Autoritătea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P) a efectuat mai multe investigații la diferiți operatori constatândși aplicând următoarele:
15.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la operatorul United Business Solutions SRL și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat cu amendă în cuantum de 9.954 lei, echivalentul sumei de 2000 Euro.
Investigația a fost demarată ca urmare a unei plângeri a unei persoane fizice, care a reclamat faptul că operatorul United Business Solutions S.R.L., în urma prestării de servicii de cazare, a transmis fără consimțământul său, către o terță persoană, un document fiscal care conținea datele sale cu caracter personal.
În cadrul investigației s-a constatat că operatorul a comunicat prin e-mail, datele cu caracter personal ale petentului către o terță persoană.
De asemenea, s-a constatat că operatorul nu a implementat suficiente măsuri tehnice și organizatorice pentru a asigura confidențialitatea datelor personale ale clientului său, în calitate de beneficiar de servicii de cazare, fapt ce a condus la dezvăluirea către o terță persoană, a datelor cu caracter personal ale acestuia, respectiv: nume, prenume, seria și numărul cărții de identitate, informații legate de cazarea petentului.
În același timp, în urma investigației s-a constatat că operatorul nu a luat măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.
Totodată, în temeiul dispozițiilor art. 58 alin. (2) lit. b) din Regulamentul (UE) 2016/679, s-a dispus față de operator măsura corectivă constând în elaborarea/revizuirea procedurilor interne și instruirea periodică a tuturor persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), astfel încât să se evite dezvăluirea ilegală sau neautorizată a datelor persoanelor vizate, clienți, unor terțe persoane.
14.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna martie 2025, o investigație la operatorul Office Nova Concept SRL și a constatat încălcarea dispozițiilor art. 12 alin. (1)-(4), raportat la art. 21 și art. 17 din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4.977,4 lei (echivalentul a 1.000 EURO).
Investigația s-a demarat ca urmare a unei plângeri transmise de o persoană fizică care a semnalat faptul că operatorul a instalat camere orientate către intrarea în locuința sa și fără a avea acordul acesteia.
Persoana vizată a solicitat, prin e-mail, operatorului, reorientarea camerelor, astfel încât să nu mai fie surprinse imagini din locuința personală. Totodată, s-a solicitat și ștergerea imaginilor privind persoanele care au utilizat intrarea imobilului.
În cadrul investigației, s-a constatat că operatorul nu a comunicat în termenul legal un răspuns scris corespunzător la cererea persoanei vizate, fiind astfel încălcate dispozițiile art. 12 alin. (1)-(4) din Regulamentul (UE) 2016/679, prin raportare la art. 21 și art. 17 din același act normativ european.
Totodată, s-au dispus operatorului și următoarele măsuri corective:
- de a transmite un răspuns corespunzător la cererea persoanei vizate la datele de contact indicate de acesta, prin raportare la dispozițiile art. 21 și art. 17, coroborate cu art. 12 din Regulamentul (UE) 2016/679;
- de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să gestioneze în mod corect și să răspundă în mod corespunzător la cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din Regulamentul (UE) 2016/679. De asemenea, să asigure o informare completă, transparentă și accesibilă a persoanelor vizate, potrivit art. 12-14 din Regulamentul (UE) 2016/679, după caz, la toate sediile unde folosește camere de supraveghere video;
- de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, astfel încât camerele de supraveghere video instalate la adresa indicată de persoana vizată să nu surprindă imagini de pe proprietatea sa fără acordul acesteia.
11.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna martie 2025, o investigație la operatorul NEW GAMBLING SOLUTIONS S.R.L. și a constatat încălcarea art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat cu:
– amendă în cuantum de 9.951,20 lei, echivalentul sumei de 2000 euro, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul (UE) 2016/679.
Investigația a fost demarată ca urmare a transmiterii de către operatorul NEW GAMBLING SOLUTIONS S.R.L. a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
În cadrul investigației s-a constatat că, în urma unui atac informatic, au fost accesate date din infrastructura informatică a operatorului, de către un terț, respectiv datele angajaților operatorului (nume, prenume, CNP, serie și număr CI, adresă domiciliu, date privind activitatea profesională a angajaților).
În contextul dat, precizăm că această situație a condus la divulgarea neautorizată sau accesul neautorizat al unui terț la datele cu caracter personal ale unui număr semnificativ de persoane vizate.
Ca atare, s-a constatat că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate și nu a realizat testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru garantarea securitatății prelucrării datelor, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, în conformitate cu dispozițiile art. 32 alin. (1) lit. b), d) și alin. (2) din RGPD.
10.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna martie 2025, o investigație la operatorul Tensa Art Design S.A., deținător al site-ului www.lensa.ro, și a constatat încălcarea prevederilor art. 6 alin. (1) lit. a) din Regulamentul (UE) 2016/679 (GDPR) și art. 12 alin. (1)-(4), prin raportare la art. 15 și 17 din același act normativ.
Ca atare, operatorul a fost sancționat contravențional astfel:
– amendă în cuantum de 49.774 lei, echivalentul a 10.000 EURO pentru încălcarea art. 6 alin. (1) lit. a) din GDPR;
– amendă în cuantum de 24.887 lei, echivalentul a 5.000 EURO pentru încălcarea art. 12 alin. (1) -(4), prin raportare la art. 15 și 17 din GDPR.
Investigația a fost demarată ca urmare a faptului că un petent a sesizat Autoritatea națională de supraveghere referitor la faptul că operatorul Tensa Art Design S.A., deținător al site-ului www.lensa.ro, a prelucrat numărul său de telefon, în scop de marketing direct, fără consimțământul său, comunicându-i mesaje comerciale de tip SMS prin intermediul cărora petentul a fost informat cu privire la ofertele societății.
În cadrul investigației, s-a constatat că operatorul S.C. Tensa Art Design S.A nu a făcut dovada existenței consimțământului petentului pentru prelucrarea datelor cu caracter personal ale acestuia în scop de marketing direct, încălcându-se astfel prevederile art. 6 ali. (1) lit. a) din GDPR.
De asemenea, s-a constatat că operatorul nu a gestionat în mod corespunzător cererile prin care petentul și-a exercitat drepturile de acces și ștergere prevăzute de GDPR, răspunsul primit nefiind în concordanță cu prevederile art. 12 alin. (1)-(4) din Regulamentul (UE) 2016/679, prin raportare la art. 15 și 17 din același act normativ.
Totodată, în temeiul art. 58 alin. (2) lit. c) și d) din GDPR, s-au dispus operatorului Tensa Art Design S.A. și următoarele măsuri corective:
- să se asigure conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât prelucrarea datelor personale în scop de marketing direct prin transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului (cum ar fi telefon, sms, e-mail) să se efectueze numai în baza consimțământului expres valabil al persoanelor vizate, obținut în acest scop;
- să transmită un răspuns scris la cererile petentului în conformitate cu dispozițiile art. 15 și 17 din GDPR;
- să se asigure conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să primească, să analizeze, să soluționeze în mod corect și să răspundă la toate cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din GDPR.
03.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna martie 2025, o investigație la operatorul Banca Transilvania S.A. și a constatat încălcarea dispozițiilor art. 5 alin (1) lit. a) raportat la art. 6 alin (1) din Regulamentul (UE) 2016/679.
Pentru fapta săvârșită, operatorul a fost sancționat cu amendă în cuantum de 24.883 lei, echivalentul sumei de 5000 euro.
Investigația a fost demarată ca urmare a unei plângeri a unei persoane fizice, persoana vizată, care a reclamat faptul că i-au fost prelucrate datele cu caracter personal fără să-și fi dat acordul, în cadrul unei polițe de asigurare împotriva dezastrelor naturale de către o societate de asigurări, mandatată de operatorul Banca Transilvania S.A..
În cadrul investigației, s-a constatat că petentului, deși i-a încetat prin plată contractul de credit imobiliar încheiat cu operatorul Banca Transilvania S.A., în mod eronat, i-a fost emisă o nouă poliță de asigurare împotriva dezastrelor naturale, accesorie contractului de credit imobiliar încetat, fără ca persoana vizată sa-și fi dat acordul în acest sens și fără permisiunea utilizării datelor sale cu caracter personal de către societatea de asigurări.
De asemenea, s-a constatat că, în mod eronat, operatorul a solicitat aceleiași societăți de asigurări, emiterea unui număr semnificativ de polițe de asigurare, fiind utilizate astfel datele cu caracter personal cuprinse în aceste polițe, inclusiv datele petentului.
În acest context, au fost prelucrate fără temei legal, cu încălcarea principiului de prelucrare prevăzut de RGPD “legalitate, echitate și transparență”, date cu caracter personal aparținând petentului, precum: nume, prenume, CNP, telefon, adresă de e-mail, adresă, informații privind locația asigurată.
Pentru această faptă operatorul a fost sancționat cu amendă pentru încălcarea dispozițiilor art. 5 alin (1) lit. a) raportat la art. 6 alin. (1) din Regulamentul (UE) 2016/679.
Totodată, în temeiul dispozițiilor art. 58 alin. (2) lit. b) din Regulamentul (UE) 2016/679, s-a dispus față de operator măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, astfel încât să se evite utilizarea acestora cu încălcarea principiilor și condițiilor de legalitate. În acest sens, se va avea în vedere inclusiv aplicarea unor măsuri tehnice și organizatorice adecvate, prin stabilirea unor proceduri scrise și instruirea regulată a persoanelor care prelucrează date sub autoritatea operatorului.
02.04.2025: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna martie 2025, o investigație la operatorul BINBOX GLOBAL SERVICES S.R.L. și a constatat încălcarea art. 32 alin. (1) lit. b), d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat cu:
– amendă în cuantum de 14.930,70 lei, echivalentul sumei de 3000 euro, pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b), d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Investigația a fost demarată ca urmare a transmiterii de către operatorul BINBOX GLOBAL SERVICES S.R.L. a unei notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.
În cadrul investigației, s-a constatat că, în urma unui atac informatic, a fost accesată și criptată infrastructura informatică a operatorului, fapt care a condus la divulgarea neautorizată sau accesul neautorizat la date cu caracter personal.
Ca atare, s-a constatat că operatorul nu a pus în aplicare măsuri tehnice și organizatorice adecvate, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
În acest context, a avut loc divulgarea neautorizată sau accesul neautorizat la date cu caracter personal ale unui număr semnificativ de persoane vizate, clienți ai operatorului.
Sursă: ”dataprotection.ro”
