L’Autorité nationale de contrôle du traitement des données personnelles a achevé, en novembre 2024, une enquête auprès de l’opérateur Electrica Furnizare SA et a constaté une violation des dispositions de l’art. 32 par. (1) allumé. b) et par. (2) du règlement (UE) 2016/679.
L’opérateur a ainsi été condamné à une amende de 14 929,20 lei (l’équivalent de 3 000 euros).
L’enquête a débuté à la suite de notifications envoyées par une personne physique concernant une éventuelle violation des dispositions du règlement (UE) 2016/679.
Elle se plaignait d’avoir reçu d’Electrica Furnizare SA des informations contenant des données personnelles d’une personne abonnée à la société et que ces informations ne lui étaient pas destinées.
Au cours de l’enquête, l’Autorité Nationale de Contrôle a constaté que l’opérateur, dans le cadre de l’activité exercée pour la gestion des bons de ses clients, avait enregistré une demande de remboursement d’un montant émanant d’un client. A cette demande étaient joints des documents d’un titulaire du contrat contenant des données personnelles provenant de la carte d’identité, du compte bancaire, de l’adresse de la personne concernée et des actes d’état civil du titulaire du contrat.
L’adresse e-mail était associée à celle d’un tiers, les informations relatives aux données personnelles d’un titulaire du contrat étaient donc transmises à un autre client.
Cette situation a conduit à la divulgation non autorisée de données personnelles (nom, prénom, adresse, numéro de téléphone, adresse email, série et numéro de carte d’identité, code personnel, état civil), suite à la transmission par courrier électronique par l’exploitant à un tiers de documents appartenant à un autre client.
En conséquence, au cours de l’enquête, il a été constaté que l’opérateur n’avait pas mis en œuvre de mesures techniques et organisationnelles adéquates afin d’assurer un niveau de sécurité correspondant au risque de traitement, y compris la capacité à garantir la confidentialité et l’intégrité des systèmes et services de traitement, violant ainsi les dispositions de l’art. 32 par. (1) allumé. b) et par. (2) du règlement (UE) 2016/679.
En même temps, conformément à l’art. 58 par. (2) allumé. d) du Règlement (UE) 2016/679, il a été ordonné à l’opérateur Electrica Furnizare SA et la mesure corrective d’introduire une solution pour contrôler l’application des procédures de travail mises en œuvre, dans le sens de vérifier l’identité de la personne concernée, afin d’éviter des incidents de sécurité similaires.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18_12_2024&lang=ro