Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat Hidroelectrica cu 74.562 lei, echivalentul sumei de 15.000 euro, pe motiv că a făcut publice, dintr-o eroare, datele personale ale unor clienți, în momentul lansării aplicației iHidro. Reprezentanții Hidroelectrica precizează că acest incident singular a fost cauzat de o eroare tehnică apărută în timpul migrării datelor către sistemul iHidro în octombrie 2023, fiind afectați 69 de utilizatori din cei peste 500.000 de clienți ai companiei. Eroarea a fost remediată prompt.

A.N.S.P.D.C.P a finalizat, în luna decembrie 2024, o investigație la operatorul S.P.E.E.H. HIDROELECTRICA S.A și a constatat încălcarea art. 25 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679. Ca atare, operatorul a fost sancționat cu amendă în cuantum de 74.562 Lei (echivalentul sumei de 15.000 Euro). Investigația a fost demarată ca urmare a transmiterii de către operatorul S.P.E.E.H. HIDROELECTRICA S.A a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
Potrivit comunicatului A.N.S.P.D.C.P, în cadrul investigației, s-a constatat că încălcarea securității datelor cu caracter personal a avut loc în cadrul și în momentul lansării aplicației operatorului, ca urmare a unei erori tehnice și a neefectuării unei testarări suficiente a acesteia într-un mediu de test, care să simuleze mediul de utilizare reală în toate procesele și interacțiunile cu alte aplicații folosite de operator. Această situație, a condus la pierderea integrității și disponibilității datelor cu caracter personal, respectiv la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal aparținând unui număr semnificativ de persoane vizate.
În consecință, întrucât operatorul nu a prelucrat datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, acesta a fost sancționat cu amendă, pentru încălcarea prevederilor art. 25 alin. (1) și alin. (2) din Regulamentul (UE) 2016/679, se prezintă în comunicat.
Autoritatea a dispus față de operator măsura corectivă de implementare tehnică și procedurată a unui plan de testare în mediul de test, care să simuleze scenariul real din producție în toate situațiile plauzibile din mediul de producție, anterior lansării în producție a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal.
Hidroelectrica a transmis următoarea declarație de presă, cu clarificări importante pentru a asigura transparența și încrederea publicului:
Hidroelectrica își reafirmă angajamentul ferm față de protecția datelor cu caracter personal ale clienților și angajaților săi. Acest incident nefericit nu reflectă standardele companiei noastre în privința protecției datelor și suntem dedicați să consolidăm măsurile de securitate pentru a asigura că toate procesele noastre respectă cele mai înalte standarde de protecție a datelor. Precizăm că acest incident singular a fost cauzat de o eroare tehnică apărută în timpul migrării datelor către sistemul iHidro în octombrie 2023, fiind afectați 69 de utilizatori din cei peste 500.000 de clienți ai companiei. Eroarea a fost remediată prompt.
Hidroelectrica a respectat în totalitate recomandările autorităților și a implementat măsuri tehnice și organizatorice suplimentare pentru a preveni recurența unor astfel de erori.
Hidroelectrica, cel mai mare producător de energie verde din România, operează 187 de hidrocentrale cu o capacitate totală de 6,3 GW și deține un parc eolian cu o putere instalată de 108 MW, acoperind și 13,9% din piața concurențială de energie electrică din țară.