În urma acestei investigații, Hidroelectrica a fost sancționată cu o amendă de 74.562 Lei (aproximativ 15.000 Euro). Sancțiunea a fost aplicată ca urmare a unei încălcări a securității datelor cu caracter personal, incident care a avut loc în momentul lansării unei aplicații proprii ale operatorului.

Investigația a fost declanșată în urma notificării transmise de Hidroelectrica despre o încălcare a securității datelor, conform cerințelor GDPR. S-a constatat că eroarea tehnică apărută în cadrul și procesul de lansare a aplicației a fost rezultatul unei testări insuficiente într-un mediu controlat, care nu a reușit să simuleze corect condițiile de utilizare reale. Această deficiență a condus la pierderea integrității și disponibilității datelor cu caracter personal, precum și la divulgarea sau accesul neautorizat la datele a numeroase persoane vizate.

În această situație, autoritatea a constatat că operatorul nu a adoptat măsuri tehnice și organizatorice suficiente pentru a asigura securitatea datelor personale, a proteja împotriva prelucrării neautorizate sau ilegale și pentru a preveni pierderea, distrugerea sau deteriorarea accidentale a datelor. Astfel, compania a fost sancționată conform art. 25 alin. (1) și alin. (2) din GDPR, care impun prelucrarea datelor personale într-un mod care să asigure protecția adecvată a acestora.

Pe lângă sancțiunea aplicată, autoritatea a dispus și o măsură corectivă pentru operator. Hidroelectrica este obligată să implementeze un plan detaliat de testare în mediul de test, care să simuleze scenariile reale din mediul de producție. Acest plan trebuie să acopere toate situațiile posibile în interacțiunile cu alte aplicații care includ prelucrarea de date cu caracter personal, și să fie implementat înainte de lansarea în producție a oricăror noi componente sau aplicații.