Hidroelectrica a fost sancționată cu 5.000 de euro pentru o încălcare a GDPR, după ce un client a reclamat că a primit, prin e-mail, factura altei persoane. Cazul a fost investigat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care a confirmat incidentul și a aplicat o amendă de 25.392 de lei.

Autoritatea a anunțat luni că investigația a fost finalizată în luna septembrie 2025, în urma unei notificări transmise chiar de companie: „Investigația a fost demarată ca urmare a transmiterii de către operatorul S.P.E.E.H. HIDROELECTRICA SA a unei notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679. Potrivit celor menționate în formularul de notificare, un client al operatorului a sesizat primirea unei facturi pentru furnizarea energiei electrice care aparținea unei alte persoane”, precizează ANSPDCP.

Autoritatea explică faptul că incidentul s-a produs din cauza unei erori tehnice în sistemul informatic prin care Hidroelectrica transmite facturile către clienți. Această defecțiune a dus la pierderea controlului asupra unor date personale sensibile.

„Această încălcare a condus la divulgarea neautorizată la anumite date cu caracter personal ale mai multor persoane vizate (clienți), respectiv: numele, prenumele, codul de client, codul cont contract, adresa, numărul contractului, data contractului, data încetării contractului, perioada de facturare, data scadentă, codul locului de consum, serviciile facturate, cantitatea facturată, prețul unitar în lei, valoarea serviciilor, detalii de măsurare, numărul zilelor de consum mediu, valoarea totală facturată, total de plată pentru factura curentă”, arată ANSPDCP în comunicat.

Potrivit instituției, Hidroelectrica a încălcat obligațiile prevăzute de articolul 32 din Regulamentul european privind protecția datelor, care impune operatorilor să asigure confidențialitatea și integritatea informațiilor personale.

Nu este prima dată când o companie majoră de energie din România este sancționată pentru probleme similare. Recent, E.ON Energie România a primit o amendă de 25.000 de euro după ce sistemul informatic al companiei a fost compromis, iar datele unui număr semnificativ de utilizatori – inclusiv adrese de e-mail și parole – au fost „accesate în mod neautorizat și exfiltrate”.

În acel caz, ANSPDCP a considerat că incidentul a prezentat „risc ridicat de prejudicii financiare” pentru clienți. E.ON a anunțat că a contestat amenda în instanță, susținând că procesul-verbal al autorității este „netemeinic și nelegal”.