Legislație

Lista amenzi GDPR 2024

22 ian., 2024 No comments yet
Lista amenzi GDPR 2024 - amenzi gdpr romania

În 2024, aplicarea GDPR în România a rămas activă și predictibilă, cu un accent tot mai clar pe prevenție, dar și pe sancționarea situațiilor în care operatorii nu demonstrează responsabilitate (accountability) și control real asupra fluxurilor de date personale. Pentru multe organizații, 2024 a evidențiat că simpla existență a unor politici interne nu este suficientă fără proceduri, dovezi și măsuri implementate efectiv.

ANSPDCP a urmărit în continuare aspecte precum: securitatea prelucrărilor (inclusiv acces neautorizat și incidente), lipsa transparenței în informare, prelucrarea fără bază legală clară, consimțământ obținut incorect, perioade de stocare nejustificate și răspunsuri incomplete sau întârziate la cererile persoanelor vizate.

Mai jos vei găsi lista amenzilor GDPR din 2024, cu informații despre entitățile sancționate, cuantumul amenzilor și motivele care au stat la baza deciziilor. Această lista amenzi GDPR 2024 te ajută să înțelegi riscurile cele mai frecvente și să calibrezi corect prioritățile de conformare.

Listă amenzi GDPR 2024:

1. Fan Courier Express S.R.L. – decembrie 2024 – 2.000 eur

Operatorului Fan Courier Express S.R.L. i s-a aplicat o amendă de 9.954 lei (echivalentul a 2.000 de euro). Motivul a fost nerespectarea dreptului de acces al unei persoane vizate, prin încălcarea regulamentului privind protecția datelor.

Investigația s-a bazat pe plângerea unui angajat care, după ce și-a exercitat dreptul de acces la datele personale, nu a primit un răspuns complet și în timp util. S-a constatat că Fan Courier Express S.R.L. a omis să îi furnizeze o copie a datelor cu caracter personal și a tergiversat procedura, solicitând persoanei vizate să transmită din nou cererea către un alt departament.

Ca măsură corectivă, operatorul a fost obligat să asigure un răspuns complet la cererea petentului și să adopte măsuri tehnice și organizatorice care să respecte prevederile GDPR. Printre acestea se numără și instruirea personalului pentru a analiza și soluționa corect cererile de exercitare a drepturilor persoanelor vizate.

2. English Home SRL- decembrie 2024 – 5.000 eur

Operatorul English Home SRL a fost sancționat cu două amenzi, în valoare totală de 24.882,5 lei (5.000 euro), pentru nerespectarea dreptului la opoziție al persoanelor vizate și lipsa măsurilor adecvate de protecție a datelor.

Investigația a fost declanșată de o plângere din partea unei persoane vizate, care a reclamat primirea continuă de mesaje comerciale nesolicitate, chiar și după ce a solicitat dezabonarea prin e-mail și utilizarea unui link dedicat.

Autoritatea a constatat că operatorul:

  • Nu a dat curs cererii de opoziție privind prelucrarea datelor în scopuri de marketing direct.
  • Nu a implementat măsuri tehnice și organizatorice adecvate pentru respectarea drepturilor persoanelor vizate.

Măsurile corective impuse includ:

  • Soluționarea cererii de opoziție și transmiterea unui răspuns către petent.
  • Alinierea proceselor de prelucrare a datelor la cerințele GDPR, prin instruirea personalului și adoptarea de măsuri pentru analizarea și soluționarea corectă a cererilor.
  • Asigurarea funcționării eficiente a procedurilor de dezabonare și retragere a consimțământului pentru marketing direct.
  • Facilitarea accesului la informații privind exercitarea drepturilor, inclusiv prin îmbunătățirea informațiilor disponibile pe site-ul operatorului.

3. Pansiprod Distribuție SRL- decembrie 2024 – 1.000 eur

Operatorul Pansiprod Distribuție SRL a fost sancționat cu o amendă de 4.976,4 lei (1.000 euro) pentru nerespectarea obligației de a răspunde complet și în termen legal unei cereri de acces la date personale.

Investigația a relevat că operatorul nu a transmis petentului copia completă a datelor personale din arhiva contului de e-mail utilizat în scopuri profesionale, deși Autoritatea impusese această măsură corectivă anterior, printr-un proces-verbal de constatare din februarie 2024.

Ca măsură corectivă, Pansiprod Distribuție SRL trebuie să asigure comunicarea unui răspuns complet și conform cerințelor GDPR, inclusiv transmiterea copiei integrale a datelor personale solicitate.

4. Electrica Furnizare S.A.- decembrie 2024 – 3.000 eur

Operatorul Electrica Furnizare S.A. a fost sancționat cu o amendă de 14.929,20 lei (3.000 euro) pentru divulgarea neautorizată a datelor personale ale unui client către o terță persoană.

Investigația, demarată în urma unei sesizări, a relevat că, în procesul de gestionare a unei solicitări de restituire de sumă, operatorul a asociat greșit adresa de e-mail a unui client cu cea a unei terțe persoane. Acest lucru a condus la transmiterea către terță persoană a documentelor unui alt client, care conțineau date sensibile precum numele, adresa, numărul de telefon, adresa de e-mail, seria și numărul cărții de identitate, codul numeric personal și informații privind starea civilă.

Autoritatea a constatat că Electrica Furnizare S.A. nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea și integritatea datelor personale, încălcând prevederile GDPR privind securitatea prelucrării datelor.

Ca măsură corectivă, operatorului i s-a solicitat introducerea unui sistem de monitorizare a aplicării procedurilor interne, în special pentru verificarea identității persoanelor vizate, în vederea prevenirii unor incidente similare în viitor.

5. UNICREDIT CONSUMER FINANCING IFN S.A. – decembrie 2024 – 5.000 eur

Operatorul UNICREDIT CONSUMER FINANCING IFN S.A. a fost sancționat cu o amendă de 24.885 lei (5.000 euro) pentru prelucrarea nelegală a datelor personale ale foștilor angajați.

În urma investigației, demarată ca urmare a unei notificări de încălcare a securității datelor, s-a constatat că numele, prenumele, funcțiile și semnăturile foștilor angajați au fost incluse în documente contractuale și utilizate în relațiile cu clienții și colaboratorii, deși contractele de muncă ale acestora erau încetate.

Această situație, cauzată de erori operaționale și lipsa unei monitorizări adecvate a aplicării procedurilor interne, a condus la prelucrarea datelor fără temei legal, încălcând principiile GDPR referitoare la legalitate, securitate și protecție împotriva prelucrării neautorizate.

Ca măsură corectivă, operatorului i s-a solicitat implementarea unui plan de monitorizare a aplicării procedurilor interne, astfel încât să se asigure conformitatea continuă cu regulamentul, inclusiv în cazul datelor personale ale angajaților care încetează relația contractuală.

6. Compania de Transport Public Cluj-Napoca S.A.- decembrie 2024 – 4.000 eur

Compania de Transport Public Cluj-Napoca S.A. a fost sancționată cu o amendă de 19.902 lei (4.000 euro) pentru utilizarea nelegală a unui sistem de supraveghere audio-video în cabinele de conducere ale mijloacelor de transport public. Sistemul, care monitoriza șoferii și capta atât imagini, cât și sunete, a încălcat principiile privind legalitatea, legitimitatea și minimizarea datelor.

Investigația a relevat că datele captate au fost utilizate în alte scopuri decât cele inițial declarate, inclusiv pentru cercetări disciplinare, afectând angajații. De asemenea, supravegherea audio-video putea colecta nejustificat sunetele și vocile călătorilor, ceea ce ridică probleme suplimentare privind legalitatea și proporționalitatea.

Ca și măsuri corective, companiei i s-a solicitat să reevalueze necesitatea și proporționalitatea utilizării sistemului de supraveghere și să asigure respectarea regulamentelor GDPR și a legislației naționale, inclusiv prin utilizarea unor metode mai puțin intruzive.

7. SYNOBIS MEDICAL S.R.L.- decembrie 2024 – 2.000 eur

Operatorul SYNOBIS MEDICAL S.R.L. a fost sancționat cu o amendă de 10.000 lei și un avertisment pentru nerespectarea cerințelor privind utilizarea cookie-urilor și informarea persoanelor vizate. Investigația a fost inițiată în urma unei sesizări legate de site-ul www.synobis.ro, care nu permitea accesarea fără acceptarea colectării de informații prin cookie-uri și nu asigura o informare completă a utilizatorilor.

În urma investigațiilor s-a constatat că site-ul stoca și accesa informații prin cookie-uri fără consimțământul prealabil și fără informarea utilizatorilor. În plus, operatorul nu oferea o informare clară și completă privind colectarea și prelucrarea datelor personale.

Ca măsuri corective, operatorul trebuie să implementeze mecanisme pentru obținerea consimțământului expres înainte de utilizarea cookie-urilor și să asigure o informare completă și accesibilă a utilizatorilor, inclusiv în limba română.

8. Rompetrol Downstream SRL – noiembrie 2024 – 4.000 eur

Operatorul Rompetrol Downstream SRL a fost sancționat din nou cu o amendă de 19.893,20 lei (4.000 euro) pentru că nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni riscurile asociate prelucrării datelor.

În urma notificării unui incident de securitate, investigația a dezvăluit că mai multe persoane au primit e-mailuri de tip phishing, iar datele personale (nume, prenume, adrese de e-mail, semnături) din fișiere aparținând operatorului au fost accesate și descărcate neautorizat.

De asemenea, s-a constatat că parola contului de e-mail destinat corespondenței cu clienții era cunoscută de mai mulți angajați ai unei persoane juridice împuternicite de operator, ceea ce a permis accesul neautorizat și a dus la încălcarea confidențialității datelor.

Pe lângă sancțiunea cu amendă, Autoritatea a impus și măsurile corrective de stabilire a unui plan de inspecții/audituri la nivelul persoanei împuternicite precum și implementarea unor măsuri pentru remedierea deficiențelor și prevenirea unor incidente similare.

Această sancțiune subliniază importanța măsurilor stricte de securitate pentru protejarea datelor personale și gestionarea corespunzătoare a relațiilor cu persoanele împuternicite.

9. Raiffeisen Bank S.A. – noiembrie 2024 – 20.000 eur

Raiffeisen Bank S.A. a fost sancționată cu o amendă de 99.466 lei (20.000 euro) pentru că nu a implementat măsuri adecvate de securitate, ceea ce a permis accesul și divulgarea neautorizată a datelor personale ale clienților.

Investigația a fost demarată în urma unor notificări și plângeri legate de multiple incidente grave, printre care:

  1. Accesarea și utilizarea nelegală a datelor clienților de către angajați, inclusiv pentru contractarea de produse financiare fără consimțământul acestora.
  2. Transmiterea confidențială a informațiilor despre tranzacții către terțe părți prin intermediul rețelelor sociale, cum ar fi Facebook și WhatsApp.
  3. Manipularea neautorizată a datelor din conturi bancare, inclusiv modificări ale informațiilor de contact, deschideri de conturi și tranzacții financiare în numele clienților, fără acordul acestora.

Aceste încălcări au afectat date personale precum numele, adresa, CNP, detalii financiare, istoricul tranzacțiilor și alte informații sensibile.

Ca și măsuri corective, ANSPDCP a impus:

  • Implementarea unui plan de securitate pentru monitorizarea, testarea și notificarea clienților asupra oricăror modificări ale datelor lor personale.
  • Instruiri regulate pentru angajați cu privire la riscurile prelucrării neautorizate, cu verificarea luării la cunoștință la fiecare 6 luni.

Această sancțiune subliniază necesitatea unor controale stricte pentru protejarea datelor personale ale clienților în sectorul bancar.

10. Altex România S.A. – noiembrie 2024 – 20.000 eur

Operatorul Altex România S.A. a fost sancționat cu o amendă de 99.516 lei (20.000 euro) pentru încălcarea obligațiilor privind securitatea datelor personale, după ce două breșe de securitate majore au afectat un număr semnificativ de clienți.

Investigația a fost declanșată ca urmare a notificărilor transmise către Autoritatea Națională de Supraveghere, care au indicat următoarele situații:

  • Publicarea pe o platformă online a datelor personale ale clienților, inclusiv nume, prenume, email, parole de acces, adrese de livrare, numere de telefon, istoricul comenzilor și datele cardurilor utilizate pentru plăți.
  • Un atac de tip „credential stuffing” care a exploatat parolele conturilor clienților pentru a plasa comenzi frauduloase, expunând date de identificare și financiare.

În urma investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru prevenirea accesului neautorizat, ceea ce a condus la compromiterea masivă a datelor clienților.

Pentru reducerea riscului unor incidente similare și asigurarea unui nivel de protecție adecvat pentru datele clienților, ANSPDCP a solicitat Altex, ca și măsuri corective, să:

  • Implementeze măsuri de securitate suplimentare, precum notificarea utilizatorilor despre logările de pe dispozitive noi, afișarea dispozitivelor conectate în conturi, politici stricte de parole și expirarea periodică a acestora.
  • Monitorizeze traficul de internet inbound/outbound pentru platformele de autentificare ale tuturor site-urilor și aplicațiilor gestionate.

11. UP ROMÂNIA SRL – noiembrie 2024 – 4.000 eur

Operatorul UP ROMÂNIA SRL a fost sancționat cu o amendă de 19.898,4 lei (4.000 euro) și un avertisment pentru nerespectarea normelor GDPR privind prelucrarea și stocarea datelor personale. Investigația a fost demarată ca urmare a unei plângeri prin care s-a constatat că operatorul colecta și prelucra datele de localizare ale angajaților, prin sistemul GPS instalat pe mașinile de serviciu, chiar și în afara programului de lucru, inclusiv în concedii. Această prelucrare a fost realizată fără temei legal și fără respectarea principiilor de reducere la minimum a datelor.

În plus, s-a descoperit că operatorul stoca datele colectate prin GPS pe perioade ce depășeau termenul legal de 30 de zile, fără justificare. ANSPDCP a impus UP ROMÂNIA SRL măsuri corective prin care să revizuiască utilizarea și stocarea datelor, limitând prelucrarea la scopurile necesare și eliminând datele stocate excesiv.

12. PPC Energie Muntenia S.A – noiembrie 2024 – 1.000 eur

Operatorul PPC Energie Muntenia S.A. a fost sancționat cu amendă cu 4.977,1 lei (1.000 euro) pentru nerespectarea dreptului de ștergere, conform GDPR. Investigația a fost declanșată după ce o persoană a reclamat primirea de mesaje comerciale nesolicitate, deși solicitase în repetate rânduri ștergerea adresei sale de e-mail din baza de date a operatorului. Deși i s-a confirmat că adresa de e-mail va fi eliminată și contul asociat șters, operatorul a continuat să trimită mesaje.

Ca măsură corectivă, Autoritatea a impus PPC Energie Muntenia să își actualizeze procedurile interne pentru soluționarea cererilor de exercitare a drepturilor persoanelor vizate și să ofere instruire regulată angajaților în acest sens.

13. Blackcab Systems SRL – noiembrie 2024 – 1.000 eur

Operatorul Blackcab Systems SRL a fost sancționat cu amendă de 4.975,9 lei (1.000 euro) pentru nerespectarea dreptului de acces al unui client la datele sale personale. Investigația a fost demarată în urma unei plângeri în care clientul a reclamat că nu a primit un răspuns la solicitarea de acces la datele sale personale. Autoritatea a constatat că Blackcab Systems SRL nu a putut demonstra că a răspuns acestei cereri.

Ca măsură corectivă, operatorul trebuie să asigure respectarea drepturilor persoanelor vizate, inclusiv transmiterea unei copii a datelor solicitate de client / persoană vizată.

14. Untold SRL – octombrie 2024 – 15.000 eur

Operatorul Untold SRL a fost sancționat de ANSPDCP cu două amenzi totalizând 74.611,5 lei (echivalentul a 15.000 euro) pentru încălcarea drepturilor persoanelor vizate conform GDPR. Investigația a fost inițiată după ce s-a constatat că operatorul nu a soluționat, în termenul legal, cererea unui client de acces la datele sale personale și cererea de ștergere a acestora.

Ca măsuri corective, Untold SRL trebuie să ofere un răspuns scris la solicitarea persoanei vizate și să implementeze măsuri tehnice și organizatorice pentru a asigura conformitatea cu GDPR, inclusiv instruirea personalului pentru a gestiona corect și în timp util cererile privind drepturile persoanelor vizate.

Operatorul Untold SRL a fost sancționat de ANSPDCP cu două amenzi totalizând 74.611,5 lei (echivalentul a 15.000 euro) pentru încălcarea drepturilor persoanelor vizate conform GDPR. Investigația a fost inițiată după ce s-a constatat că operatorul nu a soluționat, în termenul legal, cererea unui client de acces la datele sale personale și cererea de ștergere a acestora.

Ca măsuri corective, Untold SRL trebuie să ofere un răspuns scris la solicitarea persoanei vizate și să implementeze măsuri tehnice și organizatorice pentru a asigura conformitatea cu GDPR, inclusiv instruirea personalului pentru a gestiona corect și în timp util cererile privind drepturile persoanelor vizate.

15. Vodafone România S.A. – octombrie 2024 – 5.000 eur

Operatorul Vodafone România S.A. a fost sancționat cu o amendă de 24.870,5 lei (5.000 euro) pentru încălcarea obligațiilor de securitate a datelor personale. Investigația ANSPDCP a fost declanșată în urma unei plângeri din partea unei persoane vizate, care a semnalat dezvăluirea adreselor de e-mail ale mai multor destinatari (inclusiv propria adresă) în două comunicări transmise de Vodafone. Mesajele conțineau detalii despre schimbarea managerului de cont alocat unor clienți persoane juridice, iar adresele de e-mail ale destinatarilor au fost vizibile, nefiind utilizată opțiunea „BCC”.

Vodafone nu a adoptat măsuri tehnice și organizatorice suficiente pentru a proteja confidențialitatea datelor, iar ca măsură corectivă, ANSPDCP a solicitat operatorului reevaluarea măsurilor de securitate, instruirea personalului cu privire la protecția datelor și verificarea respectării instrucțiunilor de prelucrare a datelor.

16. IA BILET SRL – octombrie 2024 – 2.000 eur

Operatorul IA Bilet SRL a fost sancționat cu două amenzi, în valoare totală de 9.951,4 lei (2.000 euro), și un avertisment, în urma unei investigații efectuate de ANSPDCP. Plângerea inițială a fost depusă de un client căruia i-a fost șters contul pe platforma iabilet.ro, după ce a solicitat dezabonarea de la comunicările comerciale nesolicitate. În cadrul investigației, s-a constatat că IA Bilet SRL a șters sau pseudonimizat toate datele personale ale clientului din cont, împiedicând astfel utilizarea acestuia fără justificare și fără respectarea principiilor legale pentru prelucrarea datelor. Acesta a condus la aplicarea unei amenzi de 1.000 euro pentru lipsa unui temei legal clar.

În plus, operatorul nu a demonstrat că a răspuns corect solicitării clientului privind reactivarea contului, fapt ce a generat o a doua amendă de 1.000 euro. De asemenea, IA Bilet SRL nu a putut dovedi consimțământul prealabil al clientului pentru trimiterea de mesaje comerciale prin SMS, ceea ce a dus la aplicarea unui avertisment.

Măsurile corective impuse includ: alinierea prelucrării datelor la cerințele GDPR, oferirea de răspunsuri corespunzătoare persoanelor vizate, instruirea personalului și implementarea unei proceduri clare pentru obținerea și demonstrarea consimțământului în scopuri comerciale.

17. Profi Rom Food Srl – octombrie 2024 – 10.000 eur

Operatorul Profi Rom Food SRL a fost sancționat cu o amendă de 49.744 RON (10.000 EURO) și un avertisment din partea Autorității, în urma unei investigații ce a dezvăluit multiple încălcări ale normelor GDPR.

Investigația a arătat că Profi Rom Food SRL a transmis copiile cărților de identitate ale mai multor angajați către o terță companie prestatoare de servicii, fără un temei legal valid. Aceasta a dus la accesul neautorizat la datele personale, incluzând CNP-ul, seria și numărul cărții de identitate, adresa, sexul, cetățenia, locul nașterii și fotografia titularilor. Pentru această încălcare, operatorul a fost sancționat cu o amendă de 10.000 EURO.

De asemenea, în urma unei notificări transmise de Profi Rom Food SRL privind o încălcare a securității datelor, Autoritatea a constatat că un angajat a captat imagini video de pe un monitor al companiei cu un telefon personal și le-a distribuit prin WhatsApp, divulgând astfel neautorizat imaginea altor persoane. Pentru acest incident, operatorul a primit un avertisment.

Ca măsuri corective, Profi Rom Food SRL este obligat să respecte principiile GDPR în prelucrarea datelor angajaților participanți la formare profesională, să implementeze măsuri care să restricționeze accesul la imagini și înregistrări video doar pentru persoanele autorizate și să ofere instruiri regulate personalului privind protecția datelor.

18. Your Consulting SRL – octombrie 2024 – 3.000 eur

Operatorul Your Consulting SRL a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 14.929,20 lei (3.000 euro) întrucât nu a implementat măsuri de securitate adecvate și nu a realizat testări și evaluări periodice pentru a asigura securitatea prelucrării datelor.

Investigația a fost demarată după o sesizare referitoare la divulgarea datelor personale ale utilizatorilor prin intermediul aplicației operatorului. Aceasta a permis accesul neautorizat la date sensibile, inclusiv nume, coduri numerice personale, date privind voucherele de vacanță și informații de revenire din concediu.

Pe lângă sancțiunea cu amendă, s-a impus și măsura corectivă de instituire a unui mecanism pentru testarea și evaluarea periodică a eficacității măsurilor de securitate, pentru a preveni incidente similare în viitor.

19. Global Ports’s Services S.R.L. – octombrie 2024 – 2.000 eur

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Global Ports’s Services S.R.L. cu o amendă de 9.947,6 lei (2.000 euro) și două avertismente, în urma unei investigații declanșate de plângerile unei persoane vizate.

Persoana vizată a reclamat că operatorul a utilizat un sistem de monitorizare GPS instalat pe mașina sa de serviciu fără să fie informat și că datele personale erau utilizate pentru monitorizare automată, inclusiv după ce nu mai era angajat al companiei.

În urma investigației a rezultat că:

  • operatorul a colectat și prelucrat datele personale prin sistemul GPS fără a justifica necesitatea acestei prelucrări și fără să utilizeze metode mai puțin intruzive pentru monitorizarea activităților;
  • nu a fost oferită o informare clară și completă persoanei vizate în legătură cu utilizarea sistemului GPS și prelucrarea datelor sale;
  • datele GPS au fost stocate pentru o perioadă excesiv de lungă, fără justificare adecvată.

Pe lângă sancțiunea cu amendă și avertismente, s-au impus și următoarele măsuri corective:

  • reevaluarea utilizării sistemului GPS și limitarea stocării datelor doar pe perioada necesară scopurilor prelucrării
  • informarea completă și transparentă a tuturor persoanelor vizate despre modul în care sunt colectate și prelucrate datele lor personale.

20. PPC ENERGIE MUNTENIA S.A. – septembrie 2024 – 2.000 eur

Operatorul PPC ENERGIE MUNTENIA S.A. a fost sancționat cu o amendă de 9.947,6 lei (echivalentul a 2.000 EURO) de către ANSPDCP ca urmare a nerespectării cererii unui petent de ștergere a datelor personale. Sancțiunea a fost aplicată în urma unei investigații demarate după ce un petent a reclamat faptul că operatorul nu a răspuns la solicitarea de exercitare a dreptului de ștergere a datelor personale.

Investigația a dezvăluit că operatorul nu a furnizat dovezi care să arate că a răspuns cererii petentului în termenul legal de o lună (sau maximum trei luni, în cazuri speciale), comunicând răspunsul după expirarea termenului legal.

În plus, autoritatea a impus operatorului măsura corectivă de a se asigura că cererile privind drepturile persoanelor vizate sunt soluționate fără întârziere și de a testa periodic aplicațiile utilizate pentru gestionarea acestor cereri.

21. Constanța South Container Terminal SRL – septembrie 2024 – 3.000 eur

Constanța South Container Terminal SRL a fost sancționată cu o amendă de 14.929,50 lei (aproximativ 3.000 EURO) de către Autoritatea de Supraveghere a Prelucrării Datelor, după o investigație demarată în urma unei notificări de încălcare a securității datelor. Investigația a relevat faptul că un terț a accesat neautorizat date personale ale angajaților din România (nume complet, data nașterii, adrese, numere de telefon și e-mailuri), stocate pe o platformă publică, fără măsuri adecvate de securitate. Operatorul nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a garanta confidențialitatea și securitatea datelor.

Ca măsură corectivă, operatorul trebuie să revizuiască și să actualizeze măsurile de securitate privind conectarea la serverele de date și infrastructura IT, în special pentru accesul din exteriorul rețelei.

22. SC Class IT Outsourcing SRL – septembrie 2024 – 1.000 eur

Operatorul SC Class IT Outsourcing SRL a fost amendat cu 4.976,7 lei (1.000 EURO) de către ANSPDCP, urmare a nerespectării cererii unui petent de ștergere a datelor personale. Investigația a relevat că operatorul nu a răspuns în termenul de 30 de zile prevăzut de lege la solicitarea petentului, acesta primind un răspuns doar după intervenția autorității.

Ca măsură corectivă, Class IT Outsourcing trebuie să elaboreze și să implementeze o procedură internă pentru gestionarea cererilor persoanelor vizate, să asigure respectarea termenelor legale în comunicarea răspunsurilor și să ofere instruire periodică personalului privind obligațiile de protecție a datelor.

23. Vodafone România SA – septembrie 2024 – 3.000 eur

Vodafone România SA a fost amendată cu 14.930 lei (3.000 EURO) de ANSPDCP, urmare a nerespectării drepturilor de acces și ștergere ale unui petent conform RGPD.

Investigația a dezvăluit că Vodafone nu a răspuns în termenul legal de 30 de zile la solicitările petentului, răspunsul fiind furnizat abia după intervenția autorității. Pentru această nerespectare a RGPD, s-a aplicat și o măsură corectivă: Vodafone trebuie să adopte o procedură internă eficientă pentru gestionarea cererilor persoanelor vizate, să asigure comunicarea promptă a răspunsurilor în limitele termenelor legale și să organizeze sesiuni regulate de instruire pentru personal cu privire la obligațiile legate de protecția datelor.

24. Fundația Pro Economica – septembrie 2024 – 1.000 eur

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Fundația Pro Economica – Pro Economica Alapítvány cu o amendă de 4.976,70 lei (1.000 EURO), urmare a unei încălcări a securității datelor personale detectată în august 2024.

Încălcarea a survenit din cauza unui atac informatic care a șters date personale de pe serverul Fundației, afectând disponibilitatea acestora. Investigatia a relevat lipsa măsurilor tehnice și organizatorice adecvate pentru asigurarea securității datelor, inclusiv protecția împotriva accesului neautorizat și menținerea integrității sistemelor. Datele afectate includ informații sensibile precum CNP, adresă, email, și detalii financiare ale persoanelor vizate.

Ca măsură corectivă, s-a impus fundației actualizarea și revizuirea măsurilor de securitate pentru infrastructura IT, inclusiv îmbunătățirea procedurilor de acces la date.

25. Kaufland România SCS – august 2024 – 7.000 eur

Operatorul Kaufland România SCS a fost implicat în trei incidente diferite, pentru care a acumulat amenzi în valoare totală de 7.000 EURO:

  • Prima încălcare (sancționată cu 2.000 de euro) a implicat agenții de pază care au înregistrat cu telefoane mobile imagini de pe camerele de supraveghere ale magazinului, ducând la accesul și divulgarea neautorizată a acestora.
  • A doua încălcare (sancționată cu 3.000 de euro) a avut loc când un client a solicitat agentului de pază accesul la imagini video ale unui incident, iar agentul a permis clientului să fotografieze acele imagini și să le posteze pe Facebook, ceea ce a condus la divulgarea neautorizată a datelor personale ale unui alt client.
  • A treia încălcare (sancționată cu 2.000 de euro) s-a produs când o angajată a transmis eronat un e-mail cu informații despre un incident de securitate la un domeniu de internet greșit, expunând astfel datele personale ale unui candidat la un job.

Pentru toate aceste încălcări, s-a constatat că Kaufland România nu a implementat măsuri adecvate de securitate pentru a preveni prelucrarea neautorizată a datelor personale și pentru a garanta confidențialitatea și integritatea datelor. Măsurile corective impuse includ revizuirea și actualizarea procedurilor de protecție a datelor, instruirea personalului despre gestionarea datelor în conformitate cu GDPR, și implementarea unor protocoale stricte pentru accesul la informații sensibile.

26. Kruk România SRL – august 2024 – 3.000 eur

Operatorul Kruk România SRL, împuternicit al unui operator, a fost sancționat cu 3.000 EURO pentru gestionarea necorespunzătoare a datelor în cazul unei cesiuni de creanțe. Erorile manuale în prelucrarea bazei de date au dus la transmiterea eronată a notificărilor de cesiune și a posibilităților de plată către destinatari greșiți. Acest lucru a permis accesul și divulgarea neautorizată a datelor cu caracter personal, inclusiv nume, prenume, adrese, și detalii financiare. Investigatia a dezvăluit că Kruk România nu a implementat măsuri tehnice și organizatorice adecvate pentru a garanta un nivel suficient de securitate, nereușind să protejeze confidențialitatea și integritatea sistemelor și serviciilor de prelucrare.

27. Ana Hotels SRL – august 2024 – 8.000 eur

Operatorul Ana Hotels SRL a fost sancționat cu amendă de 8.000 de euro întrucât nu a implementat măsuri adecvate de securitate pentru protejarea sistemelor și serviciilor de prelucrare a datelor. În urma unui atac informatic de tip ransomware a avut loc divulgarea neautorizată a datelor personale ale angajaților, un număr semnificativ de persoane vizate.

Ca măsură corectivă, operatorului i-a fost impus să dezvolte un plan care să includă testarea periodică a sistemelor IT și jurnalizarea traficului de date pe o perioadă de cel puțin 30 de zile, completat de proceduri de backup corespunzătoare.

28. BEST ELAN ONLINE SRL – august 2024 – 1.000 eur

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a impus o amendă de 1.000 de euro operatorului BEST ELAN ONLINE SRL în urma unei investigații declanșate de plângerea unei persoane care a primit mesaje comerciale nesolicitate, chiar după ce a solicitat ștergerea datelor sale personale. Operatorul nu a dat curs solicitărilor persoanei vizate și nu a furnizat Autorității informațiile cerute în timpul investigației.

Ca măsură suplimentară, operatorul trebuie să prezinte acum toate documentele și informațiile necesare, conform cerințelor legale.

29. Rețele Electrice Muntenia SA și Rețele Electrice Dobrogea SA – iunie 2024 – 3.000 eur și 1.000 eur

Rețele Electrice Muntenia SA și Rețele Electrice Dobrogea SA au fost sancționate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu amendă de 14.928,60 lei (aproximativ 3000 EURO), respectiv 4.976,20 lei (aproximativ 1000 EURO) întrucât nu au implementat măsuri adecvate de securitate a datelor.

Investigațiile, declanșate după sesizările privind accesul neautorizat la date pe site-ul comun www.e.distributie.com, au relevat că din lipsa măsurilor adecvate de securitate, a fost permisă vizualizarea datelor personale ale altor clienți. Aceasta a inclus accesul neautorizat la informații sensibile precum numele, prenumele, adresa și codul numeric personal. Ca măsuri corective, s-a impus implementarea de teste periodice pentru portalul web al operatorilor, pentru a asigura confidențialitatea și integritatea datelor gestionate.

30. Corint Logistic SRL – mai 2024 – 2.000 eur

Operatorul Corint Logistic SRL a fost sancționat cu două amenzi separate de câte 4.976,3 lei fiecare (în total echivalentul a 2.000 EURO) și cu un avertisment de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a fost inițiată în urma unei plângeri de la un client care a primit mesaje comerciale SMS, deși solicitase anterior ștergerea datelor sale personale și primise confirmarea acestei acțiuni.

Încălcările identificate includ nerespectarea drepturilor de ștergere și opoziție, precum și transmiterea mesajelor comerciale fără consimțământ valid. A fost constatată, de asemenea, nerespectarea dreptului de acces, deoarece clientul nu a primit răspuns la solicitările sale suplimentare.

Ca măsuri corective, Corint Logistic SRL trebuie să adopte proceduri adecvate pentru respectarea regulamentului în prelucrarea datelor pentru marketing direct, inclusiv obținerea consimțământului clar și prealabil, și să îmbunătățească modul de gestionare a cererilor persoanelor vizate, asigurându-se că acestea sunt soluționate rapid și eficient, conform normelor GDPR. Operatorul este, de asemenea, îndrumat să instruiască regulat personalul privind protecția datelor și gestionarea cererilor de exercitare a drepturilor persoanelor vizate.

31. S.C. Rompetrol Downstream S.R.L. – mai 2024 – 2.000 eur

Operatorul S.C. Rompetrol Downstream S.R.L. a fost amendat cu 9.935,60 lei (aproximativ 2.000 EURO) de ANSPDCP, urmare a descoperirii unor încălcări ale securității datelor personale. Ancheta a fost inițiată după ce Rompetrol a notificat două incidente de securitate, unul implicând utilizarea aplicației WhatsApp pentru prelucrarea datelor și celălalt, dezvăluirea neautorizată pe rețele sociale a datelor personale ale clienților, incluzând imagini din stațiile de carburant și informații despre vehiculele acestora.

Investigația a relevat că Rompetrol Downstream S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni accesul neautorizat și divulgarea datelor, nerespectând astfel art. 29 și art. 32 din GDPR. Ca măsură corectivă, compania a fost instruită să implementeze mecanisme de verificare și monitorizare a procedurilor de protecție a datelor personale, asigurând astfel conformitatea continuă cu GDPR și prevenirea incidentelor similare în viitor.

32. Urban Home Development S.R.L.- mai 2024 – 2.000 eur

Urban Home Development S.R.L. a fost amendată cu 10.000 lei de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru nerespectarea legislației privind protecția datelor personale și a comunicațiilor electronice. Investigația a fost inițiată în urma unei sesizări despre lipsa informațiilor obligatorii pe site-ul companiei legate de drepturile persoanelor vizate sub RGPD și utilizarea necorespunzătoare a cookies-urilor.

S-a constatat că societatea nu afișa pe site-ul său denumirea sau identitatea operatorului de date, încălcând art. 13 alin. (1) lit. a) din RGPD. De asemenea, site-ul instala cookies pe dispozitivele utilizatorilor fără consimțământul prealabil al acestora și înainte de a fi necesare funcționării site-ului, încălcând astfel art. 4 alin. (5) lit. a) din Legea nr. 506/2004.

Ca măsuri corective, operatorul trebuie să actualizeze politica de confidențialitate pentru a include informațiile necesare conform art. 13 RGPD și să reconfigureze modul în care modulele cookies sunt instalate pe dispozitivele utilizatorilor, pentru a se conforma cerințelor legale.

33. IRIDEX GROUP SALUBRIZARE SRL – mai 2024 – 2.000 eur

Operatorul IRIDEX GROUP SALUBRIZARE SRL a fost sancționat cu o amendă de 9.951,80 lei (aproximativ 2.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a început în urma unei sesizări primite de la o persoană fizică și a relevat o încălcare a securității datelor personale, cauzată de transmiterea unui mesaj electronic colectiv pe adresele de e-mail ale clienților societății, vizibile tuturor destinatarilor. S-a constatat că operatorul nu a implementat măsuri adecvate pentru a se asigura că angajații prelucrează datele personale doar la cererea sa și nu a adoptat măsuri tehnice și organizatorice corespunzătoare pentru a garanta confidențialitatea, integritatea și securitatea datelor prelucrate. Această deficiență a dus la divulgarea neautorizată a adreselor de e-mail ale clienților.

34. Medicover SRL – mai 2024 – 1.000 eur

Medicover SRL a fost sancționat (pentru a 3-a oară în ultimii 3 ani) cu o amendă de 4.970,30 lei (aproximativ 1.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Investigația a fost inițiată după ce operatorul a notificat o încălcare a securității datelor, cauzată de divulgarea neautorizată a unui raport medical către un alt pacient. Ancheta a evidențiat că Medicover SRL nu a implementat măsuri adecvate pentru a asigura că accesul la datele personale este strict controlat și realizat doar la cererea operatorului, și nu a adoptat măsuri tehnice și organizatorice suficiente pentru a garanta confidențialitatea și integritatea datelor. Această deficiență a dus la pierderea confidențialității datelor personale, inclusiv numele, prenumele, data nașterii, antecedentele medicale, diagnosticele și alte informații sensibile, prin înmânarea raportului medical către o persoană neautorizată.

35. Genpact România SRL – mai 2024 – 3.000 eur

Genpact România SRL a fost sancționat cu o amendă de 14.913,6 lei (aproximativ 3.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, după ce a fost descoperită o încălcare a securității datelor personale. Incidentul a implicat trimiterea unui fișier conținând date referitoare la recrutarea personalului către o adresă de e-mail neautorizată a unui angajat. Investigația a relevat că Genpact România SRL nu a luat măsuri adecvate pentru a asigura că accesul la datele cu caracter personal se face doar la cererea operatorului și nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura securitatea datelor. Aceasta a dus la accesul și divulgarea neautorizată a datelor personale, inclusiv numele, numerele de telefon și adresele de e-mail ale persoanelor vizate. În consecință, operatorului i s-a impus și măsura corectivă de a revizui și actualiza măsurile de securitate, procedurile de lucru și instruirea personalului, pentru a preveni utilizarea neautorizată a echipamentelor personale și pentru a asigura conformitatea cu RGPD.

36. Centrul Medical Unirea SRL – mai 2024 – 5.000 eur

Centrul Medical Unirea SRL a fost sancționat cu o amendă de 24.856 lei (aproximativ 5.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, din cauza unei încălcări a securității datelor personale. Investigația a dezvăluit că datele personale ale unui număr semnificativ de pacienți și angajați, inclusiv numele, CNP-ul, data nașterii, informații de contact, profesie, funcție și detalii salariale, au fost divulgate neautorizat pe internet. S-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea și securitatea datelor, și nu a luat măsuri suficiente pentru a controla accesul la datele personale. În plus, i s-a impus măsura corectivă de revizuire și actualizare a măsurilor de securitate, inclusiv implementarea unui proces periodic de testare și evaluare a eficacității acestora.

37. ALPHA BANK ROMANIA SA – aprilie 2024 – 2.000 eur

ALPHA BANK ROMANIA SA a fost sancționată cu o amendă de 9.950,60 lei (aproximativ 2.000 EURO) de către ANSPDCP, urmare a unei încălcări semnificative a securității datelor personale. Investigația, inițiată după o notificare de încălcare a securității emisă de bancă, a relevat că un angajat a administrat incorect unul dintre sistemele de evidență ale băncii, ceea ce a dus la accesul neautorizat și divulgarea datelor personale ale clienților.

S-a constatat că ALPHA BANK nu a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel corespunzător de confidențialitate și securitate a datelor, și nu a supervizat suficient modul în care angajații care au acces la datele personale le procesează.

38. Tensa Art Design SA – aprilie 2024 – 2.000 eur

S.C. Tensa Art Design S.A., operatorul site-ului www.lensa.ro, a fost sancționat în aprilie 2024 cu o amendă de 9.941 lei (aproximativ 2.000 EURO) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru utilizarea neautorizată a numărului de telefon al unui petent în scopuri de marketing direct fără consimțământ. Aceasta marchează a 4-a amendă impusă operatorului din februarie 2023 până acum, pentru încălcări similare ale GDPR, indicând o problemă recurentă în respectarea regulamentului privind consimțământul pentru prelucrarea datelor personale.

Investigația a fost inițiată urmare a unei plângeri care acuza primirea de mesaje SMS promoționale fără acordul explicit al petentului. Constatarea lipsei de consimțământ sau a unui alt temei legal a atras sancțiunea pentru încălcarea art. 6 din GDPR. În plus, companiei i s-a impus să adopte măsuri corective pentru a asigura conformitatea operațiunilor viitoare de prelucrare a datelor cu prevederile GDPR, evitând astfel prelucrarea datelor fără un temei legal adecvat.

39. Centrul medical dr. Furtună Dan – aprilie 2024 – 1.500 eur

Centrul Medical dr. Furtună Dan a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 7.455 lei (echivalentul a 1.500 EURO) și a primit avertisment pentru mai multe încălcări ale Regulamentului General privind Protecția Datelor (RGPD) identificate în cursul unei investigații declanșate în aprilie 2024.

Investigatia a pornit din cauza neîndeplinirii de către centrul medical a măsurilor corective anterioare impuse de autoritate. S-a constatat că centrul nu a respectat măsurile organizatorice necesare pentru a asigura securitatea datelor personale. Pe lângă amenda și avertismentul impuse, autoritatea a dispus și măsuri corective adiționale, inclusiv revizuirea și actualizarea măsurilor tehnice și organizatorice, și întocmirea unui registru detaliat al încălcărilor de securitate.

40. Sectorul 1 al Municipiului București – martie 2024 – 32.000 eur

Operatorul Sectorul 1 al Municipiului București a fost sancționat cu o amendă cominatorie de 159.000 lei (aproximativ 32.000 euro) pe 20.02.2024 de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pentru nerespectarea măsurii de remediere stabilite anterior. Investigația a început pe 30.06.2023 din cauza sesizărilor despre utilizarea neautorizată a unei platforme online pentru colectarea datelor personale. După ce Sectorul 1 nu a furnizat informațiile solicitate de ANSPDCP, a fost inițial avertizat și i s-a impus un plan de remediere pe 09.11.2023. Nerespectarea acestui plan a atras o amendă de 10.000 lei pe 14.12.2023, împreună cu o nouă solicitare de furnizare a informațiilor, care, din nou, nu a fost îndeplinită. Amenda cominatorie a fost aplicată pentru nerespectarea termenului de furnizare a informațiilor, fiind calculată pentru 53 de zile de întârziere, cu o penalitate zilnică de până la 3.000 lei.

41. EURO MINI STORAGE ROMANIA SRL – martie 2024 – 5.000 eur

Operatorul EURO MINI STORAGE ROMANIA SRL a fost amendat cu aproximativ 5.000 EURO de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ca urmare a unui atac informatic care a compromis securitatea datelor personale. Incidentul a evidențiat lipsa măsurilor tehnice și organizatorice adecvate pentru protecția datelor împotriva accesului neautorizat și a afectat disponibilitatea și confidențialitatea informațiilor clienților pentru o perioadă de timp. Autoritatea a impus măsuri corective, inclusiv implementarea unui sistem eficient de monitorizare și jurnalizare a accesului în infrastructura IT, cu o retenție a log-urilor de minim 30 de zile și proceduri de back-up adecvate.

42. VESTA CEU SRL – februarie 2024 – 3.000 eur

VESTA CEU ROMÂNIA SRL a fost amendată cu 14.928 lei (aproximativ 3.000 EURO) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru încălcarea art. 32 din RGPD, referitoare la securitatea prelucrării datelor. Investigatia a început după ce compania a notificat o încălcare a securității datelor, care a implicat divulgarea neautorizată a datelor personale ale angajaților, inclusiv informații sensibile. S-a constatat că VESTA CEU ROMÂNIA SRL nu a implementat măsuri de securitate adecvate, și i s-a impus să adopte o soluție de monitorizare pentru a preveni incidente similare în viitor.

43. Account Exchange SRL – februarie 2024 – 2.000 eur

Operatorul Account Exchange SRL a fost amendat cu 9.940,40 lei (aproximativ 2.000 EURO) și a primit avertisment de la Autoritatea Națională de Supraveghere după ce s-a constatat încălcarea art. 5 alin. (1) lit. a) și art. 6 din RGPD. Ancheta, inițiată în urma unei sesizări, a relevat utilizarea neautorizată a datelor personale ale unor persoane pentru deschiderea conturilor curente în monedă virtuală fără consimțământ sau alt temei legal. În plus, societatea nu a furnizat toate informațiile și documentele solicitate de Autoritate, încălcând astfel art. 83 alin. (5) lit. e) din RGPD.

44. Asociație de proprietari din Miercurea Ciuc – februarie 2024 – 500 eur

O Asociație de proprietari din Miercurea Ciuc a fost amendată cu 2.486,2 lei (500 EURO) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru dezvăluirea neautorizată a datelor unei persoane prin grupul de WhatsApp al Asociației. Această acțiune a încălcat principiile de bază ale RGPD, inclusiv legalitatea, limitarea scopului și transparența, precum și drepturile de acces, ștergere și opoziție ale persoanei în cauză. Asociația nu a dovedit nici că a comunicat un răspuns la cererea petentei, nici că a implementat măsuri corective cerute anterior de Autoritate, încălcând astfel și mai mult reglementările GDPR. Ca măsuri corective, Asociației i s-a impus să transmită informațiile solicitate de petentă, să asigure conformitatea cu principiile RGPD în prelucrarea datelor și să instruiască corespunzător personalul implicat în aceste procese.

45. Sectorul 1 al Municipiului București – ianuarie 2024 – 10.000 lei

Operatorul Sectorul 1 al Municipiului București a fost amendat cu 10.000 lei de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru încălcarea prevederilor GDPR și ale legislației naționale. Ancheta a pornit de la sesizări privind posibile încălcări ale GDPR, legate de modul de transmitere a documentelor pentru un program de stimulente energetice. Deși Consiliul Local a prevăzut transmiterea documentelor în format fizic sau prin e-mail, Sectorul 1 a utilizat o platformă online neaprobată oficial. Refuzul repetat al furnizării informațiilor solicitate de Autoritate a dus la aplicarea inițială a unui avertisment și a unei măsuri de remediere. Nerespectarea ulterioară a acestei măsuri a rezultat în amenda menționată și impunerea reiterată a măsurii corective de a furniza informațiile necesare.

46. TECHNINK LEB SRL – ianuarie 2024 – 3.000 eur

Operatorul TECHNINK LEB SRL a fost sancționat cu o amendă de 14.904,30 lei (aproximativ 3.000 EURO) întrucât nu a nerespectat obligația de a implementa măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării.

Investigația a fost declanșată după ce TECHNINK LEB SRL a notificat o încălcare a securității datelor cu caracter personal, conform Regulamentului General privind Protecția Datelor (RGPD). Încălcarea a constat în divulgarea neautorizată a datelor personale ale unui număr semnificativ de clienți, incluzând ID-uri, adrese, nume, prenume, adrese de e-mail și alte informații, care au devenit accesibile pe site-ul operatorului.

Totodată s-au impus și următoarele măsuri corective împotriva operatorului:

  • Implementarea unui plan pentru testarea, evaluarea și aprecierea periodică a sistemelor și a modificărilor acestora, cu accent pe site-ul administrat de operator.
  • Elaborarea și implementarea procedurilor de complexitate a parolelor, în special pentru conturile de administrator, incluzând cerințe privind lungimea, varietatea caracterelor, perioada de expirare și interzicerea reutilizării parolelor anterioare.

47. Alior Bank SA Varșovia Sucursala București – ianuarie 2024 – 17.000 eur

Operatorul Alior Bank SA Varșovia Sucursala București a fost sancționat contravențional cu amendă în cuantum de 84.491,7 lei (echivalentul a 17.000 EURO) pentru prelucrarea neautorizată a datelor personale ale clienților după încetarea relațiilor contractuale.

Investigația a fost inițiată după ce un fost client a reclamat primirea de corespondență electronică nesolicitată și mesaje SMS de la banca, chiar după ce solicitase ștergerea tuturor datelor personale.  În urma investigației, Autoritatea a constatat că Alior Bank SA Varșovia Sucursala București a continuat să trimită mesaje clienților și să monitorizeze activitatea acestora chiar și după încetarea relațiilor contractuale fapt ce a reprezentat o prelucrare a datelor în scopuri incompatibile cu cele pentru care au fost colectate inițial.

Sistemul informatic al sucursalei din București era integrat cu cel centralizat din Polonia, ceea ce a dus la transmiterea mesajelor de către departamentul tehnic din Polonia conform cerințelor Sucursalei din București.

Având în vedere natura transfrontalieră a încălcărilor, decizia de sancționare a luat în considerare cooperarea dintre autoritățile de protecție a datelor din România și Polonia. Autoritatea a impus măsuri corective pentru a asigura conformitatea cu principiile și regulile GDPR, inclusiv reconfigurarea sistemelor și aplicațiilor de prelucrare a datelor și comunicarea acestor aspecte la sediul central din Polonia pentru implementarea corespunzătoare a regulamentului.

Inginer software cu peste 20 de ani de experiență in domeniul IT și multiple certificări Microsoft, studii post universitare de protecția datelor, CISO specializat pe utilizarea controalelor de securitate ISO 27001 ca masuri de securitate tehnică și organizațională pentru protejarea datelor cu caracter personal.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *