Hidroelectrica a fost amendată cu suma de 74.562 lei (15.000 de euro) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, întrucât nu a testat suficient aplicația iHidro, ceea ce a dus la divulgarea datelor personale în cazul unui număr semnificativ de clienți.
Furnizorul de energie are, în total, circa 600.000 de clienți casnici și noncasnici.
Investigația a fost demarată ca urmare a transmiterii de către operatorul Hidroelectrica a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679, se arată într-un comunicat postat pe site-ul instituției de control.
În cadrul investigației, s-a constatat că încălcarea securității datelor cu caracter personal a avut loc în cadrul și în momentul lansării aplicației operatorului, ca urmare a unei erori tehnice și a neefectuării unei testarări suficiente a acesteia într-un mediu de test care să simuleze mediul de utilizare reală în toate procesele și interacțiunile cu alte aplicații folosite de operator.
Această situație a condus la pierderea integrității și disponibilității datelor cu caracter personal, respectiv la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal aparținând unui număr semnificativ de persoane vizate.
În consecință, întrucât operatorul nu a prelucrat datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, acesta a fost sancționat cu amendă.
Totodată, Hidroelectrica a fost obligată să realizeze testarea aplicației, „într-un mod care să simuleze scenariul real din producție în toate situațiile plauzibile din mediul de producție, anterior lansării în producție a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal”.
Operatorul a achitat amenda contravențională stabilită.