1,4M forintra bírságolta a Hatóság az energiaszolgáltatót
A Román Adatvédelmi Hatóság (ANSPDCP) június 18-án 19.368 lejre (mindegy 4.000 euró) bírságolta meg Románia egyik legnagyobb áramszolgáltatóját, az Enel Romaniát. A Hatóság egy magánszemély bejelentése alapján kezdte meg a vizsgálatot.
A panasz szerint a szolgáltató e-mailben tévedésből olyan dokumentumokat küldött egy másik előfizetőjének, melyek tartalmazták az érintett személyes adatait is.
A vizsgálat során a Hatóság megállapította, hogy adatkezelés során az Enel megsértette a GDPR 32-es, az adatkezelés biztonságáról szóló cikkét, mivel nem biztosította a megfelelő technikai és szervezeti intézkedéseket, melyek megakadályozhatták volna az e-mail félreküldését.
Ezzel egyidőben a Hatóság utasította a szolgáltatót, hogy végezze el a megfelelő intézkedések bevezetését, illetve a meglevő intézkedések felülvizsgálatát, hogy a jövőben hasonló incidens ne fordulhasson elő.
Az Enel Románia 2005 óta van jelen a román privát szektorban. Az olasz tulajdonú cég Romániában körülbelül 3.100 személyt foglalkoztat és mindegy 3 millió ügyféllel rendelkezik. A cég a hagyományos áramszolgáltatáson kívül rendelkezik megújuló energiával és innovatív technológiák fejlesztésére szakosodott üzletágakkal is, így megállapítható, hogy a bírság csupán jelzés értékkel bírt.
Az ANSPDCP óriáscégekkel szembeni korábbi bírságairól ebben a cikkünkben írtunk.
A jelen esetben is megvalósult adatvédelmi incidens nagyon sűrűnek mondható az adatkezelők körében, mely ellen azonban elsősorban különösen nagy odafigyeléssel lehet tenni, az ugyanis minden esetben figyelmetlenség következménye. Ha már megtörtént a félreküldés, akkor az adatvédelmi incidens következmények felmérése és csökkentése szempontjából kiemelt jelentősége van annak, hogy a címzett milyen viszonyban van az adatkezelővel.
Az egyéneket érintő kockázatok súlyosságának felmérése körében a 29-es Munkacsoport az alábbiakat emelte ki az adatvédelmi incidensek bejelentésével kapcsolatos WP250-es iránymutatásában:
„A lehetséges kockázat mértékére hatással lehet az is, hogy az adatkezelőnek tudomása van-e arról, a személyes adatok ismeretlen vagy rossz szándékú személyekhez kerültek. Titoksértés merülhet fel, amennyiben a személyes adatokat tévedésből közlik a 4. cikk 10. pontjában meghatározott harmadik féllel vagy más címzettel. Ez például akkor fordulhat elő, ha a személyes adatokat véletlenül a szervezet rossz szervezeti egységének vagy széles körben igénybe vett beszállító szervezetnek küldik.
Az adatkezelő arra kérheti a címzettet, hogy a kapott adatokat juttassa vissza vagy biztonságosan semmisítse meg. A címzett mindkét esetben „megbízhatónak” tekinthető, amennyiben az adatkezelő folyamatos kapcsolatban áll vele, és ismeri eljárásaikat, történetüket és más fontos részletet. Más szóval az adatkezelő bizonyos mértékig megbízhat a címzettben, így észszerűen várhatja el, hogy a másik fél a tévedésből neki küldött adatokat nem tanulmányozza át, és nem tekint bele, valamint eleget tesz az adatok visszaszolgáltatására vonatkozó utasításoknak.
Még ha a címzett be is tekintett az adatokba, az adatkezelő akkor is bízhat abban, hogy további műveleteket nem végez velük, haladéktalanul visszaszolgáltatja őket az adatkezelőnek, és együttműködik a helyreállításukban.
Ilyen esetben ez figyelembe vehető az adatkezelő által az incidenst követően elvégzendő kockázatértékelés során: az a tény, hogy a címzett megbízható, nem teszi meg nem történtté az incidenst, csupán mérsékelheti annak súlyosságát. Ugyanakkor ezáltal kiküszöbölhető az egyéneket érintő kockázat valószínűsége, így már nem lesz szükséges a felügyeleti hatóságnak bejelentést tenni vagy az érintett egyéneket értesíteni.”
