Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat im Dezember 2024 eine Untersuchung beim Betreiber SPEEH HIDROELECTRICA SA abgeschlossen und einen Verstoß gegen Art. 34 festgestellt . 25 Absatz. (1) und Abs. (2) der Verordnung (EU) 2016/679.
Aus diesem Grund wurde der Betreiber mit einer Geldstrafe von 74.562 Lei (umgerechnet 15.000 Euro) belegt.
Die Untersuchung wurde nach der Übermittlung einer Meldung über eine Verletzung der Sicherheit personenbezogener Daten durch den Betreiber SPEEH HIDROELECTRICA SA gemäß den Bestimmungen von Art. 28 eingeleitet. 33 der Verordnung (EU) 2016/679.
Während der Untersuchung wurde festgestellt, dass die Sicherheitsverletzung der personenbezogenen Daten innerhalb und zum Zeitpunkt der Einführung der Anwendung des Betreibers auftrat, und zwar aufgrund eines technischen Fehlers und der Tatsache, dass keine ausreichenden Tests in einer Testumgebung durchgeführt wurden, die die reale Situation simuliert. Umgebung. von echtem Nutzen in allen Prozessen und Interaktionen mit anderen Anwendungen, die der Betreiber nutzt.
Diese Situation führte zum Verlust der Integrität und Verfügbarkeit personenbezogener Daten bzw. zur unbefugten Offenlegung und/oder zum unbefugten Zugriff auf die personenbezogenen Daten einer erheblichen Anzahl betroffener Personen.
Da der Verantwortliche die personenbezogenen Daten nicht auf eine Weise verarbeitete, die ihre angemessene Sicherheit, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen gewährleistet, wurde er wegen Verstoßes gegen die Bestimmungen der Kunst. 25 Absatz. (1) und Abs. (2) der Verordnung (EU) 2016/679.
Gleichzeitig wurde der Betreiber dazu verpflichtet, vor dem Produktionsstart die technische und verfahrenstechnische Umsetzung eines Testplans in der Testumgebung vorzunehmen, der das reale Produktionsszenario in allen plausiblen Situationen in der Produktionsumgebung simuliert. aller Komponenten/Anwendungen, die sie im Rahmen von Aktivitäten einführen möchten, die die Verarbeitung personenbezogener Daten beinhalten.
Der Betreiber bezahlte die festgesetzte Geldbuße für die Ordnungswidrigkeit.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_31.01.2025_1&lang=ro