Amendă de 10.000 de euro pentru Enel Energie Muntenia după o plângere depusă de o persoană fizică

Enel Energie Muntenia, unul dintre cei mai mari jucători de pe piaţa locală de energie, a primit o amendă de 10.000 de euro, după ce a transmis datele personale ale unui client unei alte persoane pe e-mail şi nu a notificat incidentul la autorităţile competente şi nici nu a răspuns apoi solicitărilor primite în legătură cu această situaţie, conform unui comunicat al Autoritatăţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), autoritatea care a aplicat amenda, scrie ZF.

“Autoritatea Naţională de Supraveghere a finalizat în luna iulie 2022 o investigaţie la operatorul Enel Energie Muntenia S.A. în urma căreia s-a constatat încălcarea prevederilor Regulamentului General privind Protecţia Datelor (RGPD), operatorul fiind sancţionat contravenţional cu amendă şi avertisment, astfel: amendă în cuantum de 49.337 lei (echivalentul a 10.000 euro) pentru încălcarea dispoziţiilor art. 32 din RGPD; avertisment pentru încălcarea dispoziţiilor art. 33 RGPD”, conform instituţiei.

Compania a fost amendată după o plângere depusă de o persoană fizică. “Investigaţia a fost demarată ca urmare a unor sesizări depuse de o persoană fizică ce a semnalat faptul că, după o solicitare telefonică către Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un răspuns adresat altui client, persoană fizică, însoţit de anumite documente ce se puteau vizualiza.

În cadrul investigaţiei efectuate, s-a reţinut faptul că operatorul Enel Energie Muntenia S.A. nu a prezentat informaţii clare cu privire la motivele pentru care un angajat al său a trimis răspunsul din greşeală petentului Autorităţii naţionale de supraveghere.

De asemenea, operatorul nu a prezentat dovezi din care să rezulte că a luat măsuri de remediere în scopul reducerii riscului la care i-au fost supuse datele personale şi pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale.

Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea naţională de supraveghere. Or, având în vedere circumstanţele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat în baza art. 33 din RGPD, în termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunoştinţă de acesta.

Ca atare, operatorul Enel Energie Muntenia S.A. a fost sancţionat cu amendă, întrucât nu a adoptat suficiente măsuri de securitate conform art. 32 din RGPD, fapt care a condus la producerea unui incident de securitate prin transmiterea pe e-mail a unor documente conţinând în mod vizibil datele personale ale unei persoane vizate către o terţă persoană, precum şi cu avertisment întrucât nu a notificat la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus faţă de operatorul Enel Energie Muntenia S.A. :

- măsura corectivă de a asigura conformitatea cu RGPD a operaţiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice şi organizatorice adecvate specificului prelucrării şi riscurilor identificate, pe întreg ciclul de prelucrare a datelor, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajaţi sau colaboratori), al verificării regulate a respectării instrucţiunilor transmise acestora, al automatizării anumitor procese prin care să fie reduse riscurile de prelucrare ilegală sau neautorizată a datelor personale, precum şi al detectării rapide, gestionării şi raportării unor situaţii de încălcare a securităţii datelor personale;

- măsura corectivă de a asigura conformitatea cu RGPD a operaţiunilor de prelucrare a datelor personale, prin contactarea petentului Autorităţii (pe adresa de e-mail a acestuia) pentru a-i solicita să ia măsuri de ştergere, distrugere, după caz, a informaţiilor personale la care a avut acces în urma primirii pe email a corespondenţei adresate unui terţ;

- măsura corectivă de a asigura conformitatea cu RGPD a operaţiunilor de prelucrare a datelor personale, prin adoptarea unor măsuri interne de reducere a riscurilor la care au fost expuse datele personale ale terţului, pentru a preveni pe viitor dezvăluirea sau accesarea ilegală a datelor personale ale acestuia.”