Departamentul Protecţia Datelor/Securitatea informaţiilor/Conformitate

Activitatea departamentului se circumscrie nevoii esenţiale de business derivate dintr-o

serie de exigenţe de ordin legislative exprimate în mare măsură mai sus. Acestea privesc
subiecte diverse, cu impact imediat în activitatea curentă şi imediată, referitoare la
protecţia datelor cu caracter personal, securitatea informaţiilor şi confirmitate.

Pentru claritate, evidenţiem că măsurile întreprinse vizează, în principal:

- îmbunătățirea expertizei necesare pentru asigurarea securităţii informaţiilor,

protecției datelor şi conformităţii printr-o abordarea concentrată şi concertată:
- consolidarea proceselor de afaceri la nivelul funcţiunilor implicate
- oferirea unui suport pragmatic legat de cerințele mediului de afaceri şi cel legislativ,
promovând schimbarea culturală şi a mentalităţii angajaţilor
- identificarea riscurilor asociate şi reducerea posibilului impact

Protecţia Datelor cu Caracter Personal

Consiliului Director al fiecărei unități E.ON îi revine responsabilitatea generală pentru

respectarea adecvată a normelor privind protecția datelor în unitatea sa. Aceasta include,
printre altele:

• Numirea proprietarilor de rol pentru protecția datelor (responsabilul cu protecția datelor

(DPO) și opțional a coordonatorilor cu protecția datelor (DPC). Toate numirile se fac în
scris. Înainte de numirea unui DPO, se va cere aprobarea DPO E.ON SE.
• Definirea persoanei responsabile pentru fiecare act de prelucrare a datelor cu caracter
personal.
• Furnizarea mijloacelor și a resurselor necesare pentru a asigura menținerea protecției
datelor la un nivel adecvat.
• Implementarea unui proces adecvat pentru păstrarea înregistrărilor(evidențelor) referitoare
la activitățile de procesare în consultare cu responsabilul cu protecția datelor(DPO).
• Schimbul periodic de informații privind protecția datelor cu responsabilul cu protecția
datelor, precum și luarea măsurilor adecvate, dacă este cazul.
• Implementarea unor procese adecvate pentru a permite realizarea unei evaluări de impact
privind protecția datelor, conform recomandărilor responsabilului cu protecția datelor
(DPO) al E.ON SE.
• Faptul că toți angajații interni și externi ai unității E.ON care sunt implicați în prelucrarea
datelor cu caracter personal sunt conștienți de obligațiile lor referitoare la protecția a
datelor și participă periodic la instruiri privind protecția datelor.
• Asigurarea faptului că încălcările relevante a securității datelor cu caracter personal sunt
raportate autorităților responsabile și persoanelor vizate afectate și implementarea unor
procese adecvate în acest scop, după consultarea cu DPO-ul local. Sub rezerva legii
aplicabile și gravității încălcării securității datelor cu caracter personal, autoritățile
competente ar putea impune obligația de notificarea în termen de 72 de ore de la
constatarea acesteia.
Activitatea DPO necesită drepturi de acces neîngrădite la informare. Managementul și
departamentele de business trebuie să sprijine DPO în activitatea sa. În special, DPO este
notificat imediat ori de câte ori sunt introduse proceduri de prelucrare a datelor cu
caracter personal sau se modifică procedurile existente.

Responsabilul cu protecția datelor (DPO)

Sub rezerva legii aplicabile, toate unitățile din cadrul grupului E.ON care lucrează cu date
cu caracter personal numesc un DPO. DPO are cunoștințe de specialitate cu privire la
legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile
atribuite. Un DPO poate prelua roluri și sarcini suplimentare sau poate funcționa și ca DPO
pentru alte unități din cadrul grupului E.ON, cu condiția ca acest rol suplimentar să nu
contravină rolului său de DPO.

DPO raportează Consiliului Director al unității E.ON respective.

Ca cerință minimă, responsabilii cu protecția datelor (DPO), printre altele:

• Monitorizează conformitatea cu cerințele GDPR, legislația națională și cerințele

interne de protecție
a datelor, precum și atribuirea și organizarea îndeplinirii sarcinilor care decurg din
acestea.
• Informează și consiliază Persoana responsabilă sau Operatorul (vezi mai jos) și
personalul care
efectuează prelucrarea datelor cu caracter personal în ceea ce privește obligațiile lor
privind
protecția datelor.
• Oferă consultanță, atunci când sunt solicitați, cu privire la evaluările impactului asupra
protecției
datelor (DPIAs) și monitorizează performanța acestora.
• Acționează ca punct de contact pentru autoritatea de supraveghere (de exemplu,
autoritatea competentă pentru protecția datelor) privind aspecte legate de prelucrarea
datelor cu caracter personal (inclusiv consultarea prealabilă în cursul unei evaluări a
impactului privind protecția datelor) și va consulta autoritățile competente, cu privire la
orice altă problemă.
• Primesc consultanță(sfaturi) și recomandări de la DPO-ul E.ON SE privind activitățile de
protecție a datelor la nivel de grup, de ex. referitor la alocarea răspunderilor și
responsabilităților pentru procesele centralizate și descentralizate și o procedură de
notificare a încălcărilor.
• Raportează activitățile și problemele privind protecția datelor către Consiliul Director al
unității E.ON respective și la DPO-ul E.ON SE.
• Raportează încălcările relevante privind protecția datelor către Consiliul Director al
respectivei unități E.ON și DPO-ului E.ON SE.

Operatori de date cu caracter personal, terțe părți

În cazul în care unitatea E.ON relevantă nu realizează ea însăși prelucrarea datelor cu

caracter personal, unitatea E.ON poate selecta unul sau mai mulți operatori de date.
Operatorul poate fi o unitate a Grupului E.ON sau o companie externă care prelucrează
datele personale în numele și conform instrucțiunilor unității E.ON respective. Chiar și în
cazurile în care datele cu caracter personal sunt prelucrate de către terți în numele unei
unități E.ON, responsabilitatea pentru protecția datelor rămâne la acea unitate E.ON.

Pentru evitarea oricărei ambiguități, în cazul în care este necesar din punct de vedere
juridic, fiecare unitate E.ON poate de asemenea, desemna o altă terță parte ca operator de
date care prelucrează date pe propria răspundere.

Persoana responsabilă cu prelucrarea datelor cu caracter personal

Pentru fiecare caz privind prelucrarea datelor cu caracter personal, Consiliul Director (al
unității E.ON relevantă) desemnează o anumită persoană responsabilă . În cazul în care
există îndoieli, proprietarul aplicației de business (Business Application Owner) sau în
timpul fazei de proiectare și implementare, managerul de proiect este considerat a fi
Persoana Responsabilă.

Persoana Responsabilă este responsabilă cu:

• Determinarea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal

 • Decizia, în colaborare cu DPO-ul local, asupra necesității realizării unei evaluări a
impactului asupra protecției datelor (DPIA) și realizarea acesteia conform
instrucțiunilor DPO. DPIA servește la stabilirea necesității și proporționalității
prelucrării, în vederea determinării posibilelor riscuri la adresa drepturilor și libertățile
persoanelor vizate și determinării măsurilor preconizate în abordarea acestor riscuri.
DPIA se va realiza de către Persoana Responsabilă înainte de începerea prelucrării și
va fi reevaluată periodic.
Implementarea măsurilor tehnice și organizatorice adecvate care să asigure și să
demonstreze că prelucrarea este realizată în conformitate cu cerințele legale privind
protecția datelor (GDPR și legislația națională) și cerințele interne privind protecția
datelor.
• Confirmarea faptului că deciziile nu sunt luate doar pe baza unei evaluări automate
a persoanei vizate, dacă astfel de decizii produc efecte juridice negative asupra
persoanei vizate sau o afectează semnificativ în mod similar (de exemplu, respingerea
automată a unei cereri contractuale a unui client în baza bonității).
• Utilizarea exclusivă a operatorilor de date cu caracter personal care oferă garanții
suficiente de implementare a măsurilor tehnice și organizatorice adecvate, astfel încât
prelucrarea să respecte toate cerințele privind protecția datelor și să asigure protecția
drepturilor persoanei vizate.
• Asigurarea existenței unor prevederi contractuale împreună cu operatorii de date cu
caracter personal desemnați.
Asigurarea actualizării și corectitudinii înregistrărilor activităților de prelucrare
pentru prelucrarea respectivă.

Securitatea informaţiilor (SOC/CSIRT)

Rolul esential al funcţiunii SOC/CSIRT este de a monitoriza, identifica, analiza, cuantifica şi

de a aplica măsuri proactive de reducere a riscurilor cibernetice din rețeaua operaţională
de proces (OT/ICS SCADA) şi din reţelele locale de aplicaţii IT ale companiilor E.ON
Romania (RO SN) în conformitate cu cerinţele şi standardele interne de grup şi a celor
impuse de legislaţia de specialitate în vigoare (ex. GDPR/NIS).

În acest context, SOC/CSIRT din cadrul E.ON Romania are alocate următoarele sarcini
principale:
  Detectarea, analiza, investigarea şi tratarea incidentelor de securitate
cibernetică din cadrul grupului E.ON Romania
o Monitorizarea şi gestionarea incidentelor de natura Cyber Security din
reţelele de proces OT (SCADA ICS) şi din reţelele locale IT (RO SN)
o Monitorizarea şi managementul primar al incidentelor de Data Loss
Prevention (DLP) din societățile din cadrul grupului E.ON România ;
o Tratarea şi acțiunile locale necesare pentru incidentele identificate la
nivel central de către E.ON CERT
 Reducerea riscurilor cibernetice prin aplicarea de măsuri proactive:
o Monitorizarea şi managementul vulnerabilităţilor;
o Monitorizarea şi managementul amenintarilor cibernetice care ar
putea aduce prejudicii companiilor E.ON Romania
o Determinarea riscului cibernetic aferent echipamentelor cu capabilitati
IT conectate în reţelele monitorizate (Risk Management & Asset
Inventory)
o Activități de securizare a reţelelor şi ale sistemelor de date
 Implementarea unui nivel minim necesar de protecţie cibernetică
o Conformarea cu cerintele legislative locale (CERT-RO) şi Europene
ENISA
o Alinierea şi integrarea cu activităţile şi cerinţele E.ON CERT
o Conformarea cu standardele interne E.ON Information Security
 Asigurarea de suport în proiectele care includ şi componente de securitate
cibernetică
 Asigurarea unui punct central de comunicare pentru primirea/distribuirea
notificărilor de securitate
 Raportări periodice privind:
o Situaţia incidentelor pe categorii
o Situaţia vulnerabilităţilor
o Situaţia ameninţarilor şi a riscurilor cibernetice
o Situaţia conformarii cu standardele de grup şi legislaţia în vigoare
o Situaţia încalcările de conformitate
 Dezvoltarea continuă a metodelor, instrumentelor şi a sistemelor IT necesare
SOC/CSIRT şi sustinerea unui nivel ridicat de pregatire

Conformitate

Conceptul de conformitate aşa cum acesta a fost creat la nivelul E.ON, nu priveşte doar
acoperirea responsabilităţilor rezultate din reglementările privitoare la activitatea agentului
de conformitate1, ci şi asigurarea unui sistem complex de management al conformităţii (engl.
CMS).

În concret, activitatea independentă2 a agentului de conformitate se completează cu o

serie de acţiuni menite să elimine/reducă impactul unor activităţi/acţiuni asupra activităţilor
curente:

1. Îndrumare

• Îndrumare cu privire la subiecte de Conformitate

• Acționează ca punct de contact pentru nelămuririle referitoare la

conformitate (interne și externe)

2. Conștientizare (training și comunicare)

• Instruirea personalului E.ON în legătură cu subiecte de Conformitate

• Ținerea la curent a personalului E.ON cu privire la evoluțiile din aceste

domenii

3. Prevenție (proceduri și directive)

• Comunicarea politicilor, proceselor, procedurilor și a altor documente către

personalul E.ON pentru a se asigura managementul eficace al Riscurilor de
Conformitate și subiectelor de Conformitate

Lipsa măsurilor/demersurilor de conformitate consolidate de forma celor mai sus amintite,

pot duce la efecte dintre cele mai diverse – de la avertisment până la amendă
contravenţională reprezientând procent din cifra de afaceri (ex. 10 % - Legea nr.123/2012,
de la 0,1 la 10% -Legea 21/1996)

Reproducem, în mod non exhaustiv, mai jos specificaţii legale relevante:

1 Directiva UE 2009/73/CE privind normele comune pentru piața internă în sectorul gazelor naturale,
Directivei UE 2009/72/CE privind normele comune pentru piaţa internă în sectorul energiei electrice, Ordinul
ANRE nr. 5/2015- Ordinul ANRE nr. 5/2015- Regulament privind monitorizarea de către Autoritatea Naţională
de Reglementare în Domeniul Energiei a programelor de conformitate stabilite de operatorii de distribuţie a
energiei electrice, Ordinul ANRE nr. 63/2018- Regulament privind monitorizarea de către Autoritatea
Naţională de Reglementare în Domeniul Energiei a programelor de conformitate stabilite de operatorii de
distribuţie sau de operatorii de înmagazinare a gazelor naturale
2
Ordinul ANRE nr. 5/2015-art.9, Ordinul ANRE nr. 63/2018-art.15
LEGISLATIE RELEVANTA

- Codul Civil// Codul Penal

- Codul Fiscal
- Standardul ISO nr. 37001/2017- standardul internaţional anti-mită
- Legea nr.123/2012- privind energia electrică şi gazele naturale
- Legea nr.31/1990- legea societăţilor comerciale
- Legea nr.21/1996- legea concurenţei
- Legea nr.11/1991- privind concurenţa neloială
- Legea 319/2006- privind sănătatea şi securitatea în muncă
- Legea nr.8/1996- legea drepturilor de autor
- Legea nr.78/2000- privind prevenirea, detectarea şi sancţionarea faptelor de corupţie
- Legea nr.16/1996- legea arhivelor
- Legea nr.32/1994- legea sponsorizării
- Legea nr.333/2003- privind paza de obiective
- Legea nr.39/2003- privind prevenire şi combaterea crimei organizate
- O.U.G. 182/2002- privind informaţiile clasificate
- O.U.G. nr.21/2004- privind Sistemul Naţional de Management al Situaţiilor de Urgenţă
- O.U.G nr.583/2016- privind strategia naţională anticorupţie pentru perioada 2016-2020
- Directiva UE 2009/73/CE privind normele comune pentru piața internă în sectorul gazelor
naturale, â

- Directivei UE 2009/72/CE privind normele comune pentru piaţa internă în sectorul

energiei electrice,

- Ordinul ANRE nr. 5/2015- Regulament privind monitorizarea de către Autoritatea

Naţională de Reglementare în Domeniul Energiei a programelor de conformitate stabilite
de operatorii de distribuţie a energiei electrice,

- Ordinul ANRE nr. 63/2018- Regulament privind monitorizarea de către Autoritatea

Naţională de Reglementare în Domeniul Energiei a programelor de conformitate stabilite
de operatorii de distribuţie sau de operatorii de înmagazinare a gazelor naturale