La DPA roumaine (ANSPDCP) a infligé une amende de 5 000 euros à SPEH Hidroelectrica SA. Le responsable du traitement avait notifié à l'APD plusieurs violations de la protection des données personnelles en vertu de l'art. 33 du RGPD. La violation de données a conduit à l'accès illicite aux données de 325 personnes ou à leur transmission aux mauvais destinataires. L'APD a considéré qu'il s'agissait d'un manquement du responsable du traitement à son obligation en vertu de l'art. 32 (1) b), (2) GDPR à mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque représenté par le traitement. En outre, la DPA a constaté que le responsable du traitement avait traité les données personnelles de trois clients après avoir exercé leur droit d'effacer leurs données et révoqué leur consentement au traitement. Le traitement a donc été effectué sans base légale valable. La DPA a infligé une amende de 5 000 EUR pour une infraction à l'art. 32 (1) b), (2) RGPD. Pour une violation de l'art. 5 (1) a) RGPD, art. 6 (1) a) GDPR, la DPA a en outre émis un avertissement.