email a corespondentei adresate unui tert;
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin adoptarea unor masuri interne de reducere a riscurilor la care au fost expuse datele personale ale tertului, pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale ale acestuia.
Energie Muntenia S.A. in urma careia s-a constatat incalcarea prevederilor Regulamentului General privind Protectia Datelor (RGPD), operatorul fiind sanctionat contraventional cu amenda si avertisment, astfel:
- amenda in cuantum de 49.337 lei (echivalentul a 10.000 euro) pentru incalcarea dispozitiilor art. 32 din RGPD;
- avertisment pentru incalcarea dispozitiilor art. 33 RGPD
Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza.
In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere.
De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale.
Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.
Ca atare, operatorul Enel Energie Muntenia S.A. a fost sanctionat cu amenda, intrucat nu a adoptat suficiente masuri de securitate conform art. 32 din RGPD, fapt care a condus la producerea unui incident de securitate prin transmiterea pe e-mail a unor documente continand in mod vizibil datele personale ale unei persoane vizate catre o terta persoana, precum si cu avertisment intrucat nu a notificat la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Totodata, in temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus fata de operatorul Enel Energie Muntenia S.A. :
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin punerea in aplicare a unor masuri de securitate tehnice si organizatorice adecvate specificului prelucrarii si riscurilor identificate, pe intreg ciclul de prelucrare a datelor, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati sau colaboratori), al verificarii regulate a respectarii instructiunilor transmise acestora, al automatizarii anumitor procese prin care sa fie reduse riscurile de prelucrare ilegala sau neautorizata a datelor personale, precum si al detectarii rapide, gestionarii si raportarii unor situatii de incalcare a securitatii datelor personale;
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin contactarea petentului Autoritatii (pe adresa de e-mail a acestuia) pentru a-i solicita sa ia masuri de stergere, distrugere, dupa caz, a informatiilor personale la care a avut acces in urma primirii pe email a corespondentei adresate unui tert;
- masura corectiva de a asigura conformitatea cu RGPD a operatiunilor de prelucrare a datelor personale, prin adoptarea unor masuri interne de reducere a riscurilor la care au fost expuse datele personale ale tertului, pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale ale acestuia.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Activitatea Autoritatii
31Mai2023
Amenzi GDPR in valoare de aproape 72.000 de euro in primele 4 luni ale anului 2023
de Colectivul de Specialisti Rentrop&Straton
31 Mai 2023
07Oct2022
Val de amenzi pentru incalcarea GDPR, sute de mii de clienti afectati
de Portal Protectia Datelor
07 Oct 2022
12Iul2022
Companie IT, amendata GDPR pentru ca afisa pe site-ul oficial datele clientilor, de la nume si prenume pana la username si parola
de Portal Protectia Datelor
12 Iul 2022
26Mai2022
Amenda pentru un centru medical privat. Documente cu datele pacientilor, aruncate la cosul de gunoi
de Portal Protectia Datelor
26 Mai 2022
19Mai2022
Un producator de ambalaje amendat pentru incalcarea GDPR
de Portal Protectia Datelor
19 Mai 2022
16Feb2022
Romanii se folosesc de GDPR! Numarul de plangeri, in continuare mare
de Portal Protectia Datelor
16 Feb 2022
Un produs marca