Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna septembrie 2023, o investigație la operatorul Cez Vânzare S.A. și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și art. 32 alin. (2) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4.969,70 lei (echivalentul a 1 000 de EURO).

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor cu caracter personal.

În cadrul investigației s-a constatat că operatorul a transmis clienților beneficiari ai serviciului de furnizare gaze naturale, prin intermediul adresei de e-mail, preavize de deconectare, întrucât aceștia nu au permis accesul personalului operatorului de distribuție gaze pentru citirea sau înlocuirea echipamentelor de măsurare de la locul de consum. În timpul transmiterii mesajului prin poșta electronică au fost transcrise eronat unele adrese ale destinatarilor, astfel că avizele de deconectare au fost comunicate altor clienți decât titularilor locului de consum.

Prin incidentul produs au fost dezvăluite numele și prenumele, adresa de corespondență, adresa locului de consum, codul de client, codul locului de consum, ceea ce a condus la încălcarea securității datelor (prin divulgarea neautorizată sau accesul neautorizat) atât ale unor persoane fizice, cât și ale unor persoane juridice.

În consecință, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Cez Vânzare S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.

Regulamentul (UE) 2016/679 subliniază în considerentele (39) și (83) importanța asigurării securității prelucrării. Astfel:

”(39) (...) Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.”

”(83) În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şi să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea, luând în considerare stadiul actual al dezvoltării şi costurile implementării în raport cu riscurile şi cu natura datelor cu caracter personal a căror protecţie trebuie asigurată. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.”

Direcția juridică și comunicare

A.N.S.P.D.C.P