UPDATE 13 octombrie. Poziția oficială transmisă de către E.ON Energie România
„E.ON Energie România a luat act de procesul-verbal încheiat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Considerăm că procesul-verbal este netemeinic și nelegal, motiv pentru care l-am și contestat în instanță, în vederea obținerii anulării acestuia și am adus probe incontestabile care atestă faptul ca pretinsa faptă reținută de autoritate nu există.
Compania E.ON Energie România este angajată în respectarea principiilor de conformitate, transparență și responsabilitate, investind permanent în consolidarea capacităților de protecție a datelor și securitate cibernetică.
Astfel, orice incident care poate apărea este tratat cu maximă responsabilitate de compania noastră care are atât resursele, cât și echipamentele necesare pentru a putea gestiona orice situație critică, la fel cum s-a întâmplat în cazul incidentului relatat când s-au luat toate măsurile necesare, astfel încât clienții să nu fie afectați. Menționăm faptul că, în platforma E.ON Myline, dedicată interacțiunii cu clienții, nu există date care să pună în pericol financiar clienții noștri din punctul de vedere al oricăror operațiuni bancare.
În cadrul Grupului E.ON România, protecția datelor cu caracter personal și securitatea cibernetică reprezintă piloni esențiali pentru asigurarea unui management responsabil al informațiilor și pentru protejarea infrastructurii critice. Politicile noastre în aceste domenii sunt aliniate la cerințele legale și la standardele internaționale, având ca obiectiv protejarea informațiilor angajaților, clienților, partenerilor și furnizorilor, precum și asigurarea rezilienței infrastructurii critice.
Politica de protecție a datelor stabilește reguli clare privind:
- procesarea legală și transparentă a datelor cu caracter personal;
- respectarea drepturilor persoanelor vizate;
- implementarea măsurilor tehnice și organizaționale adecvate pentru securizarea datelor;
- documentarea conformă cu legislația aplicabilă.
Pentru a asigura aplicarea eficientă și îmbunătățirea continuă a acestor politici, Grupul E.ON România utilizează un sistem de indicatori de performanță care permite monitorizarea constantă a nivelului de conformitate și eficiență operațională în domeniul protecției datelor și al securității informațiilor.”
Știrea inițială
Investigație finalizată de ANSPDCP: E.ON România, sancționată pentru nerespectarea normelor europene
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat finalizarea unei investigații derulate la E.ON Energie România S.A., companie activă în furnizarea de energie electrică și gaze naturale.
În urma verificărilor, s-a constatat încălcarea articolelor 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016 (GDPR), care impun operatorilor obligația de a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale.
Pentru neregulile constatate, compania a fost sancționată cu o amendă de 126.797 lei, echivalentul sumei de 25.000 de euro. Autoritatea a subliniat că sancțiunea a fost aplicată proporțional cu gravitatea faptelor și cu riscul potențial creat pentru persoanele vizate.
Aceasta nu este prima investigație de acest tip efectuată în domeniul energetic, însă cazurile anterioare au vizat mai ales deficiențe de informare sau lipsa consimțământului, nu breșe de securitate efective.
Investigația a început după notificarea transmisă de E.ON România
Conform comunicatului emis de autoritate, investigația a fost declanșată în urma unei notificări trimise de E.ON Energie România, conform articolului 33 din Regulamentul european privind protecția datelor. Compania a informat ANSPDCP despre o posibilă breșă de securitate, după ce au fost identificate accesări neautorizate ale conturilor unor utilizatori.
În sesizarea depusă, operatorul a precizat că au fost accesate și extrase neautorizat adrese de e-mail și parole ale unui număr considerabil de persoane vizate. Aceste date ar fi putut fi utilizate ulterior pentru tentative de autentificare frauduloasă în conturile online ale clienților.
Autoritatea a apreciat faptul că notificarea a fost transmisă conform procedurilor legale, însă a continuat analiza pentru a verifica dacă măsurile de prevenire și reacție adoptate de companie înainte de incident au fost suficiente.
ANSPDCP: lipsă de măsuri tehnice și organizatorice adecvate
În urma investigației, ANSPDCP a constatat că E.ON România nu implementase măsuri tehnice și organizatorice corespunzătoare riscului asociat prelucrării datelor personale.
Documentul oficial menționează că lipsa unor controale eficiente a dus la acces neautorizat la adresele de e-mail și parole ale clienților, ceea ce a generat un risc ridicat de prejudicii financiare pentru persoanele afectate.
Autoritatea a explicat că astfel de incidente pot apărea atunci când sistemele informatice nu sunt actualizate corespunzător sau când parolele nu sunt protejate prin metode moderne de autentificare. În lipsa acestor mecanisme, crește semnificativ probabilitatea ca terți să obțină acces la conturi de utilizatori.
Raportul ANSPDCP precizează că situația identificată reprezintă o încălcare clară a articolului 32 din Regulamentul (UE) 679/2016, care prevede necesitatea asigurării confidențialității, integrității și disponibilității datelor personale, inclusiv prin criptare și metode de control al accesului.
Măsuri corective impuse de autoritate: autentificare multi-factor și noi standarde de protecție
Pe lângă amenda financiară, ANSPDCP a impus măsuri corective în baza articolului 58 alin. (2) lit. d) din RGPD. Printre acestea, compania E.ON România trebuie să implementeze autentificarea multi-factor (MFA) pentru toți utilizatorii platformei, o măsură menită să reducă riscurile de compromitere a conturilor.
Totodată, autoritatea a solicitat companiei să adopte alte măsuri tehnice și organizatorice suplimentare, pentru a atinge un nivel de securitate corespunzător riscurilor asociate prelucrării datelor. Acestea pot include audituri periodice de securitate, actualizări de software, instruirea personalului și revizuirea procedurilor interne privind protecția datelor.
Reprezentanții autorității au precizat că scopul principal al acestor decizii nu este doar sancționarea operatorului, ci și prevenirea unor incidente similare în viitor, într-un context în care digitalizarea serviciilor publice și private crește exponențial volumul de date prelucrate online.
Ministrul Energiei: România importă zilnic până la 2.000 de megawați
Într-o declarație separată, ministrul Energiei, Bogdan Ivan, a comentat situația generală din sectorul energetic, subliniind dificultățile întâmpinate după eliminarea schemei de plafonare a prețurilor. Potrivit acestuia, România nu era suficient pregătită pentru ieșirea din sistemul de plafonare, deoarece nu dispune încă de capacități interne de producție suficiente.
„Trebuia să fie mai pregătită România pentru a ieşi din această plafonare, cu capacităţi de producţie”, a spus ministrul.
El a adăugat că, din cauza acestui context, țara este nevoită să importe între 1.700 și 2.000 de megawați pe zi, mai ales în intervalele de vârf, când prețurile pe piața energiei sunt mai ridicate.
Declarațiile oficialului reflectă presiunea sub care se află sistemul energetic național, confruntat atât cu cerințele de conformare la standardele europene, cât și cu nevoia de a asigura prețuri suportabile pentru populație.
