Lista Amenzi GDPR 2023

Anul 2023 a continuat aplicarea consecventă a GDPR în România, cu investigații și controale derulate de ANSPDCP care au vizat atât companii private, cât și instituții publice. În practică, 2023 a confirmat că autoritatea tratează cu prioritate cazurile de securitate a datelor, transparență deficitară și nerespectarea drepturilor persoanelor vizate.

Pe parcursul anului, ANSPDCP a sancționat încălcări precum: implementarea insuficientă a măsurilor tehnice și organizatorice, prelucrarea fără temei legal sau cu temei neclar, informarea incompletă a persoanelor vizate, consimțământ nevalid, precum și gestionarea necorespunzătoare a solicitărilor privind drepturile GDPR (acces, ștergere, opoziție, restricționare).

În cele ce urmează, prezentăm lista amenzi GDPR 2023, cu detalii despre entitățile sancționate, valoarea sancțiunilor și motivele reținute de autoritatea de supraveghere. Această lista amenzi GDPR 2023 este utilă pentru a identifica tiparele de neconformare și pentru a prioritiza măsurile de conformare în organizație.

Lista amenzi GDPR 2023 în România

1. Persoană fizică – decembrie 2023 – 200 eur

Un operator, persoană fizică a fost sancționat contravențional cu amendă în cuantum de 993,84 lei, echivalentul a 200 euro întrucât nu a îndeplinit măsura corectivă impusă de Autoritate, care includea obligația de a permite accesul la datele cu caracter personal și la informațiile necesare pentru control.

Sancțiunea a fost aplicată în urma unei sesizări, având ca obiect nerespectarea unei măsuri corective anterioare.

2. Veranda Obor SA – decembrie 2023 – 3.000 eur

Operatorul Veranda Obor SA a fost sancționat contravențional cu amendă în cuantum de 14.823,60 lei (echivalentul a 3 000 EURO), pentru lipsa implementării de măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării.

Mai exact, în urma investigației, s-a constatat că pe site-ul Veranda Obor S.A. au fost afișate date personale ale participanților la o tombolă organizată de centrul comercial, incluzând nume, prenume și adrese de e-mail. Lipsa măsurilor adecvate de protecție a datelor, a dus la divulgarea neautorizată a informațiilor personale pe site-ul companiei.

3. Hora Credit IFN SA – decembrie 2023 – 24.000 lei

Operatorul Hora Credit IFN SA a fost sancționat contravențional cu amendă în cuantum de 119.296,8 lei (echivalentul a 24.000 EURO), pentru insuficiența măsurilor de securitate pentru protecția datelor personale, nerespectarea termenului de notificare a încălcărilor de securitate și lipsa unui răspuns adecvat la cererile de acces la date.

Sancțiunea a fost aplicată după o plângere în care se reclama transmiterea greșită de către Hora Credit IFN SA a datelor personale ale unui client altui petent, precum și lipsa remedierii situației chiar și după sesizarea erorii.

Pe lângă sancțiunea cu amendă, operatorului i s-au dispus și următoarele măsuri corective:

• asigurarea conformității cu GDPR în prelucrarea datelor personale
• solicitarea petentului de a șterge sau distruge informațiile personale accesate greșit
• implementarea unei politici interne pentru identificarea și notificarea încălcărilor de securitate
• informarea clientului despre încălcarea securității datelor sale
• comunicarea unui răspuns la cererea petentului conform art. 15 alin. (1) din GDPR.

4. SC Sweat Concept One SA – noiembrie 2023 – 10.000 lei

Operatorul SC Sweat Concept One SA a fost sancționat contravențional cu amendă în cuantum de 10.000 lei, în urma unei plângeri privind nerespectarea dreptului la ștergerea datelor.

În urma investigației s-au contatat:

• utilizarea ilegală de cookies pe site-ul operatorului fără consimțământul utilizatorilor
• prelucrarea neautorizată a adresei de e-mail a petentei pentru marketing direct
• nerespectarea obligației de a răspunde la cererea de ștergere a datelor.

Pe lângă sancțiunea cu amendă, operatorului i s-au dispus și următoarele măsuri corective:

• asigurarea prelucrării legale a datelor personale pe site-ul sweat.ro
• respectarea drepturilor persoanelor vizate, inclusiv dreptul la ștergerea datelor
• implementarea efectivă a cerințelor pentru obținerea consimțământului înainte de instalarea cookie-urilor

5. Libra Internet Bank SA – noiembrie 2023 – 1.500 eur

Operatorul Libra Internet Bank SA a fost sancționat contravențional cu amendă în cuantum de 7.454,25 lei, echivalentul a 1.500 EURO în urma unei plângeri privind modul în care a răspuns la o cerere de acces la date. Mai exact, operatorul de date nu a respectat măsura corectivă anterioară și  nu a furnizat toate informațiile legate de prelucrarea datelor personale ale petentului în mod corespunzător și la timp.

6. Rompetrol Downstream SRL – noiembrie 2023 – 110.000 eur

Operatorul Rompetrol Downstream SRL a fost sancționat contravențional cu amendă în cuantum de 546.073 lei (echivalentul a 110 000 de euro) întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării și nu s-a asigurat că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa.

Investigația a fost demarată ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, în perioada 20.07.2021 – 3.02.2022. Mai exact, datele unor clienți din programul informatic deținut de companie au fost accesate și utilizate în mod neautorizat în repetate rânduri în scopul obținerii unor credite de la societăți financiare nebancare în numele acestora. Prin incidentul produs au fost divulgate neautorizat date din cartea de identitate și date din adeverința de salariu.

7. OTP Bank România SA – noiembrie 2023 – 3000 eur

În urma unei investigații declanșate de o plângere, s-a constatat că OTP Bank România SA nu a respectat cerințele de securitate ale datelor personale prevăzute de Regulamentul General privind Protecția Datelor (RGPD), ceea ce a dus la sancționarea băncii cu o amendă de 14.889,3 lei (aproximativ 3.000 de euro) și un avertisment.

Întrucât banca nu a raportat incidentul în care datele personale ale unei persoane au fost trimise greșit prin e-mail, operatorul a primit de asemenea un avertisment pentru nerespectarea obligației de notificare a unei încălcări de securitate.

Autoritatea a impus și măsuri corective, solicitând băncii să îmbunătățească securitatea prelucrării datelor personale și să implementeze măsuri interne pentru o mai bună detectare, gestionare și raportare a eventualelor încălcări ale securității datelor. Aceste măsuri includ instruirea adecvată a personalului și automatizarea proceselor pentru a minimiza riscurile de prelucrare neautorizată sau ilegală a datelor personale.

8. Asociația de Proprietari bloc A1 din str. Mureșului, nr. 2A, municipiul Hunedoara- octombrie 2023 – 500 eur

Operatorul Asociația de Proprietari bloc A1 din str. Mureșului, nr. 2A, municipiul Hunedoara, județul Hunedoara a fost sancționat cu 2487,25 lei și un avertisment pentru încălcări ale GDPR (Regulamentul UE 2016/679).

Amenda a fost impusă deoarece asociația nu a respectat măsurile dispuse anterior de ANSPDCP și a dezvăluit ilegal numele și prenumele proprietarilor în listele de întreținere, fără consimțământul expres al persoanelor vizate și fără o bază legală alternativă pentru prelucrarea datelor. Asociația a primit un avertisment pentru nerespectarea principiilor fundamentale ale protecției datelor, inclusiv legalitatea și corectitudinea, și a fost instruită să ia măsuri corective pentru a asigura conformitatea cu regulile GDPR, prevenind astfel prelucrările neautorizate ale datelor personale în viitor.

9. SC Spark Car Sharing SRL – octombrie 2023 – 1.000 eur

Operatorul SC Spark Car Sharing SRL, o companie de închirieri auto în regim de car-sharing, a fost sancționat cu o amendă de 4,975.20 (aproximativ 1.000 EURO) și un avertisment, întrucât a prelucrat date cu caracter personal fără a avea un temei legal și fără a respecta principiile GDPR.

Investigatia, inițiată în urma unei sesizări, a relevat că compania a utilizat adresa de e-mail a unui client pentru marketing direct fără a avea consimțământul acestuia și a continuat să trimită mesaje de marketing, chiar și după ce clientul a cerut ștergerea datelor sale personale. Încălcările includeau nerespectarea principiilor fundamentale ale prelucrării datelor, cum ar fi legalitatea, corectitudinea și transparența (art. 5 și art. 6), precum și nerespectarea dreptului individului de a avea datele șterse (art. 17). Pe lângă sancțiunile aplicate, autoritatea a dispus măsuri corective, cerând companiei să se asigure că prelucrările de date bazate pe consimțământ sunt efectuate în conformitate cu cerințele GDPR.

10. Mensajero SRL – octombrie 2023 – 3.000 eur

Operatorul Mensajero SRL a fost sancționat cu o amendă de 14.925,6 lei (aproximativ 3.000 EURO), întrucât nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.

Încălcarea a fost descoperită după o sesizare referitoare la o posibilă breșă de securitate pe site-ul companiei. Investigatorii au descoperit că, accesând un anumit link, era posibilă vizualizarea și descărcarea mai multor fișiere, inclusiv facturi și certificate de garanție ale clienților. Ca urmare, datele personale, cum ar fi numele, prenumele, adresa, adresa de e-mail și detalii legate de achiziții, ale clienților (persoane fizice și juridice) au fost divulgate neautorizat.

11. DANTE INTERNAȚIONAL SA. – octombrie 2023 – 1.000 eur

Operatorul DANTE INTERNAȚIONAL SA. a fost sancționat cu o amendă de 4.974,9 (aproximativ 1.000 EURO), întrucât a prelucrate date cu caracter personal fără a avea un temei legal

Investigația, inițiată în urma unei plângeri, a relevat că operatorul de date, care operează site-ul www.fashiondays.ro, a utilizat numărul de telefon al unui individ pentru marketing direct, trimițându-i mesaje comerciale SMS fără a avea consimțământul acestuia. Compania nu a putut dovedi existența unui consimțământ sau a unei baze legale pentru această prelucrare de date.

Pe lângă amendă, autoritatea a impus și măsuri corective, cerând companiei să obțină consimțământul expres prealabil al persoanelor vizate pentru prelucrările de marketing și să se asigure că prelucrările de date sunt conform cu dispozițiile GDPR.

12. Cez Vânzare S.A. – octombrie 2023 – 1.000 eur

Operatorul Cez Vânzare S.A., a fost sancționat cu o amendă de 4.969,70 lei (aproximativ 1.000 EURO), întrucât nu a implementat măsuri adecvate pentru asigurarea securității datelor și protejarea confidențialității acestora.

Mai exact, în urma unui incident, operatorul a trimis, prin e-mail, preavize de deconectare clienților săi de gaze naturale (din cauza unor erori de transcriere) altor clienți decât cei intenționați. Prin această eroare, au fost dezvăluite date cu caracter personal, atât ale persoanelor fizice, cât și juridice, cum ar fi nume, prenume, adrese și coduri de client.

13. RESTART ENERGY ONE S.A. – septembrie 2023 – 33.000 eur

În septembrie 2023, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație asupra operatorului RESTART ENERGY ONE S.A., identificând nereguli legate de securitatea datelor și utilizarea modulelor cookie. Drept consecință, compania a fost amendată cu 124.150 lei (25.000 EURO) pentru nerespectarea anumitor articole din Regulamentul (UE) 2016/679 și cu 40.000 lei pentru încălcarea Legii nr. 506/2004. Ancheta a fost inițiată după o sesizare privind securitatea datelor pe site-ul lor, descoperindu-se că un fișier cu date personale ale a 750 de persoane a fost public timp de 2 ani și jumătate. S-a observat, de asemenea, că modulele cookie inutile se instalau fără consimțământ. Pe lângă amenzile aplicate, autoritatea a cerut companiei să implementeze un plan de securitate și evaluare periodică a sistemelor, inclusiv pentru site-ul său.

14. UAT Comuna Albeni – septembrie 2023 – 10.000 lei

În urma unei plângeri legate de monitorizarea angajaților primăriei prin camere de supraveghere, ANSPDCP a finalizat o investigație la operatorul UAT Comuna Albeni în urma căreia s-au constatat  încălcarea mai multor articole din Regulamentul (UE) 2016/679 și Legea nr. 190/2018.

Operatorul a fost amendat cu 10.000 lei pentru nerespectarea unui plan de remediere anterior și pentru neinformarea cetățenilor despre drepturile lor conform GDPR. De asemenea, operatorul nu a adoptat măsuri adecvate de securitate și confidențialitate pentru datele colectate. Autoritatea a impus corecții, cerând operatorului să răspundă solicitărilor Autorității, să pună în aplicare măsuri de securitate corespunzătoare și să informeze persoanele vizate despre drepturile lor conform GDPR.

15. NN Asigurări de Viață S.A. – septembrie 2023 – 1.000 eur

Operatorul NN Asigurări de Viață S.A. a fost sancționat cu amendă în cuantum de 4,946.50 lei, echivalentul a 1000 euro întrucât nu a respectat drepturile conferite de RGPD.

Mai exact, investigația a fost demarată ca urmare a unei plângeri transmise de o persoană vizată care a reclamat faptul că operatorul NN Asigurări de Viață S.A. i-a încălcat dreptul de opoziție, prin trimiterea de mesaje în scop de marketing, prin mesageria Linkedin. Operatorul nu a luat în considerare cererile petentului, transmise prin poștă electronică, prin care și-a exprimat opțiunea de a nu mai fi contactat cu mesaje de tip marketing direct fără consimțământul său.

Pe lângă sancțiunea cu amendă, operatorului i s-a aplicat și măsura corectivă de adoptare a unor proceduri interne adecvate și eficiente de protecție a datelor privind modul de soluționare a cererilor depuse de persoanele vizate, cu respectarea dispozițiilor aplicabile privind analizarea și soluționarea fără întârziere a acestor cereri, astfel încât operatorul să se asigure că dă curs efectiv cererilor prin care se exercită drepturile persoanelor vizate, precum și instruirea regulată a personalului operatorului.

16. ISRA Center Marketing Research SRL – septembrie 2023 – 2.000 eur

Operatorul ISRA Center Marketing Research SRL a fost sancționat cu amendă în cuantum de 9898 lei, echivalentul a 2000 euro întrucât trimite pe e-mail mesaje nesolicitate fără a asigura o informare clară și completă persoanei ale cărei date personale le-a colectat, referitor la sursa de colectare a datelor.

În plus, în cadrul investigației a rezultat că operatorul nu a luat măsurile necesare pentru a da curs cererii de exercitare a dreptului de a se opune prelucrării datelor, astfel că a continuat să prelucreze datele petentului prin trimiterea unui nou mesaj.

17. Persoană fizică-medic – septembrie 2023 – 2.000 eur

Un operator persoana fizică (medic) a fost sancționat cu amendă în cuantum de 9919,2 lei, echivalentul a 2000 euro întrucât a filmat, cu telefonul personal, o pacientă a spitalului în care lucrează, fără consimțământul acesteia și ulterior a postat filmarea pe pagina sa de Facebook. Au fost dezvăluite astfel date personale ale pacientei, precum imagine, voce, nume, prenume și stare de sănătate

Deși operatorul a șters în cursul aceleiași zile înregistrarea de pe pagina sa de Facebook, aceasta a fost vizualizată de un număr foarte mare de persoane și preluată și diseminată pe diverse site-uri de internet și canale mass-media.

Amintim aici art. 20 din Legea nr. 46/2003 privind drepturile pacientului, care prevede că: ”Pacientul nu poate fi fotografiat sau filmat într-o unitate medicală fără consimţământul său, cu excepţia cazurilor în care imaginile sunt necesare diagnosticului sau tratamentului şi evitării suspectării unei culpe medicale.”

18. BODY LINE SRL – august 2023 – 10.000 eur

Operatorul BODY LINE SRL a fost sancționat cu amendă în cuantum de 49.322 lei, echivalentul a 10.000 EURO întrucât a divulgat datele personale ale unui client prin postarea unei înregistrări audio-video pe paginile de socializare și nu a dat curs cererii de ștergere a datelor clientului.

Investigația a fost demarată ca urmare a unei plângeri efectuate de un client și s-a constatat că operatorul a diseminat pe rețele de socializare datele petentului dintr-o înregistrarea audio-video și a folosit în comentarii un apelativ ce dezvăluia originea etnică a acestuia, fără a avea temei legal.

În cadrul investigației s-a constatat faptul că operatorul nu a adoptat suficiente măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate prin intermediul sistemului de supraveghere audio-video, situație ce a condus la accesarea și, ulterior, la diseminarea pe paginile de socializare ale operatorului a unei înregistrări audio-video cu imagini ale petentului.

Operatorului BODY LINE SRL i s-au aplicat și următoarele măsuri corective:

– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, inclusiv prin elaborarea de proceduri scrise, astfel încât datele personale ale persoanelor vizate să fie prelucrate cu stricta respectare a dispozițiilor legale privind protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora;

– de a da curs cererii de ștergere a datelor personale ale petentului, aferente postărilor de pe paginile de socializare ale operatorului;

– de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), prin organizarea regulată a unor sesiuni de instruire cu acestea, în legătură cu obligațiile ce le revin privind prelucrarea datelor personale prin intermediul sistemului de supraveghere video, al stabilirii condițiilor în care pot fi accesate imaginile sau înregistrările audio-video de către un număr redus de persoane, pe baza unor credențiale individuale, al verificării periodice a accesului la înregistrările imaginilor, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale. 

19. Uipath SRL – august 2023 – 70000 eur

Operatorul Uipath SRL a fost sancționat cu amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 EURO, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.

Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL. Acest fapt a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal (nume și prenume utilizator, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.

Uipath SRL nu s-a asigurat că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane. În plus, nu a asigurat confidențialitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

În stabilirea cuantumului amenzii s-au ținut cont de următoarele aspecte:

• natura, gravitatea și durata încălcării – afectarea a 600.000 de persoane vizate (utilizatori ai Platformei Academy); setările tehnice ale spațiului de stocare permiteau accesul neautorizat la datele cu caracter personal ale utilizatorilor Platformei Academy; incidentul a constat în publicarea datelor cu caracter personal pe un website terț, informație adusă la cunoștința operatorului de o terță persoană;
• caracterul neglijent al vinovăției operatorului în acest caz;
• măsurile de remediere a aspectelor sesizate, adoptate de operator pe parcursul investigației întreprinse de ANSPDCP;
• gradul de cooperare cu autoritatea de supraveghere;
• categoriile de date cu caracter personal prelucrate
• caracterul transfontalier al prelucrării. 

20. Med Life SA – august 2023 – 2000 eur

Operatorul Med Life SA a fost sancționat cu amendă în cuantum de 9.839,6 lei, echivalentul a 2.000 EURO, întrucât nu a respectat drepturile persoanelor vizate.

Mai exact, investigația a fost demarată ca urmare a unei plângeri prin care se reclama faptul că operatorul i-a încălcat petentei dreptul de acces, refuzând să-i comunice anumite înregistrări video din recepția unui spital al acestuia pentru intervalul orar în care petenta s-a aflat în incinta spitalului operatorului.

În plus, operatorul nu a inclus în răspunsurile transmise petentei informații cu privire la posibilitatea de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și de a introduce o cale de atac judiciară.

În acest context, amintim că operatorul are obligația „Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

21. ING BANK NV Amsterdam Sucursala București- iulie 2023 – 3000 eur

Operatorul ING BANK NV Amsterdam Sucursala București a fost sancționat cu amendă în cuantum de 14.889 lei, echivalentul a 3.000 EUR, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.

Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin transmitere neautorizată, prin intermediul aplicației WhatsApp, a unui fișier format .pdf ce conținea date cu caracter personal,  situație ce a condus la pierderea confidențialității datelor cu caracter personal ale unui număr semnificativ de clienți ai operatorului.

22. Farmacia Ardealul SRL – iunie 2023 – 2500 eur

Operatorul Farmacia Ardealul SRL a fost sancționat cu amendă în cuantum de 12.424 lei, echivalentul a 2.500 EUR, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.

Mai exact, investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal produsă prin instalarea neautorizată a unui program de tip malware pe site-ul operatorului, situație ce a condus la încălcarea confidențialității datelor cu caracter personal (date bancare) ale unui număr semnificativ de clienți. Pe site-ul operatorului a fost instalat neautorizat un formular fictiv de colectare date bancare.

În plus, operatorului i s-a aplicat și măsura corectivă de a implementa un plan care să includă un mecanism de testare, scanare, evaluare și apreciere periodică a securității tuturor sistemelor IT ale operatorului, inclusiv asupra site-ului acestuia.

23. Vodafone România SA – iunie 2023 – 1000 eur

Operatorul Vodafone România SA a fost sancționată cu amendă în cuantum de 4.961 lei, echivalentul a 1.000 EUR, întrucât nu a respectat drepturile personaelor vizate. Mai exact, operatorul i-a încălcat petentului dreptul de acces, refuzând să-i comunice anumite înregistrări ale convorbirilor cu call-center-ul acestuia.

În plus, operatorului i s-a aplicat și măsura corectivă de a adopta măsuri tehnice și organizatorice astfel încât operatorul să se asigure că dă curs efectiv cererilor prin care se exercită drepturile persoanelor vizate.

24. Dante International SA – iunie 2023 – 40.000 eur

Autoritatea Națională de Supraveghere din România a fost sesizată de autoritatea pentru protecția datelor (DPA) din Ungaria privind plângerile formulate de trei persoane împotriva Dante International SA, care operează site-ul eMAG. Pentru cele 3 cazuri investigate, Operatorul Dante International SA a fost sancționat cu amendă în cuantum de 148.830 lei (echivalentul sumei de 30.000 EURO), avertisment și cu încă o amendă în cuantum de 49.610 lei (echivalentul sumei de 10.000 EURO). Sa luăm cele 3 cazuri pe rând:

1 –  un petent a solicitat ștergerea contului său creat pe platforma emag.hu prin corespondență la adresa info@emag.hu. Cu toate acestea, a primit un răspuns care i-a solicitat să trimită o cerere semnată și datată la adresa data.protection@emag.ro. În urma investigației, s-a constatat că operatorul Dante International SA, compania care deține platforma Emag, nu oferă o instruire regulată și adecvată angajaților săi cu privire la procedurile de soluționare a cererilor persoanelor vizate.

S-a observat că instruirea personalului din Ungaria se realizează doar la angajare și în situații specifice și particulare la nivel de departament, ceea ce contravine articolului 24 din RGPD, care prevede că operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate, inclusiv politici de protecție a datelor, pentru a asigura și demonstra că prelucrarea datelor se face conform RGPD. Aceste politici ar trebui să abordeze în mod adecvat gestionarea cererilor primite de la persoanele vizate și să prevadă sesiuni regulate de instruire pentru personalul implicat în prelucrarea datelor personale.

2- un alt petent a solicitat ștergerea datelor sale către mai multe adrese de e-mail ale operatorului Emag și prin intermediul formularului de contact de pe site-ul acestuia. Cu toate acestea, cererea sa a fost respinsă de serverele Emag, considerând-o ca provenind de la o adresă nesigură. Operatorul a susținut că respingerea automată a cererilor se bazează pe liste publice furnizate de o terță parte și că aceasta ar putea fi rezultatul reputației slabe a serviciului @freemail.hu în momentul în care petentul a trimis cererile.

Această situație a relevat faptul că absența unui canal unic și exclusiv de comunicare pentru persoanele vizate, precum și lipsa informării adecvate cu privire la anumite limitări tehnice, pot duce la restricționarea nejustificată a drepturilor acestora.

Investigația a relevat și faptul că informațiile furnizate pe site-ul Emag nu conțineau informații complete despre transferurile către țări terțe, scopurile și destinatarii acestora, în conformitate cu prevederile RGPD.

Ca urmare a investigației, operatorul a modificat politica sa privind prelucrarea datelor personale, oferind persoanelor vizate posibilitatea de a trimite cereri conform RGPD atât prin e-mail (la adresa data.protection@emag.hu), cât și prin poștă/curier la o adresă fizică din respectivul stat.

3- un petent a reclamat că una dintre adresele sale de e-mail continuă să fie prelucrată de Dante International SA, deși a solicitat înlocuirea acesteia cu o altă adresă de e-mail.

În urma investigației, s-a constatat că, deși cererea de rectificare a fost inițial acceptată și operatorul a confirmat petentului că adresa sa de e-mail a fost modificată, această adresă a continuat să fie prelucrată de Dante în cadrul unei corespondențe mai extinse cu petentul.

S-a observat că adresa de e-mail a petentului a fost păstrată în baza de date pentru îndeplinirea obligațiilor legale de păstrare a documentelor contabile, în legătură cu facturile electronice transmise anterior. Autoritatea de Supraveghere a considerat că acest scop al prelucrării diferă de cel asociat soluționării reclamațiilor, astfel că reactivarea adresei de e-mail și utilizarea acesteia în corespondența electronică ar fi fost posibile numai în baza consimțământului persoanei vizate.

Astfel, ținând cont de următoarele aspecte:

• nu au fost respectate condițiile de transparență în privința facilitării exercitării drepturilor persoanelor vizate
• nu a fost asigurată informarea completă pe site-ul emag.hu în legătură cu transferul datelor în state terțe
• operatorul a dovedit un caracterul neglijent al vinovăției
• existența sancțiunilor anterioare

Dante International SA a fost sancționat contravențional cu 40.000 euro și un avertisment. În plus Autoritatea a dispus față de operator următoarele măsuri corective:

• de a asigura o informare completă a persoanelor vizate pe site-urile emag administrate de operator, în versiunea lingvistică națională din fiecare stat;
• de a pune în aplicare o metodă de anonimizare prin care să fie prevenit riscul de reidentificare a persoanelor ale căror date personale sunt supuse acestei proceduri
• de a dispune măsuri de instruire regulată a personalului

25. BRD–Groupe Société Générale S.A.- iunie 2023 – 2000 eur

Operatorul BRD–Groupe Société Générale S.A. a fost sancționat contravențional cu amendă în cuantum de 9916 lei (echivalentul a 2 000 EURO) întrucât a divulgat ilegal date personale și financiare ale unui client al băncii și ale altor persoane.

Mai exact, au fost transmise date personale către o instanță de judecată, fără a exista o solicitare a acesteia și fără verificarea legitimității unei astfel de dezvăluiri a datelor personale.

Pe lângă sanctiunea cu amendă, s-au aplicat și măsuri corective de aplicarea unor măsuri adecvate de securitate și confidențialitate, cum ar fi pseudonimizarea, prin stabilirea unor proceduri clare privind transmiterea datelor personale către instanțele judecătorești, precum și instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului și implicarea corespunzătoare în aceste activități a responsabilului cu protecția datelor.

26. Artima S.A.- iunie 2023 – 8000 eur

Operatorul Artima S.A. a fost sancționat contravențional cu amendă în cuantum de 39.712 lei (echivalentul a 8 000 EURO) întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare.

Mai exact, membri ai echipei operatorului au accesat sistemul de supraveghere video pentru a filma, cu telefoanele mobile personale, monitorul pe care se derulau înregistrările. Mai târziu, unul dintre angajați a distribuit imaginile către o persoană externă operatorului, iar aceasta a publicat imaginile respective pe Facebook. Astfel au fost dezvăluite imaginea unei persoane fizice, numărul de înmatriculare, culoarea și marca autovehiculului, ceea ce a condus la pierderea confidențialității datelor cu caracter personal, cauzată de încălcarea procedurilor interne ale Artima S.A.

În plus, întrucât operatorul nu s-a asigurat că orice persoană fizică care acţionează sub autoritatea operatorului şi care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, Autoritatea a dispus și măsura corectivă de a implementa o soluție de monitorizare a aplicării procedurilor de lucru deja puse în practică pentru evitarea unor incidente de securitate similare.

27. S.C. Apollo Salon S.R.L.- iunie 2023 – 3000 eur

Operatorul S.C. Apollo Salon S.R.L.a fost sancționat contravențional cu amendă în cuantum de 14.766,3 lei (echivalentul a 3 000 EURO) întrucât nu a respectat drepturile persoanelor vizate.

Mai exact, operatorul îi trimite petentului mesaje nesolicitate prin SMS, pe telefon, deși aceasta și-a exercitat dreptul de ștergere în repetate rânduri.

În plus s-a constatat în cadrul investigației că operatorul nu a comunicat Autorității Naționale de Supraveghere informațiile solicitate.

28. Global Baby Brands SRL- mai 2023 – 1000 eur

Operatorul Global Baby Brands SRL a fost sancționat contravențional cu amendă în cuantum de 4.929,4 lei (echivalentul a 1 000 EURO) întrucât a prelucrat date cu caracter personal fără a avea un temei legal și nu a respectat dreptul de opoziție a persoanei vizate.

Mai exact, operatorul a transmis petentului mai multe mesaje comerciale tip SMS, fără a prezenta dovezi din care să rezulte că a prelucrat numărul de telefon al petentului, pentru transmiterea mesajelor text tip SMS, cu consimțământul liber, specific, informat și lipsit de ambiguitate al acestuia.

În plus s-a constatat că operatorul a transmis petentului un mesaj comercial în scop de marketing, după exercitarea dreptului de opoziție de către acesta.

Pe lângă sancțiunile cu amendă, s-a dispus față de operator și măsurile corective:

– de a prelucra datele cu caracter personal ale persoanelor vizate în scop de marketing direct ce vizează utilizarea serviciilor de comunicații electronice (e-mail, telefon), cu obținerea consimțământului expres și prealabil al acestora,

– modificarea secțiunii ”Politica de confidențialitate” de pe site-ul operatorului astfel încât persoanelor vizate să le fie furnizate informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal,

– de a respecta drepturile persoanelor vizate, inclusiv a drepturilor de opoziție și ștergere ale petentului.

29. AUTOMOBILE BAVARIA SRL – mai 2023 – 18000 eur

Operatorul AUTOMOBILE BAVARIA SRL a fost sancționat contravențional cu amendă în cuantum de 88.563,60 lei, echivalentul a 18.000 EURO întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor. Mai exact, în perioada iulie 2022 – 04.08.2022, datele personale ale unui număr de 290 clienți/potențiali clienți ai operatorului au fost accesibile public pe pagina web a operatorului. În acest fel au fost divulgate neautorizat date personale precum: nume, prenume, oraș, adresa de email, număr de telefon, model autoturism curent, an fabricație autoturism curent, opțiune buy-back, termen de achiziție, modalitate achiziție (cash, credit, leasing), buget aproximativ disponibil, opțiuni consimțământ marketing (contact telefon, contact email, contact SMS, înscriere newsletter).

De asemenea, s-a constatat că AUTOMOBILE BAVARIA SRL nu a asigurat protecția datelor cu caracter personal, începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default)

Pe lângă sancțiunile cu amendă, s-a dispus față de operator și măsura corectivă de a implementa un plan care să includă un proces de testare, evaluare și apreciere periodică ale tuturor sistemelor și modificărilor ulterioare ale acestora efectuate de operator sau furnizorii de servicii (persoane împuternicite).

30. Compania Națională Poșta Română S.A. – mai 2023 – 5000 eur

Operatorul Compania Națională Poșta Română S.A. a fost sancționat contravențional cu amendă în cuantum de  24.719,50 lei, echivalentul sumei de 5.000 EURO, întrucât a prelucrat date cu caracter personal ale propriilor angajați fără a avea un temei legal.

Mai exact, în cursul lunii ianuarie 2023, operatorul a completat parțial Formularul 230 cu date ale angajaţilor (respectiv cu nume, prenume și CNP) în vederea redirecționării procentului de 3,5% din impozitul anual pe venit al acestora către o fundație aparținând aceluiași operator, fără să existe o obligaţie legală a acestuia în acest sens și fără să facă dovada îndeplinirii vreunul alt temei legal (cum ar fi consimțământul salariaților).

Operatorul a achitat întreaga amendă aplicată.

31. NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. și NN Asigurări de Viață S.A. – mai 2023 – 2500 eur

Două investigații la operatori din domeniul asigurărilor s-au finalizat cu sancțiuni contravenționale cu amenzi întrucât nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Mai exact, acești operatori au efectuat o serie de modificări la configurația echipamentului care asigură stocarea temporară a paginilor web ale aplicației NN Direct, puse la dispoziția clienților, fiind activată opțiunea de a păstra paginile web în memoria acesteia. Ca atare, această situație a determinat vizualizarea, pentru o perioadă de timp, de către unii utilizatori ai aplicației operatorului, a datelor personale care nu le aparțineau. Această situație a condus la accesul neautorizat și pierderea confidențialității datelor cu caracter personal (numele, prenumele, codul numeric personal, adresa din cartea de identitate, adresa de corespondență, adresa de e-mail și numărul de telefon) fiind afectate de incident 2 persoane vizate. În plus, în urma investigației a reieșit faptul că aceste modificări de configurație nu au fost testate de către operatori înainte de punerea la dispoziția publicului a aplicației.

Astfel, operatorul NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A.  a fost sancționat contravențional cu amendă în cuantum de 7.407,00 lei (echivalentul a 1500 euro), iar operatorul NN Asigurări de Viață S.A. cu amendă în cuantum de 4.938,00 lei (echivalentul a 1000 euro).

Pe lângă sancțiunile cu amendă, s-a dispus față de operatori și măsura corectivă de a implementa un mecanism de testare procedurat și promovat la intervale regulate de timp, prin care să fie efectuate teste privind configurațiile posibile ale aplicațiilor active și disponibile clienților, respectiv documentarea rezultatelor prin aplicarea unor măsuri de remediere în sensul evitării unor incidente de securitate similare.

32. Libra Internet Bank SA – mai 2023 – 11000 eur

Operatorului Libra Internet Bank SA i s-a aplicat o sancțiune cu amendă de 54.345,5 lei ( echivalentul a 11.000 EURO) pentru nerespectarea drepturilor persoanelor vizate, mai exact, pentru nerespectarea dreptului de acces al persoanei vizate la propriile date cu caracter personal.

Investigația a fost declanșată după ce o persoană vizată a reclamat că operatorul refuză să dea curs integral cererii de exercitare a dreptului de acces. În cursul investigației s-a constatat de asemenea, că răspunsul trimis persoanei vizate prin e-mail nu conținea informații cu privire la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară pentru refuzul de a-i comunica o copie a înregistrării video solicitate

Pe lângă sancțiunea cu amendă, operatorului i s-au aplicat și măsurile corective de a răspunde la cererea persoanei vizate și de a adopta măsurile tehnice și organizatorice adecvate, astfel încât să faciliteze exercitarea drepturilor persoanelor vizate.

33. Tensa Art Design SA – aprilie 2023 – 1000 eur

O nouă sancțiune cu amendă de 4.947,9 lei (1.000 EURO) pentru operatorul Tensa Art Design pentru nerespectarea drepturilor persoanelor vizate.

Investigația a fost declanșată după ce o persoană vizată a reclamat că operatorul îi trimite mesaje nesolicitate, deși aceasta și-a exercitat dreptul de opoziție. În urma investigației, s-a constatat că operatorul a transmis persoanei respective, prin SMS, în repetate rânduri, mesaje comerciale nesolicitate, deși aceasta solicitase anterior, prin poșta electronică, dezabonarea de la serviciul de newsletter.

Operatorul nu a prezentat dovezi că a soluționat cererea persoanei vizate și nici nu i-a comunicat acesteia un răspuns, în termenul legal, referitor la măsurile adoptate în urma exercitării dreptului de opoziție.

În plus, operatorului i s-a aplicat o măsură corectivă de a lua măsurile necesare pentru modificarea procedurilor existente la nivelul societății și aducerea acestora la cunoștința angajaților, astfel încât să fie respectate, în toate cazurile, drepturile persoanelor vizate prevăzute de Regulamentul (UE) 679/2016.

34. Partidul Uniunea Salvați România (USR) – aprilie 2023 – 3000 eur

Partidul Uniunea Salvați România a fost sancționat de către Autoritatea Națională de Supraveghere pentru Protecția Datelor cu o amendă de 14.776,50 lei (3.000 EURO) pentru prelucrarea datelor cu caracter personal fără a avea un temei legal.

Investigația a pornit ca urmare a unei sesizări redirecționate de instituția Avocatul Poporului și a fost finalizată cu sancțiune deoarece pe site-ul partidului s-au postat date cu caracter personal ale unor persoane cu dizabilități, fără a avea un temei legal pentru acea prelucrare. Datele personale, cum ar fi nume, prenume, CNP, adresa, serie și număr act de identitate, număr certificat de expertiză medicală și grad de handicap, au fost preluate din documentele oficiale ale autorităților și instituțiilor publice și publicate ulterior pe site-ul Partidului.

În plus, Partidul Uniunea Salvați România a primit o măsură corectivă de a asigura conformitatea cu principiile RGPD prin reanalizarea documentației publicate pe site-ul lor, în vederea anonimizării datelor cu caracter personal. 

35. REGENCY COMPANY SRL – aprilie 2023 – 3000 eur

Operatorul REGENCY COMPANY SRL a fost amendat cu 14.764,2 lei, echivalentul a 3.000 EURO, întrucât a prelucrat date cu caracter personal în mod excesiv, cu nerespectarea principiilor de prelucrare și în lipsa unui temei legal de prelucrare.

Investigarea s-a declanșat după sesizarea faptului că angajații și colaboratorii erau supravegheați audio/video la locul de muncă (birouri și sala de mese) fără acordul lor. Ca măsură corectivă, operatorului i s-a impus eliminarea utilizării camerelor de supraveghere video pentru care nu există un temei legal de prelucrare a datelor personale ale angajaților.

36. Tensa Art Design SRL – aprilie 2023 – 3000 eur

După sancțiunea din februarie 2023, operatorul Tensa Art Design SRL este sancționat din nou cu două amenzi totalizând 14.755,5 lei, echivalentul a 3.000 EURO întrucât nu respectă drepturile persoanelor vizate. Sancțiunile au fost aplicate ca urmare a plângerilor potrivit cărora petenții au primit mesaje comerciale pe telefon și e-mail, deși și-au exprimat opoziția. Autoritatea a constatat că operatorul nu a respectat opoziția petenților și a folosit datele lor personale pentru marketing direct.

Operatorului i s-a aplicat și măsura corectivă de a adopte proceduri interne adecvate și eficiente de protecție a datelor cu caracter personal, să respecte dispozițiile aplicabile privind soluționarea cererilor în temeiul RGPD și să instruiască personalul în acest sens.

37. Banca Transilvania SA – aprilie 2023 – 2000 eur

Operatorul Banca Transilvania SA a fost amendat cu 9.841,80 lei, echivalentul a 2.000 EURO întrucât nu a respectat prevederile GDPR privind furnizarea de informații transparente și accesibile despre destinatarii sau categoriile de destinatari ai datelor cu caracter personal. Investigația a început în urma unei plângeri în care clientul a solicitat eliberarea unui card pe numele unei rude, care să aibă acces doar la contul în euro. Cu toate acestea, ruda a putut accesa neautorizat toate conturile titularului după activarea serviciului Internet Mobile Banking pentru utilizarea noii aplicații.

Operatorul a primit și măsuri corective, precum adoptarea unor măsuri adecvate pentru respectarea prevederilor GDPR și implementarea de măsuri tehnice și organizatorice adecvate pentru a asigura protecția datelor personale în conformitate cu voința liberă, specifică și lipsită de ambiguitate a clienților.

38. Persoană fizică – martie 2023 – 450 eur

O persoană fizică a fost sancționată cu amendă în cuantum de 2.212,02 lei, echivalentul a 450 EURO, întrucât a postat în cadrul unei rețele de socializare datele cu caracter personal a numeroase persoane fizice. Deoarece date personale precum nume, prenume, localitatea de domiciliu au fost postate fără consimțământul acestora sau fără un alt temei juridic pentru prelucrarea datelor cu caracter personal, persoana fizică (operator) a încălcat principiul legalității.

39. Tehnoplus Industry SRL- martie 2023 – 5000 eur

Operatorul Tehnoplus Industry SRL a fost sancționat cu amendă în cuantum de 24.497 lei, echivalentul a 5.000 EURO  întrucât nu a respectat principiile care stau la baza Regulamentului General privind Protecția Datelor.

Investigația a fost demarată ca urmare a unei plângeri prin care se reclama faptul că operatorul a prelucrat datele cu caracter personal ale angajatului prin intermediul sistemului GPS instalat pe mașina sa de serviciu, fără să fi fost informat cu privire la monitorizarea autovehiculului, scopul și temeiul legal al acestei prelucrări și durata de stocare a datelor colectate. În plus, informațiile extrase din sistemul GPS au fost utilizate de operator în alt scop decât acela de a monitoriza mașina de serviciu.

Prelucrarea în mod excesiv, în afara orelor de serviciu, a datelor colectate, stocarea lor după expirarea datei de stocare, folosirea datelor în alt scop decât cel pentru care au fost colectate, i-au adus operatorului, pe lângă sancțiunile cu amendă și măsurile corective de a asigura conformitatea cu RGPD prin reevaluarea necesității atingerii scopurilor propuse prin folosirea datelor de localizare provenite din sistemul de monitorizare prin GPS, evitarea colectării excesive a datelor și limitarea perioadei de stocare a datelor prin raportare la scopurile prelucrării datelor.

40. Centrul Medical dr. Furtună Dan și Med Life S.A. – martie 2023 – 1000 eur si 3000 eur

Două noi investigații la operatori din domeniul medical demarate ca urmare a unor sesizări primite din partea unor persoane fizice, s-au finalizat cu sancțiuni contravenționale cu amendă.

Operatorul Centrul Medical dr. Furtună Dan a fost sancționat contravențional cu amendă în cuantum de 4.918,50 RON, echivalentul sumei de 1000 euro iar operatorul Med Life S.A. a fost sancționat cu amendă în cuantum de 14.755,50 lei, echivalentul sumei de 3000 eur. Ambii pentru că nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

• În cazul Centrul Medical dr. Furtună Dan, încălcarea confidențialității datelor s-a produs prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal (cum ar fi: numele și prenumele, CNP-ul, numărul de telefon, rezultatul testelor medicale) transmise prin aplicația WhatsApp. Ce s-a întâmplat mai exact: pe numărul de telefon al unei persoane fizice a fost transmis prin aplicația WhatsApp, un mesaj ce conținea rezultatul a două teste medicale care aparțineau altor două persoane vizate.

Pe lângă sancțiunea cu amendă, operatorului Centrul Medical dr. Furtună Dan i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, a procedurilor de lucru referitoare la protecția datelor cu caracter personal și implementarea unui registru referitor la toate cazurile de încălcare a securității datelor cu caracter personal.

• În cazul operatorului Med Life S.A încălcarea confidențialității datelor s-a produs prin divulgarea neautorizată a datelor cu caracter personal prin email. Un pacient a primit, prin e-mail, pe lângă buletinul de investigație propriu, și o serie de fișiere atașate care conțineau rezultatele unor investigații ce aparțineau altor cinci pacienți. Documentele atașate conțineau numele, prenumele, data nașterii, data examinării, motivul examinării, rezultatul investigației (examinării), diagnostic, concluziile rezultate în urma examinării medicale.

Pe lângă sancțiunea cu amendă, operatorului Med Life S.A i s-au aplicat aceleași măsuri corective ca și operatorului Centrul Medical dr. Furtună Dan.

Vă reamintim că operatorul Med Life S.A. a mai fost sancționat contravențional cu amendă de 5000 eur anul trecut, în mai 2022, pentru lipsa măsurilor la securitatea fizică a documentelor. Citește mai multe despre amenda GDPR Med Life S.A. din luna mai 2022.

41. Alianța pentru Unirea Românilor și Partidul Uniunea Salvați România – martie 2023 – 10.000 eur și 4.000 eur

• Operatorul Alianța pentru Unirea Românilor a fost sancționat cu amendă în cuantum de 49.115 lei, echivalentul a 10.000 eur întrucât nu a respectat principiul responsabilității și principiul reducerii la minimum a datelor.

Investigația a pornit de la o sesizare prin care se reclama faptul că operatorul colectează date cu caracter personal prin intermediul unui site, fără a realiza informarea persoanelor vizate și fără îndeplinirea condițiilor privind legalitatea prelucrării. Date cu caracter personal precum nume, prenume, adresă, serie și număr carte de identitate, cod numeric personal, telefon, semnătură, erau colectate prin completarea și semnarea formularului on-line de pe site-ul respectiv, prin transmiterea formularului descărcat/completat/semnat prin poștă, precum și prin completarea și semnarea formularului la centrele speciale organizate de Alianța pentru Unirea Românilor.

• Operatorul Partidul Uniunea Salvați România a fost sancționat cu amendă în cuantum de 19.646 lei, echivalentul a 4.000 eur întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător prelucrării.

Investigația a fost demarată în urma transmiterii de către operator a unor notificări de încălcare a securității datelor cu caracter personal. Ca urmare a unui atac cibernetic de tip phishing asupra unui server pe care era găzduită o aplicație a operatorului, s-a produs pierderea confidențialității și integrității datelor. Întrucât datele stocate în aplicația respectivă nu au fost criptate/pseudonimizate, au putut fi accesate neautorizat date cu caracter personal cum sunt nume, prenume, cod numeric personal, e-mail, număr de telefon, date privind apartenența politică.

Pe lângă sancțiunea cu amendă, operatorului i s-a aplicat și măsura corectivă de a implementa măsuri tehnice și organizatorice adecvate, ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor și proceduri de lucru referitoare la protecția datelor cu caracter personal.

42. Tinmar Energy SA- martie 2023 – 3000 eur

Operatorul Tinmar Energy SA a fost sancționat cu amendă în cuantum de 14.702,1 lei, echivalentul a 3.000 EURO  întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor. Cum s-a produs încălcarea securității prelucrării datelor? prin accesarea neautorizată a serverului de e-mail al Tinmar Energy SA, ceea ce a condus la accesul la anumite date cu caracter personal, cum sunt: nume, prenume, e-mail, CNP, numere de telefon și adrese de domiciliu.

43. Modaone SRL – martie 2023 – 2000 eur

Operatorul Modaone SRL a fost sancționat cu amendă în cuantum de cuantum de 9871 lei, echivalentul sumei de 2000 euro întrucât pe site-ul pe care îl deține, www.kalapod.net, nu furnizează informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal ale persoanelor vizate și întrucât nu sunt respectate drepturile persoanelor vizate.

Investigația a fost demarată ca urmare a unei plângeri transmise de o persoană vizată prin care se reclama faptul că a continuat să primească mesaje comerciale pe adresa sa de e-mail de pe www.kalapod.net cu încălcarea dreptului de opoziție, deși i s-a comunicat anterior că nu i se vor mai trimite astfel de mesaje.

Pe lângă sancțiunea cu amendă, operatorului i s-au aplicat și măsurile corective:

– de a prelucra datele cu caracter personal ale persoanelor vizate în scop de marketing direct doar cu obținerea consimțământului expres și prealabil al acestora, inclusiv adoptarea unor proceduri în acest sens și modificarea corespunzătoare a secțiunilor aplicabile de pe site-ului kalapod.net;

– de a modifica secțiunea ”Termeni și condiții” de pe site-ul kalapod.net astfel încât persoanelor vizate să le fie furnizate informații complete, corecte, exacte și actualizate cu privire la prelucrarea datelor cu caracter personal; totodată, se va elimina condiția excesivă a transmiterii cererii ”scrise, datate si semnate” în cazul transmiterii acestora prin e-mail, precum și condiția excesivă a solicitării copiei actului de identitate în scopul exercitării drepturilor prevăzute de RGPD.

44. Finopro IFN SA și Integral Collection SRL- februarie 2023 – 2250 eur si 3000 eur

Două investigații derulate la operatorii de date Finopro IFN SA și Integral Collection SRL s-au finalizat cu sancțiuni cu amendă întrucât aceștia nu au implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

În cadrul investigației demarate ca urmare a transmiterii de către cei doi operatori a unor notificări de încălcăre a securității datelor cu caracter personal, s-a constatat că încălcarea securității prelucrării datelor s-a produs ca urmare a unor atacuri de tip ransomware, situație ce a condus în mod semnificativ la accesul neautorizat și pierderea integrității și disponibilității datelor cu caracter personal (date de identificare, date din cărți de identitate, adrese, numere de telefon, extrase de cont).

Operatorul Finopro IFN SA a fost sancționat cu amendă în cuantum de 11.023,42 lei, echivalentul a 2250 euro, iar operatorul Integral Collection SRL cu amendă în cuantum de 14.697,90 lei, echivalentul a 3000 euro.

45. Medijobs Platform SRL- februarie 2023 – 5000 eur

Operatorul Medijobs Platform SRL a fost sancționat cu amendă în cuantum de 24.610,5 lei, echivalentul a 5.000 euro, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

În cadrul investigației demarate ca urmare a transmiterii de către operator a unei notificări de încălcăre a securității datelor cu caracter personal, s-a constatat accesarea neautorizată a infrastructurii IT gestionată de Medijobs Platform SRL, ceea ce a făcut posibilă descărcarea și ștergerea anumitor date cu caracter personal. Această situație a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal din CV-urile candidaților, cum sunt: nume, prenume, e-mail, număr de telefon, istoric profesional/educațional, hobby-uri, stare familială.

Pe lângă sacțiunea cu amendă operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate, precum și procedurile de lucru referitoare la protecția datelor și instruirea angajaților.

46. Tensa Art Design SA – februarie 2023 – 1000 eur

Pentru că nu a dat curs cererilor prin care se exercită drepturile persoanelor vizate prevăzute de GDPR, operatorul de date Tensa Art Design SA a fost sancționat contravențional cu amendă în cuantum de 4927.3 lei (echivalentul a 1 000 EURO).

O persoană vizată a reclamat faptul că operatorul a transmis persoanei vizate prin intermediul poștei electronice, în repetate rânduri, mesaje comerciale nesolicitate, deși acesta solicitase anterior dezabonarea de la serviciul de newsletter. Astfel, operatorul a încălcat dreptul la ștergere a datelor cu caracter personal.

Întrucât operatorul Tensa Art Design SA nu a adoptat toate măsurile necesare pentru a da curs solicitării persoanei vizate de a i se șterge datele personale, acesta a fost sancționat și i s-a aplicat măsura corectivă de a lua măsuri necesare privind modificarea procedurilor existente la nivelul societății, astfel încât să fie respectate, în toate cazurile, drepturile persoanelor vizate prevăzute de RGPD. 

47. Dent Estet Clinic SA și colaboratorul – ianuarie 2023 – 2×1000 eur

Pentru că au divulgat datele de sănătate a unei persoane vizate în mediul online, atât operatorul Dent Estet Clinic SA cât și operatorul medic stomatolog colaborator au fost sancționați contravențional fiecare cu amendă în cuantum de 4.919,2 lei (echivalentul a 1000 EURO) și măsuri corective.

Operatorii au divulgat informații medicale referitoare la tratamentul ortodontic al persoanei vizate, constând într-un set de fotografii și radiografii care se puteau corela cu numele persoanei, prin publicarea unui articol pe un blog de specialitate. Aceste informații au fost publicate atât în scop științific, cât și în scop comercial fără a fi prezentate dovezi privind obținerea consimțământului expres al persoanei implicate și fără informarea sa prealabilă.

Pe lângă amendă, celor doi operatori li s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, sub aspectul instruirii corespunzătoare a persoanelor împuternicite și a altor persoane care prelucrează date sub autoritatea sa și a respectării condițiilor de legalitate a prelucrării și a informării complete a persoanelor vizate.

48. Dante Internațional SA – ianuarie 2023 – 1000 eur

Pentru că nu a dat curs cererilor prin care se exercită drepturile persoanelor vizate prevăzute de GDPR, operatorul de date Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 4.9186 lei (echivalentul a 1 000 EURO).

O persoană vizată a reclamat faptul că deținătorul e-mag.ro, a transmis către numărul său de telefon un SMS prin care era informat cu privire la ofertele comerciale ale societății, deși acesta solicitase anterior ștergerea contului și a datelor nerelevante. Astfel, operatorul a încălcat dreptul la ștergere a datelor cu caracter personal.

Întrucât Dante Internațional SA nu a adoptat toate măsurile necesare pentru a da curs solicitării persoanei vizate de a i se șterge datele personale, acesta a fost sancționat.

49. BRISTOL LOGISTICS SA – ianuarie 2023 – 2000 eur

Pentru că nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, operatorul de date BRISTOL LOGISTICS SA a fost sancționat contravențional cu amendă în cuantum de 9.828,00 lei (echivalentul a 2000 EURO).

Investigația a fost demarată ca urmare a transmiterii de către operator a două notificări de încălcare a securității datelor.  Incidentul de încălcare a securității a constat în sustragerea unui biblioraft conținând dosarele de personal a 12 angajați, ceea ce a condus la accesarea de date personale de către persoane neautorizate.

Totodată s-a dispus operatorului și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate, procedurile de lucru referitoare la protecția datelor cu caracter personal, precum și realizarea unei instruiri pentru persoanele autorizate să prelucreze date asupra riscurilor și consecințele pe care le implică divulgarea datelor personale.