Pentru fapta săvârșită, operatorul a fost sancționat cu amendă în cuantum de 126.797 lei, echivalentul sumei de 25000 euro.
Investigația, demarată după o notificare trimisă de E.ON România
Investigația a fost demarată ca urmare a transmiterii de către operatorul EON ENERGIE ROMANIA S.A. a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 679/2016.
Astfel, operatorul a notificat faptul că au fost accesate în mod neautorizat și exfiltrate o serie de categorii de date cu caracter personal ale unui număr semnificativ de persoane vizate, respectiv conturi de utilizatori incluzând adrese de e-mail și parole.
ANSPDCP: E.ON România nu avea măsuri tehnice și organizatorice adecvate
Totodată, în cursul investigației, a rezultat că operatorul nu avea implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Această situație a condus la accesul neautorizat la datele cu caracter personal (adrese de e-mail și parole) ale unui număr semnificativ de persoane vizate și a fost generat un risc ridicat de potențiale prejudicii financiare.
Ca atare, au fost încălcate prevederile art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016.
Totodată, în temeiul dispozițiilor art. 58 alin. (2) lit. d) din RGPD, s-au dispus față de operator măsuri corective, în sensul implementării obligativității autentificării multi-factor pentru toți utilizatorii, inclusiv implementarea altor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrarea datelor cu caracter personal efectuată prin intermediul conturilor clienților operatorului.
