Amenzi GDPR

Operator - RESTART ENERGY ONE S.A. (septembrie 2023)
Valoare amenda -  25.000 euro, respectiv 40.000 lei
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la o potentiala incalcare a securitatii datelor cu caracter personal pe site-ul operatorului. Mai exact, un fisier din site-ul operatorului care continea date cu caracter personal (nume/prenume, adresa, numere de telefon, e-mail, numar de contract si data incheierii acestuia) pentru un numar de cel putin 750 persoane vizate, a fost accesibil public, prin accesarea unui link generat de motoarele de cautare, pentru o perioada de aproximativ 2 ani si jumatate. De asemenea, s-a constatat si ca prin accesarea website-ului administrat de operator se instalau pe dispozitivul utilizatorului module cookie care nu erau necesare din punct de vedere tehnic, inainte de acordarea consimtamantului prin apasarea butonului de Accept, iar exprimarea dezacordului prin accesarea butonului Refuz cu privire la instalarea acestor module cookies nu avea nicio influenta asupra acestora, ele ramanand instalate in forma initiala, pentru o anumita perioada de timp, pe dispozitivul utilizatorului.




Operator - UAT Comuna Albeni (iunie 2023)
Valoare amenda -  10.000 lei
Motiv amenda - Investigata a fost demarata in urma unei plangeri referitoare la o posibila incalcare a prevederilor legale privitoare la prelucrarea datelor de catre UAT Comuna Albeni, prin intermediul unor camere de supraveghere video prin care ar fi monitorizati si verificati toti angajatii primariei de catre primar, s-a constatat faptul ca operatorul sanctionat nu a adus la indeplinire masuri dispuse anterior de Autoritatea nationala de supraveghere printr-un plan de remediere si nu a raspuns solicitarilor Autoritatii.




Operator - NN Asigurari de Viata S.A. (septembrie 2023)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana vizata care a reclamat faptul ca operatorul NN i-a incalcat dreptul de opozitie, prin trimiterea de mesaje in scop de marketing, prin mesageria Linkedin. Astfel, operatorul nu a respectat dispozi?iile legale privind prelucrarea datelor cu caracter personal, intrucat nu a luat in considerare cererile petentului, transmise prin posta electronica, prin care si-a exprimat optiunea de a nu mai fi contactat cu mesaje de tip marketing direct fara consimtamantul sau.




Operator - ISRA Center Marketing Research SRL (august 2023)
Valoare amenda -  2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana fizica care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate pe adresa de e-mail. Operatorul a colectat datele personale ale persoanei vizate (spre exemplu, numele, prenumele, adresa de e-mail, locul de munca) in mod indirect, din surse publice, in vederea unei propuneri de participare la o cercetare de piata.




Operator -  Persoana fizica (iunie 2023)
Valoare amenda -  2.000 euro
Motiv amenda - Operatorul sanctionat (medic) a filmat, cu telefonul personal, o pacienta a spitalului in care lucreaza, fara consimtamantul acesteia si ulterior a postat filmarea pe pagina sa de Facebook. Inregistrarea audio-video a condus la dezvaluirea datelor personale ale pacientei, precum imagine, voce, nume, prenume si stare de sanatate. Operatorul a sters in cursul aceleiasi zile inregistrarea de pe pagina sa de Facebook, dar nu inainte ca aceasta sa fie vizualizata de un numar foarte mare de persoane si sa fie preluata si diseminata pe diverse site-uri de internet si canale mass-media.




Operator -  BODY LINE SRL (iulie 2023)
Valoare amenda -  10.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) prin postarea unei inregistrari audio-video pe paginile de socializare ale operatorului. In cursul investigatiei efectuate s-a constatat ca operatorul, prin intermediul paginilor sale de socializare, a diseminat datele petentului din inregistrarea audio-video si a folosit in comentarii un apelativ ce dezvaluia originea etnica a acestuia, fara a avea temei legal. De asemenea, operatorul nu a dat curs cererii petentului de stergere a datelor.




Operator -  UiPath SRL (iulie 2023)
Valoare amenda -  70.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Avand in vedere ca sediul central al operatorului este in Romania, Autoritatea Nationala de Supraveghere a avut rolul de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL. Incalcarea confidentialitatii datelor a constat in publicarea datelor cu caracter personal a unui numar de aproximativ 600.000 de utilizatori ai platformei Academy pe un website accesibil la o adresa URL. Astfel, au fost divulgate neautorizat numele si prenumele fiecarui utilizator, identificatorul unic al utilizatorilor, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY.




Operator -  Med Life SA (iulie 2023)
Valoare amenda -  2.000 euro
Motiv amenda - Amenda a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentei dreptul de acces, refuzand sa-i comunice anumite inregistrari video din receptia unui spital al acestuia. 




Operator - ING BANK (iunie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca a avut loc o transmitere neautorizata, prin intermediul aplicatiei WhatsApp, a unui fisier format .pdf ce continea date cu caracter personal. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale unui numar semnificativ de clienti ai operatorului.




Operator - Farmacia Ardealul SRL (mai 2023)
Valoare amenda -  2.500 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca, pe site-ul operatorului, a fost instalat neautorizat un program de tip malware sub forma unui formular fictiv de colectare a datelor bancare. Aceasta situatie a condus la incalcarea confidentialitatii datelor cu caracter personal (date bancare) ale unui numar semnificativ de clienti. 




Operator - Vodafone Romania SA (mai 2023)
Valoare amenda -  1.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentului dreptul de acces, refuzand sa-i comunice anumite inregistrari ale convorbirilor cu call-center-ul companiei. De asemenea, ANSPDCP a constatat ca operatorul nu a facut dovada ca a transmis un raspuns petentului la cererea sa de exercitare a dreptului de acces in termen de 30 de zile, incalcand astfel prevederile art. 15 alin. (3) din RGPD.




Operator - Dante International SA (mai 2023)
Valoare amenda -  40.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a fost sesizata de autoritatea pentru protectia datelor (DPA) din Ungaria cu privire la plangerile formulate de trei persoane fizice din acest stat impotriva Dante International SA. In cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:

1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu. Acestuia i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata). In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului si prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele eMAG au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere. In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre operator. Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrat de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail. In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionat? pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.




Operator - BRD - Group Societe Generale SA (mai 2023)
Valoare amenda -  2.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat ca operatorul a divulgat ilegal date personale si financiare ale unui client al bancii si ale altor persoane, date care au fost transmise catre o instanta de judecata, fara a exista o solicitare a acesteia si fara a fi luate, in prealabil, masuri prin care sa fie verificate legitimitatea unei astfel de dezvaluiri a datelor personale.




Operator - Artima SA (mai 2023)
Valoare amenda -  8.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcarea a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat ca anumiti angajati ai operatorului au accesat sistemul de supraveghere video si au filmat cu telefonul mobil personal monitorul pe care se derulau inregistrarile sistemului. Ulterior, unul dintre angajati a transmis imaginile unei terte persoane, iar imaginile respective au fost postate de catre aceasta persoana pe Facebook. Astfel, au fost dezvaluite imaginea unei persoane fizice, numarul de inmatriculare, culoarea si marca autovehiculului acesteia, ceea ce a condus la pierdere confidentialitatii datelor cu caracter personal. 




Operator - SC Apollo Salon SRL (mai 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate prin SMS, desi acesta, in repetate randuri, si-a exercitat dreptul de stergere, conform Regulamentului (UE) 2016/679.




Operator - Global Baby Brands SRL (mai 2023)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului mai multe mesaje comerciale SMS, fara consimtamantul acestuia. 




Operator - Automobile Bavaria SRL (mai 2023)
Valoare amenda -  18.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare securitatii datelor cu caracter personal. Incalcarea securitatii s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (nume, prenume, oras, adresa de e-mail, numar de telefon, model autoturism curent, an fabricatie autoturism curent, optiune buy-back etc.) pentru un numar de 290 clienti/potentiali clienti ai operatorului, in perioada iulie 2022-04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului. 




Operator - NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. si NN Asigurari de Viata S.A. (aprilie 2023)
Valoare amenda -  1.500, respectiv 1.000 euro
Motiv amenda - Ambii operatori au fost sanctionati in urma efectuarii unor modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de a pastra paginile web in memoria acesteia. Astfel, a fost permisa vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei, a datelor personale care nu le apartineau. Aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (nume/prenume, CNP, adresa din cartea de identitate etc.), fiind afectate doua persoane vizate. De asemenea, modificarile de configuratie respective nu au fost supuse unui proces de testare la nivelul operatorului. 




Operator - Compania Nationala Posta Romana S.A. (aprilie 2023)
Valoare amenda -  5.000 euro
Motiv amenda - Sanctiunea a fost aplicata in urma unor sesizari referitoare la completarea Formularului 230 de catre operator, cu date cu caracter personal ale propriilor angajati, in vederea redirectionarii procentului de 3,5% din impozitul anual pe venit al acestora catre o fundatie apartinand aceluiasi angajator. In cadrul investigatiei efectuate s-a constatat faptul ca operatorul a completat partial Formularul 230 cu date ale angajatilor (nume/prenume si CNP), fara sa existe o obligatie legala a acestuia in acest sens si fara sa faca dovada indeplinirii conditiilor prevazute in Regulamentul (UE) 2016/679.




Operator - Libra Internet Bank SA (martie 2023)
Valoare amenda -  11.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat refuzul operatorului de a da curs integral cererii de exercitare a dreptului de acces al persoanei vizate, precum si omisiunea de a ii furniza acesteia anumite informatii. Cererea persoanei respective viza accesul la copii ale inregistrarilor video prelucrate de catre operator ce o privesc. In cadrul investigatiei s-a constatat faptul ca operatorul nu a prezentat dovezi din care sa rezulta ca a transmis un raspuns complet la cererea persoanei vizate. Totodata, raspunsul trimit persoanei vizate prin e-mail nu continea informatii cu privire la posibilitatea sa de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac juridica pentru refuzul de a i se comunica informatiile solicitate.




Operator - Tensa Art Design SA (martie 2023)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul i-a transmis mesaje comerciale nesolicitate, desi acesta isi exercizase dreptul de opozitie, solicitand anterior dezabonarea de la serviciul de newsletter.




Operator - Partidul Uniunea Salvati Romania (martie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari, redirectionate de institutia Avocatul Poporului, prin care se reclama faptul ca pe site-ul Partidului Uniunea Salvati Romania au fost postate date cu caracter personal apartinand unor persoane cu grade diferite de dizabilitate. In cadrul investigatiei desfasurate s-a constatat faptul ca operatorul a preluat date cu caracter personal ale unor persoane vizate (nume/prenume, CNP, adresa, numar certificat de expertiza medicala, grad de handicap etc.) din documentele oficiale ale autoritatilor si institutiilor publice. Acestea au fost publicate ulterior pe site-ul partidului, in cadrul unui proiect al USR, cu incalcarea principiilor de prelucrare, fara a avea un temei legal pentru aceasta prelucrare.




Operator - Regency Company SRL (martie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei sesizari de catre o persoana fizica, ce a semnalat faptul ca angajatii si colaboratorii societatii sunt supravegheati audio/video la locul de munca, fara acordul acestora. In cadrul investigatiei s-a constatat ca operatorul, prin intermediul sistemului de supraveghere instalat in birouri si sala de mese, prelucra date cu caracter personal cu nerespectarea principiilor de prelucrare, in lipsa unui temei legal de prelucrare care sa justifice o asemenea intruziune.




Operator - Banca Transilvania SA (martie 2023)
Valoare amenda -  2.000 euro
Motiv amenda - Conform petitiei transmise de catre o persoana fizica, client al operatorului, acesta a solicitat Bancii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesarii de catre acesta doar a contului in EURO. La momentul ridicarii cardului, clientul si persoana care avea drept de operare pe contul respectiv utilizau o aplicatie de Mobile Banking a operatorului, care permitea restrictionarea vizualizarii unor conturi. In urma cererii de actualizare date (Achizitie produse/servicii bancare) pentru o noua aplicatie mobila destinata prestarii de servicii, si a activarii serviciului de Mobile Banking, ruda petentului a putut accesa neautorizat toate conturile titularului, nu doar pe cel in euro, conform cererii acestuia. 




Operator - Tensa Art Design SRL (martie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei plangeri, prin care se reclama faptul ca petentii au primit mesaje comerciale pe numarul de telefon, respectiv adresa de e-mail, desi acestia isi exprimasera optiunea de a nu mai fi contactati prin aceste modalitati. Astfel, ANSPDCP a constatat faptul ca operatorul nu a luat in considerare opozitia petentilor cu privire la primirea mesajelor comerciale prin SMS/e-mail, si a prelucrat datele cu caracter personal ale acestora in scop de marketing direct, incalcand astfel prevederile art. 21 alin (3) din RGPD.




Operator - Persoana fizica (martie 2023)
Valoare amenda -  450 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei sesizari prin care se reclama faptul ca operatorul a postat prin intermediul unei retele de socializare datele cu caracter personal a numeroase persoane fizice. Astfel, persoana fizica respectiva a dezvaluit fatele cu caracter personal (nume/prenume, localitatea de domiciliu) ale mai multor persoane vizate prin intermediul unei retele de socializare, fara consimtamantul acestora.




Operator - Tehnoplus Industry SRL (februarie 2023)
Valoare amenda -  5.000 euro
Motiv amenda - Investigatia a avut loc ca urmare a unei plangeri prin care se reclama faptul ca operatorul prelucra datele cu caracter personal ale petentului prin intermediul sistemului GPS instalat pe masina de serviciu, fara sa fi fost informat cu privire la monitorizarea autovehiculului, scopul si temeiul legal al prelucrarii, si durata de stocare a datelor colectate. Petentul a reclamat si faptul ca informatiile preluate din sistemul GPS erau utilizate de operator in alt scop, decat acela al monitorizarii masinii de serviciu. Investigatia a relevat faptul ca operatorul a prelucrat in mod excesiv, in afara orelor de serviciu, datele de localizare ale petentului, angajat al operatorului. Totodata, s-a constatat ca operatorul a stocat datele respective dupa expirarea duratei de stocare, fara sa prezinte dovezi din care sa rezulta ca depasirea termenului a fost bazata pe motive justificate.




Operator - Med Life S.A. (februarie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari, prin care s-a reclamat faptul ca un pacient a primit, prin e-mail, pe langa buletinul de investigatie propriu, si o serie de fisiere care contineau rezultatele unor investigatii ce apartineau alort cinci pacienti. Documentele atasate contineau numele/prenumele, data nasterii, data examinarii, motivul examinarii, rezultatul investigatiilor medicale, diagnosticul, precum si concluziile rezultate in urma examinarii medicale ale pacientilor respectivi. 




Operator - Centrul Medical dr. Furtuna Dan (februarie 2023)
Valoare amenda -  1.000 euro
Motiv amenda - In cadrul investigatiei desfasurate, Autoritatea Nationala de Supraveghere a constatat faptul ca operatorul a transmis pe numarul de telefon al unei persoane fizice, prin intermediul aplicatiei WhatsApp, un mesaj ce continea date medicale ce apartineau altor doua persoane vizate. Acest incident a condus la incalcarea confidentialitatii datelor prelucrate de catre operator, prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, numar de telefon, rezultate ale unor teste medicale.




Operator - Alianta pentru Unirea Romanilor (februarie 2023)
Valoare amenda -  10.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari conform carora operatorul colecteaza date cu caracter personal prin intermediul unui site, fara a realiza informarea persoanelor vizate si fara indeplinirea conditiilor privind legalitatea prelucrarii. In cadrul investigatiei s-a constatat faptul ca anumite date cu caracter personal (nume/prenume, adresa, seria si numarul cartii de identitate, CNP, numar de telefon, semnatura) erau colectate de catre operator. Colectare a fost efectuata prin completarea si semnarea unui formular online de pe site-ul respectiv, prin transmiterea acestuia descarcat, completat si semnat prin posta, precum si prin completarea si semnarea formularului la centrele speciale organizate de AUR.




Operator - Partidul Uniunea Salvati Romania (februarie 2023)
Valoare amenda -  4.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii s-a propus ca urmare a pierderii confidentialitatii si integritatii datelor stocate intr-un server al operatorului, in urma unui atac cibernetic de tip phishing.




Operator - Modaone SRL (ianuarie 2023)
Valoare amenda -  2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre o persoana vizata a unei plangeri conform careia i s-au transmis mesaje comerciale de pe www.kalapod.net (site detinut de operator) pe adresa de e-mail, desi i se comunicase anterior ca nu va mai primi astfel de mesaje.




Operator - Tinmar Energy SA (februarie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - In cadrul investigatiei efectuate s-a constatat incalcarea securitatii prelucrarii datelor prin accesarea neautorizata a serverului de e-mail al operatorului. Acest lucru a condus la accesul la anumite date cu caracter personal, precum: nume/prenume, e-mail, CNP, numar de telefon si adrese de domiciliu.




Operator - Integral Collection SRL (februarie 2023)
Valoare amenda -  3.000 euro
Motiv amenda - Similar investigatiei anterioare, securitatea datelor cu caracter personal a fost afectat in urma unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal colectate de catre operator.




Operator - Finopro IFN SA (februarie 2023)
Valoare amenda -  2.250 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat faptul ca incalcarea securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, situatie ce a rezultat in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal (date de identificare, date din carti de identitate, adrese, numere de telefon, extrase de cont).




Operator - Medijobs Platform SRL (ianuarie 2023)
Valoare amenda -  5.000 euro
Motiv amenda - Operatorul a transmis catre Autoritatea Nationala de Supraveghere o notificare de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei demarate s-a constatat faptul ca infrastructura IT gestionata de operator a fost accesata neautorizat, facand posibila descarcarea si stergerea anumitor date cu caracter personal. Aceasta situatie a condus la divulgarea neautorizata/accesul neautorizata la date cu caracter personal din CV-urile candidatilor, precum: nume/prenume, e-mail, telefon, istoric profesional/educational etc.




Operator - Tensa Art Design SA (ianuarie 2023)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul ii trimitea constant mesaje nesolicitate. In cadrul investigatiei s-a constatat faptul ca operatorul a transmis persoanei vizate prin intermediul postei electronice, in repetate randuri, mesaje comerciale nesolicitate, desi acesta solicitase anterior dezabonarea de la serviciul de newsletter al operatorului.




Operatori - Dent Estet Clinic SA & medic stomatolog, colaborator al operatorului (decembrie 2022)
Valori amenzi -  1.000 euro,respectiv 1.000 euro
Motiv amenzi - Investigatiile au fost demarate in urma unei plangeri transmise de catre o persoana vizata, prin care s-a reclamat faptul ca operatorii Dent Estet Clinic SA si medicul colaborator i-au divulgat datele de sanatate in mediul online. In cadrul investigatiilor s-a constatat ca cei doi operatori au divulgat informatii medical referitoare la tratamentul ortodontic al petitionarului, prin publicarea unui articol pe un blog de specialitate a unui set de fotografii si radiografii care se puteau corela cu numele persoanei. Totodata, Autoritatea de Supraveghere a constatat ca medicul stomatolog colaborator a prelucrat datele personale privind starea de sanatate a persoanei vizate, in cadrul unui articol postat pe blogul personal, fara sa prezinte dovezi privind obtinerea consimtamantului expres al persoanei vizate, si fara informarea sa prealabila.




Operator - Dante International SA (decembrie 2022)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, conform careia operatorul Dante International SA, detinatoare emag.ro, a incalcat dreptul la stergerea datelor cu caracter personal. Mai exact, operatorul a transmis catre numarul de telefon al petentului un SMS de informare cu privire la ofertele comerciale ale societatii, desi acesta solicitase anterior stergerea contului si a datelor nerelevante.




Operator - BRISTOL LOGISTICS SA (decembrie 2022)
Valoare amenda -  2.000 euro
Motiv amenda - Incidentul de incalcare a securitatii a constat in sustragere unui biblioraft continand dosarele de personal a 12 angajati ai operatorului, conducand astfel la accesarea de date personale de catre persoane neautorizate. Datele cu caracter personal care au fost accesate neautorizat au inclus: date de contact/identificare, pregatirea academica si profesionala, detalii de angajare, informatii referitoare la deduceri de taxe si persoane aflate in intretinere, calificative de medicina muncii. 




Operator - Apa Canal Ilfov SA (decembrie 2022)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Mai exact, pentru a transmite un mesaj electronic catre utilizatorii inregistrati pe portalul online al societatii, operatorul a introdus eronat adresele de e-mail la sectiunea "To", in loc de "BCC". Aceasta incalcare a condus la divulgarea neautorizata/accesul neautorizat la date cu caracter personal (adresa de e-mail), fiind afectat un numar semnificativ de persoane fizice.




Operator - Asociatie de proprietari din Iasi (noiembrie 2022)
Valoare amenda -  500 euro
Motiv amenda - Operatorul a afisat listele de plata ce contineau numele/prenumele fiecarui membru al Asociatiei de proprietari. Petentul plangerii initiale a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale. Pe langa amenda, operatorului i s-a aplicat si masura corectiva de a lua masurile necesare astfel incat sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile RGPD si sa evita prelucrarea (inclusiv dezvaluirea) datelor cu caracter personal fara consimtamantul persoanelor vizate si fara existenta unei alte situatii in care consimtamantul nu este necesar.




Operator - Kaufland Romania SCS (noiembrie 2022)
Valoare amenda -  3.000 euro
Motiv amenda - Operatorul a fost sesizat de o persoana vizata asupra faptului ca o inregistrare video ce contine imagini cu persoana sa din parcarea unuia dintre magazinele Kaufland a aparut pe pagina web a unui ziar local. In urma investigatiei a rezultat ca managerul magazinului respectiv a permis accesul unui angajat in camera de monitorizare, care a captat, cu telefonul mobil personal, imagini ale inregistrarilor video. Ulterior, angajatul a transmis inregistrarea unui tert, iar imaginile au fost publicate online. Astfel, au fost dezvaluite imaginea si numar de inmatriculare a al masinii, fiind afectate de acest incident doua persoane vizate. 




Operator - SUDREZIDENTIAL Broker S.R.L. (noiembrie 2022)
Valoare amenda -  10.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca operatorul nu a luat masuri adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, ceea ce a condus la intocmirea unei evidente in format Excel care continea datele cu caracter personal (nume/prenume, CNP, numar telefon, serie si numar carte de identitate, adresa de e-mail, date bancare, achizitii de imobile, stare civila etc.) ale clientilor operatorului si ale altor persoane fizice, parteneri de viata ai clientilor. Astfel, au fost divulgate neautorizat catre publicul larg datele personale a cel putin 509 persoane vizate, clienti ai operatorului, prin publicarea acestora de catre administratorul societatii pe o anumita pagina de internet. De asemenea, s-a constatat ca operatorul nu a informat persoanele vizate cu privire la aceasta incalcare a securitatii datelor cu caracter personal, incalcandu-se astfel prevederile art. 34 din RGPD.




Operator - Autoritatea Nationala pentru Restituirea Proprietatilor (ANRP) - noiembrie 2022
Valoare amenda -  13.000 lei
Motiv amenda - Investigatia a fost demarata pentru verificarea indeplinirii de catre ANRP a masurilor de remediere dispuse anterior acestui operator. Printr-un proces verbal anterior, operatorul ANRP a fost sanctionat cu avertisment pentru incalcarea prevederilor RGPD, fiind obligat totodata, ca in termen de 20 de zile, sa asigure conformitatea cu dispozitiile RGPD a operatiunilor de prelucrare a datelor cu caracter personal, inclusiv a celor efectuate prin intermediul sistemului de supraveghere video, prin implementarea de masuri tehnice si organizatorice ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor. Intrucat operatorul nu a comunicat masurile luate, in luna noiembrie 2022, s-a efectuat o noua investigatie la ANRP cu privire la indeplinirea masurilor prevazute in planul de remediere anexa la procesul-verbal din septembrie 2022.Totodata, reprezentantii operatorului au sustinut ca nu au avut loc instruiri periodice  ale persoanelor care actioneaza sub autoritatea ANRP.




Operator - Societatea Energetica Electrica S.A. (noiembrie 2022)
Valoare amenda -  5.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiteri de catre operator a unei notificari cu privire la incalcarea confidentialitatii datelor cu caracter personal. Pe langa amenda acordata, operatorul a primit din partea Autoritatii de Supraveghere si recomandarea de a lua toate masurile necesare pentru respectarea prevederilor art. 46 - 49 din RGPD.




Operator - Casa Rusu S.R.L (noiembrie 2022)
Valoare amenda -  2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre Casa Rusu S.R.L. a unei notificari de incalcare a securitatii prelucrarii datelor. Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca a fost introdus in sectiunea de plati on-line a site-ului pe care il detine operatorul un formular neautorizat prin care se colectau date bancare continute de cardurile clientilor. In consecinta, au fost accesate neautorizat date cu caracter personal, precum: nume/prenume, numarul cardului bancar, data si anul expirarii, cod CVC. 




Operator - OTP LEASING ROMANIA IFN SA (noiembrie 2022)
Valoare amenda -  3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. In notificarea transmisa, operatorul a sustinut ca a fost informat de catre o persoana fizica ca aceasta a putut accesa in mod neautorizat platforma My Leasing, prin alterarea adresei de URL si crearea unui cont de administrator. Astfel, a avut acces la datele clientilor operatorului, persoane juridice. In cadrul investigatiei s-a constatat ca unii dintre clientii operatorului, persoane juridice, si-au inrolat in platforma, ca date de contact, adrese de e-mail care contineau nume, prenume, adresa de e-mail si numar de telefon ale reprezentantilor (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate in mod neautorizat pe platforma.




Operator - Medicover S.R.L. (noiembrie 2022)
Valoare amenda -  1.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Incalcarea securitatii prelucrarii datelor s-a produs in urma transmiterii catre un client al operatorului a unui e-mail ce continea acte aditionale ale contractelor de prestari servicii medicale ce apartineau altor clienti ai operatorului. In consecinta, au fost divulgate neautorizat date cu caracter personal precum: nume/prenume, CNP, adresa, semnatura.




Operator - ING Bank NV Amsterdam Sucursala Bucuresti (octombrie 2022)
Valoare amenda -  20.000 euro
Motiv amenda -  Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. La baza notificarii au stat informatii potrivit carora s-au accesat si divulgat neautorizat datele cu caracter personal ale unor persoane vizate: date de identificare asociate actului de identitate, date de contact, date de natura bancara (tranzactii si produse detinute, date asociate cardului), username si parola asociate contului din aplicatia de Internet Banking.




Operator - Asociatia de Proprietari Bld. Pipera 1-2E (octombrie 2022)​
Valoare amenda -  300 euro
Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri din partea unei persoane fizice care a semnalat faptul ca presedintele Asociatiei de Proprietari Bld. Pipera 1-2E a dezvaluit pe grupul de Whatsapp al blocului inregistrari din sistemul de supraveghere video administrat de Asociatie care cuprindeau imagini cu petitionarul. 




Operator - Raiffeisen Bank SA (septembrie 2022)​
Valoare amenda -  28.000 euro
Motiv amenda -  Investigatia a fost demarata ca urmare a transmiterii de catre operator a 17 notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal. 1) In doua situatii, s-a procedat la efectuarea unor operatiuni de prescoring pentru clienti sau potentiali clienti, fara ca documentatia aferenta interogarii sa fie semnata de solicitantii respectivi; 2) Un alt incident a constat in transmiterea prin e-mail a unor date confidentiale catre o alta persoana decat persoana vizata; 3) Un incident similar s-a produs ca urmare a faptului ca doi clienti ai operatorului au depus sesizari asemanatoare, iar in momentul pregatirii e-mailului de raspuns la sesizarea primului client, operatorului a anexat in emailul transmis acestuia documente cu date personale apartinand celuilalt client; 4) Un alt incident a privit o situatie ce implica si suspiciuni de frauda interna in creditare si a constat in efectuarea de operatiuni specifice acordarii unui credit pentru un client persoana fizica, fara prezenta solicitantului la sediul agentiei, si solicitarea de facilitati de tip Card de Credit si actualizarea datelor persoanelor vizate prin modificarea numarului de telefon al acesteia cu numarul de telefon al angajatului bancii si introducerea unei adrese de e-mail fictive; 5) Alt incident similar a constat in prelucrarea de date in legatura cu acordarea a trei facilitati de credit, in numele unei persoane fizice, client al bancii, fara ca aceasta sa fi solicitat in realitate acele credite; 6) O alta incalcare a vizat divulgarea neautorizata a datelor cu caracter personal ale unor clienti catre alti clienti ai operatorului.   



Operator - SC Das Sense Society SRL (octombrie 2022)
Valoare amenda -  1.000 euro
Motiv amenda -  Conform plangerii formulate catre Autoritatea de Supraveghere, la punctul de lucru al operatorului erau instalate camere de supraveghere care surprindeau imagini atat de pe domeniul public (trotuar si strada), cat si de pe domeniul privat (rampa si scarile de acces ale unui complex de locuinte, accesul intr-un supermarket).




Operator - SC Prestige Media PHG SRL (octombrie 2022)
Valoare amenda -  5.000 euro
Motiv amenda -  Investigatia a fost demarata ca urmarea unei sesizari, conform careia pe site-ul operatorului au fost publicate documente confidentiale, printre care si decizii de incetare a contractelor individuale de munca ale unor angajati ai unei alte societati. In cadrul investigatiei s-a constatat ca pe site-ul respectiv erau afisate 23 de astfel de decizii ce contineau date cu caracter personal (nume/prenume, functie, nr. contract de munca, abateri disciplinare) ale mai multor persoane fizice care nu aveau niciun fel de raportui juridice cu SC Prestige Media PHG SRL.




Operator - Compania Nationala Posta Romana SA (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda -  Operatorul, in calitate de imputernicit, a pierdut anumite trimiteri postale care contineau decizii de stabilire a drepturilor de pensie, carnete de munca si certificate de deces, fiind afectate 35 de persoane fizice.




Operator - Persoana fizica (octombrie 2022)
Valoare amenda - 150 euro
Motiv amenda - In calitate de operator, o persoana fizica care a avut acces la anumite date divulgate accidental, a folosit neautorizat datele respective, fara consimtamantul persoanei careia ii apartineau datele.




Operator - SC Materiale Constructii Online SRL (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca reprezentatii site-ului www.depozit-online.ro nu au dat curs solicitarii sale de stergere a contului.




Operator - Persoana fizica (septembrie 2022)
Valoare amenda - 150 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat o posibila incalcare a securitatii prelucrarii de catre site-ul https://centralpoint.ro. In urma investigatiei Autoritatea Nationala de Supraveghere a constatat ca persoana fizica respectiva, detinatorul site-ului, a publicat pe acest site o serie de date cu caracter personal, precum: CNP, numarul de telefon, seria si numarul actului de identitate, detalii bancare (achizitii de imobile), stare civila. In urma dezvaluirii neautorizate a acestor date au fost afectate 383 de persoane fizice.




Nume operator - Banca Comerciala Romana SA (septembrie 2022)
Valoare amenda -  2.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Potrivit formularului de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unei erori tehnice a unei aplicatii IT a operatorului. In cadrul investigatiei s-a constatat ca au fost trimise e-mailuri continand datele cu caracter personal ale unor clienti catre alti clienti. Acest lucru a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, adresa de domiciliu, numar de telefon, adresa de e-mail, alaturi de informatii financiare generate eronat privind castigul cumulat, pierderea cumulata, castigul net, pierderea neta etc. In urma acestui incident au fost afectate 564 de persoane fizice vizate, clienti ai bancii.




Nume operator - Vodafone Romania SA (septembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a doua notificari de incalcarea a securitatii datelor. In cadrul investigatiei s-a constatat ca operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de catre imputernicitii sai, ceea ce a permis unor terte persoane sa achizitioneze in mod fraudulos telefoane noi in numele unor clienti ai operatorului. Totodata, aceste terte persoane au avut acces la datele din contractele incheiate de clienti cu operatorul si a datelor din conturile personale My Vodafone, precum: nume/prenume, adresa, CNP, numarul de telefon de contact, codul PUK, numarul de contact al titularului contului, seria SIM a cartelei initiale, valoarea ultimei facturi neplatite si traficul de date.




Nume operator - Bitfactor SRL (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Incalcarea securitatii datelor s-a produs ca urmare a functionarii defectuase a unei aplicatii a operatorului care trimitea comunicari de marketing utilizatorilor site-ului acestuia, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal a unui numar de 1.757 de persoane vizate, utilizatori ai site-ului operatorului.




Nume operator - Curtea Veche Publishing SRL (august 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Una dintre incalcari s-a produs ca urmare a postarii pe un forum public a unui fisier care continea baza de date a clientilor operatorului din perioada 2019-2021. Ca urmare, datele personale (nume/prenume, numar de telefon, e-mail, adresa IP) a 10.739 de clienti ai operatorului au fost divulgate. Cea de-a doua incalcare a securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii anumitor date cu caracter personal a aproximativ 100 de persoane vizate (angajati si colaboratori ai operatorului).




Nume operator -  SC Raiffeisen Bank SA (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca un operator ii transmite pe numarul sau de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani catre anumite persoane, transferuri pe care petentul nu le-a efectuat. In cadrul investigatiei efectuate s-a constatat ca la nivelul SC Raiffeisen Bank SA, in calitate de imputernicit, s-a introdus in mod eronat numarul de telefon al petentului in cadrul aplicatiei pusa la dispozitie de operator prin care se initiau tranzactii la solicitarea clientilor. De asemenea, s-a retinut faptul ca petentul nu a fost client al SC Raiffeisen Bank SA si nu a solicitat initierea unor tranzactii prin intermediul aplicatiei operatorului.

Nume operator -  Realmedia Network SA (imobiliare.ro) (august 2022)
Valoare amenda - 8.000 euro
Motiv amenda - In urma unor informatii din mediul on-line, Autoritatea de Supraveghere s-a autosesizat cu privire la o posibila bresa de securitate a datelor cu caracter personal aparuta la Realmedia Network SA. In cadrul investigatiei efectuate s-a constatat faptul ca incalcarea securitatii prelucrarii datelor s-a produs la nivelul unui serviciu utilizat de operator pentru operarea platformei imobiliare.ro. Aceasta situatie a condus la divulgarea neautorizata sau accesul neautorizat la urmatoarele date cu caracter personal: nume, prenume, numar de telefon, adresa de e-mail, adresa postala, cod numeric personal, semnatura, copii ale cartilor de identitate, inclusiv coduri de identificare, functie/calitate, date bancare, informatii incluse in extrase de carte funciara/schite cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor, ceea ce a condus la afectarea unui numar de 194.309  persoane fizice vizate.

Nume operator -  Alpha Bank Romania SA (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda -  Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor care a fost transmisa de Alpha Bank Romania SA, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. Astfel, potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicatiei de Whatsapp. In cadrul efectuarii investigatiei a rezultat ca aceasta incalcare a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele si prenumele, CNP, functia si semnatura, tipul de credit, numarul si data semnarii contractului, perioada de creditare si data ultimei scadente, fiind afectate de incident un numar de 4  persoane fizice vizate.

Nume operator -  Enel Energie Muntenia S.A. (iulie 2022)
Valoare amenda - 10.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza. In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere. De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale. Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.

Nume operator - CDI Transport Intern si International SRL (iulie 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care a fost semnalat faptul ca pe site-ul societatii nu se regasesc informatii privind modalitatea de colectare a datelor cu caracter personal, privind drepturile prevazute la art. 15-22 din Regulamentul General privind Protectia Datelor de care beneficiaza persoanele vizate, privind modul de exercitare a acestor drepturi si nici cu privire la faptul ca operatorul are obligatia de a informa persoanele vizate in situatia unei incalcari a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate, ca urmare a faptului ca operatorul nu a furnizat informatiile solicitate de institutia noastra, in termenul legal, s-a constatat incalcarea prevederilor art. 58 alin. (1) lit. (a) si (e) din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca operatorul nu a asigurat o informare clara, completa si corecta a persoanelor vizate ale caror date cu caracter personal se prelucreaza de catre societate intrucat nu a oferit toate informatiile prevazute de dispozitiile art. 12-22 din Regulamentul General privind Protectia Datelor, cum ar fi cele referitoare la scopul prelucrarii si temeiul juridic, identitatea si datele de contact ale operatorului, perioada pentru care vor fi stocate datele sau criteriile utilizate pentru a stabili aceasta perioada, conditiile de exercitare a drepturilor. Ca atare, s-a constatat incalcarea prevederile art. 12 alin. (1) din Regulamentul General privind Protectia Datelor

Nume operator -  SC Wabag Water Services SRL (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unor plangeri din partea unei petente care reclama faptul ca datele sale cu caracter personal au fost utilizate de propriul angajator (SC Wabag Water Services SRL), fara consimtamantul sau, in vederea inscrierii si programarii sale pe platforma nationala de vaccinare pentru efectuarea vaccinului impotriva Covid-19. In cadrul investigatiei s-a retinut ca operatorul operatorul  a utilizat datele cu caracter personal ale petentei (angajata a operatorului) in scopul inscrierii si programarii acesteia pe platforma nationala de programare pentru vaccinarea impotriva Covid-19, in anul 2021, fara a face dovada existentei consimtamantului petentei si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a) si alin. (2)  si ale art. 6 din Regulamentul (UE) 2016/679.

Nume operator -  Denmar Nacrut SRL ( iulie 2022)
Valoare amenda - 2.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana fizica a semnalat faptul ca persoane vizate, clienti ai SC Denmar Nacrut SRL, erau supravegheate video in timpul prestarii unor servicii cosmetice. In cadrul investigatiei efectuate, s-a constatat ca operatorul  detine un sistem de supraveghere video montat atat in interiorul, cat si in exteriorul spatiului unde isi desfasoara activitatea operatorul, care monitorizeaza atat angajatii cat si clientii. De asemenea, s-a retinut faptul ca operatorul nu a facut dovada realizarii unei informari clare, complete si corecte a angajatilor sai si a persoanelor vizate ale caror date cu caracter personal (respectiv imaginea) se prelucreaza prin intermediul camerelor video de supraveghere, prin comunicarea tuturor informatiilor prevazute de art. 13 din Regulamentul General privind Protectia Datelor si in conditiile de transparenta din art. 12 din acelasi regulament.

Totodata, a rezultat ca operatorul nu a facut dovada unor incidente existente anterior care sa justifice interesul sau legitim care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate. Astfel, s-a constatat ca operatorul a prelucrat in mod excesiv datele (imaginile) clientilor si angajatilor sai, prin intermediul camerei video instalate in incinta unde se efectuau tratamente cosmetice. Datele astfel prelucrate nu au fost adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care erau prelucrate (“reducerea la minimum a datelor”). Scopul declarat de operator putea fi realizat prin mijloace mai putin intruzive pentru viata privata a clientilor si angajatilor sai.

Nume operator - Sephora Cosmetics Romania S.A. ( iulie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri din partea unei petente care reclama faptul ca a primit pe numarul sau de telefon mesaje comerciale tip SMS, din partea Sephora Cosmetics Romania SA. Totodata aceasta sustinea ca in urma solicitarilor sale repetate, transmise la finalul anului 2020, de a nu-i mai fi utilizate datele in scop de marketing, Sephora a informat-o la inceputul anului 2021 ca datele sale nu vor mai fi prelucrate in scop de marketing. Cu toate acestea, ulterior, in cursul anului 2021, petenta a primit mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics Romania SA.
In cadrul investigatiei efectuate s-a constatat ca Sephora Cosmetics Romania SA a transmis petentei, pe numarul sau de telefon, in mai multe randuri, in cursul anului 2021, mesaje comerciale in scop de marketing, desi aceasta, prin cererile transmise operatorului in anul 2020, isi exercitase dreptul de opozitie cu privirea la utilizarea numarului propriu de telefon in scop de marketing.




Nume operator - S.C. Delivery Solutions S.A. (Sameday) ( iunie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vanzare pe site-ul https://raidforums.com/Thread-SELLING-=ae-SAMEDAY-RO-Romanian-Postal-Service. In cadrul investigatiei efectuate, s-a retinut faptul ca S.C. Delivery Solutions S.A. (Sameday) este persoana imputernicita a doua societati pentru prelucrarea datelor cu caracter personal, fiind obligata sa ia toate masurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, asa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv impotriva divulgarii si/sau accesului neautorizat la date. De asemenea, s-a constatat ca date cu caracter personal apartinand unui numar de 26566 persoane fizice vizate (numar si data AWB – documentul de transport ce insoteste obligatoriu expedierea oricarui colet, indicative curieri, nume expeditor, nume si prenume destinatar, numar de telefon, adresa, status livrare, tipul serviciului, greutate colet, suma de incasat, intervalul de livrare) erau disponibile spre vanzare pe forumul RaidForums si puteau fi accesate utilizand link-ul https://raidforums.com/Thread-SELLING-=æ-SAMEDAY-RO-Romanian-Postal-Service.

Nume operator - E Software Concept SRL (iunie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca, pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente (cum ar fi facturile emise de E SOFTWARE CONCEPT SRL catre clientii sai, persoane fizice si juridice, si AWB-urile - documente de transport ce insotesc obligatoriu expedierea coletelor, emise de solicitantii serviciilor de curierat) prin care s-au dezvaluit urmatoarele date cu caracter personal: nume, prenume, adresa expeditor si destinatar, numar de telefon, username si parola, adrese de e-mail. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale clientilor operatorului (persoane fizice si juridice). Astfel, societatea E SOFTWARE CONCEPT SRL a fost sanctionata cu amenda pentru incalcarea prevederilor art. 32 alin. (1) lit. b) si alin. (2) din Regulamentul General privind Protectia Datelor, intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul a fost sanctionat cu amenda intrucat nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale.

Nume operator - Continental Automotive Romania SRL (iunie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator in cursul anului 2022, in temeiul dispozitiilor Regulamentului General privind Protectia Datelor, a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a retinut ca operatorul a descoperit la sediul sau din Timisoara, in afara sistemului oficial de camere, un numar de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate in mijlocul zonei de productie.

Nume operator - SC Interactions Marketing SRL (mai 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor plangeri formulate de o persoana vizata care a reclamat faptul ca un operator a transmis prin e-mail un mesaj comercial catre mai multe persoane dezvaluind astfel adresele de e-mail ale acestora. In cadrul investigatiei efectuate s-a constatat ca SC Interactions Marketing SRL, in calitate de imputernicit, a derulat o campanie pentru operatorul reclamat, in cadrul careia a transmis un mesaj comercial catre adresele de posta electronica apartinand unui numar de 27 de persoane, fara ascunderea acestora, permitand astfel divulgarea neautorizata a adreselor de e-mail catre ceilalti destinatari.

Nume operator - Asociatia de Proprietari Aviatiei Park (mai 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor. In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
 





Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.

Nume operator - Kaufland Romania SCS (mai 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator, in cursul anului 2022, a doua notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor. Una dintre incalcarile securitatii datelor a constat in accesul neautorizat al unor angajati ai operatorului la datele cu caracter personal ale clientilor Kaufland. Astfel, angajatul operatorului care a preluat plangerea unei petente nu a respectat procedura interna de solutionare a unei reclamatii si a permis vizualizarea documentului de catre agentul de paza care ulterior a utilizat necorespunzator respectivele date, situatie ce a condus la incalcarea confidentialitatii datelor personale ale petentei. In cadrul investigatiei s-a constatat ca operatorul nu a asigurat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la datele cu caracter personal nu le prelucreaza decat la cererea operatorului, incalcandu-se prevederile art. 29 si art. 32 din Regulamentul General privind Protectia Datelor. Cea de-a doua incalcare a securitatii datelor a constat in transmiterea eronata catre un alt destinatar a unei foi de comanda a unui client prin intermediul unor platforme de livrare. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, numar de telefon) ale clientului Kaufland ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru in cazul livrarilor prin intermediul platformelor partenere.

Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.

Nume operator - S.C. Wine Point S.R.L. (mai 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana vizata a semnalat faptul ca a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat si altor persoane,  adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari. In cadrul investigatiei efectuate, s-a constatat ca operatorul nu a implementat suficiente masuri tehnice si organizatorice in vederea asigurarii confidentialitatii datelor personale prelucrate prin transmiterea de la adresa de posta electronica a operatorului a unui mesaj comercial promotional catre adresele de e-mail ale mai multor persoane vizate.

Nume operator - MEDLIFE S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari cu privire la o posibila incalcare a dispozitiilor RGPD, ca urmare a identificarii de catre o persoana fizica, a unor documente care contineau date cu caracter personal, inclusiv date sensibile, aruncate la un cos de gunoi al unei unitati administrativ-teritoriale. Documentele atasate sesizarii contineau date cu caracter personal ale unor clienti/pacienti ai MEDLIFE S.A.
In cadrul investigatiei s-a constatat ca operatorul MEDLIFE S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de confidentialitate si securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicita a datelor cu caracter personal ale clientilor proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicala efectuata, suma achitata, cont bancar) si ale angajatilor sai (salariu avans), in perioada iulie 2020 – august 2020. Desi operatorul avea obligatia de a lua masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, s-a constatat ca nu a luat masurile necesare, incalcand astfel prevederile art. 32 alin. (1) lit. b), alin. (2) si alin. (4) din Regulamentul (UE) 2016/679.

Nume operator - Kredyt Inkaso Investments RO S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca operatorul  a dezvaluit datele sale personale si ale copilului sau minor catre anumite unitati medicale.
In cadrul investigatiei efectuate, s-a constatat ca operatorul a dezvaluit datele petentei (adresa de domiciliu, cod numeric personal, functia detinuta, date privind contractul de munca, date din certificatele de concediu medical) catre anumiti medici si anumite unitati medicale cu care aceasta nu avea niciun fel de raporturi juridice. De asemenea, s-a constatat ca prelucrarea datelor privind starea de sanatate ale petentei nu putea fi efectuata in temeiul interesului legitim intrucat acesta nu se regaseste printre conditiile de prelucrare prevazute de art. 9 din RGPD.
Asadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvaluirea ilegala si excesiva a acestora, inclusiv a datelor privind starea de sanatate, cu incalcarea principiilor de prelucrare pevazute de art. 5 alin. (1) lit. a), c), alin. (2) si a conditiilor de legalitate prevazute de art. 6 si art. 9 din RGPD. Totodata, s-a constatat ca operatorul nu a respectat termenele pentru notificarea incidentului de securitate produs in momentul dezvaluirii datelor petentei catre un medic cu care petenta nu avea raporturi juridice, incalcandu-se astfel prevederile art. 33 din RGPD.




Nume operator - MAYR MELNHOF PACKAGING ROMANIA S.R.L. (aprilie 2022)
Valoare amenda - 1.500 euro
Motiv amenda - In cadrul investigatiei efectuate, s-a constatat ca operatorul MAYR MELNHOF PACKAGING ROMANIA S.R.L. avea montat un sistem de camere de supraveghere, iar unele dintre aceste camere supravegheau inclusiv sala de mese si locul de fumat. Astfel, a rezultat ca operatorul monitorizeaza excesiv salariatii in sala de mese si spatiile destinate fumatului, raportat la scopul invocat de a asigura sanatatea si securitatea salariatilor si al securitatii bunurilor. In acest context, s-a constatat ca imaginile nu au fost prelucrate intr-un mod adecvat, relevant si limitat la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (principiul reducerii la minimum a datelor), ceea ce constituie o incalcarea a dispozitiilor art. 5 alin. (1) lit. b) si c), alin. (2) si art. 6 din Regulamentul General privind Protectia Datelor.

Nume operator - LORIS FUEL SHOP SRL (aprilie 2022)
Valoare amenda - 1.000 euro
Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama publicarea pe Facebook a unor imagini in care acesta era surprins si care proveneau de pe monitorul apartinand unui sistem de supraveghere video instalat intr-o statie de alimentare cu carburant din judetul Harghita.
In cadrul investigatiei s-a constatat ca operatorul LORIS FUEL SHOP SRL, in calitate de persoana imputernicita, nu a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate cu privire la imaginile inregistrate prin intermediul sistemului de televiziune instalat in statiile folosite, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati). Aceasta a condus la vizualizarea si filmarea de catre terte persoane neautorizate a imaginilor camerelor video din punctul de lucru din judetul Harghita, ulterior fiind dezvaluite pe o retea de socializare, incalcandu-se astfel prevederile art. 29 si 32 alin. (4) din Regulamentul (UE) 2016/679.

Nume operator - Condor SA  (martie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca operatorul Condor SA a divulgat date personale de natura salariala ale angajatilor ori fostilor angajati ai acestui operator catre persoane neautorizate. In cadrul investigatiei efectuate, s-a constatat ca a avut loc un acces neautorizat la unele documente neparolate care contineau o serie de date personale ale angajatilor ori fostilor angajati, cum ar fi: locul de munca, numele, prenumele, functia, salariul de incadrare, suma pentru avans, contul bancar, codurile numerice personale. In consecinta, Autoritatea Nationala de Supraveghere a constatat ca operatorul Condor SA nu a prezentat dovezi din care sa rezulte ca a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate ale angajatilor ori fostilor sai angajati.

Nume operator - Kaufland Romania SCS (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri, iar in cadrul investigatiei efectuate, s-a constatat ca operatorul Kaufland nu i-a furnizat petentului o copie a tuturor inregistrarilor din sistemul de supraveghere video, ceea ce constituie o incalcare a art. 15 alin. (3) din Regulamentul General privind Protectia Datelor. Astfel, s-a constatat ca operatorul nu a transmis, la cererea persoanei vizate, o copie integrala a inregistrarilor ce o privesc, din incinta magazinului, desi acestea erau disponibile la momentul solicitat de aceasta.

Nume operator - Briza Land S.R.L. (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama faptul ca nu este multumit de raspunsul primit din partea operatorului la cererea sa de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, s-a constatat ca operatorul nu a comunicat petentului toate informatiile cu privire la prelucrarea datelor sale personale (cum ar fi datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor), incalcandu-se astfel prevederile art. 15 din RGPD.

Nume operator - Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” (februarie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) fara acordul si informarea sa prealabila, prin postarea unei adrese primite de acesta de la o institutie publica pe un grup de WhatsApp folosit de avocatii unui barou. In cadrul investigatiei s-a constatat ca Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” a dezvaluit datele personale ale persoanei vizate (nume, prenume, adresa de domiciliu, informatii referitoare la un dosar aflat pe rolul unei instante) pe un grup de WhatsApp format din 247 de membri, fara temei legal, in mod excesiv si incompatibil cu scopul initial al colectarii lor, precum si fara adoptarea unor masuri tehnice si organizatorice pentru pastrarea confidentialitii acestor date, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a), b), c), f) si alin. (2), precum si ale art. 6 din Regulamentul General privind Protectia Datelor.

Nume operator - IAMSAT Muntenia SA (februarie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca IAMSAT Muntenia SA a continuat sa prelucreze datele sale personale dupa desfacerea contractului de munca, in anul 2020. Printr-o cerere, aceasta persoana a adus la cunostinta operatorului ca nu isi da consimtamantul pentru utilizarea adresei sale de e-mail si ca se opune prelucrarii datelor sale personale de catre IAMSAT Muntenia SA sau/si de terti persoane fizice sau juridice, dupa incetarea contractului de munca. In cadrul investigatiei efectuate, s-a retinut ca IAMSAT Muntenia SA nu a prezentat dovezi cu privire la informarea prealabila si completa a angajatilor sai, inclusiv a persoanei vizate, inainte de a incepe prelucrarea datelor personale ale acestor persoane prin mijloacele de supraveghere video instalate la locul lor de munca, puse in functiune de la jumatatea anului 2020, desi operatorul avea obligatia informarii salariatilor potrivit art. 12-13 din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca IAMSAT Muntenia SA nu a solutionat cererea persoanei vizate si nu i-a comunicat un raspuns privind masurile adoptate in urma exercitarii dreptului de opozitie in cadrul termenelor legale, in conformitate cu dispozitiile art. 12 alin. (3), raportate la art. 21 din Regulamentul General privind Protectia Datelor.

Nume operator - S.C. Nobiotic Pharma SRL (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a fost sanctionat contraventional pentru incalcarea art. 58 alin. (1) din Regulamentul General privind Protectia Datelor, referitoare la obligatia operatorului de a furniza informatiile necesare Autoritatii Nationale de Supraveghere. Investigatia s-a desfasurat ca urmare a unor plangeri prin care petentul reclama faptul ca operatorul i-a transmis mesaje comerciale nesolicitate de tip SMS fara a avea consimtamantul sau. Intrucat operatorul nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, acesta a fost sanctionat cu amenda.

Nume operator - Societatea Civila Medicala Policlinica Tommed (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit anumite date personale, inclusiv de sanatate, ale unei persoane fizice catre un alt operator. In cadrul efectuarii investigatiei s-a constatat ca operatorul a dezvaluit respectivele date cu caracter personal fara respectarea principiilor de prelucrare si fara respectarea conditiilor legale de prelucrare ale datelor personale, inclusiv a celor de sanatate, si fara informarea prealabila a persoanei implicate (pacient al operatorului).



Nume operator - Telekom Romania Communications SA (noiembrie 2021)
Valoare amenda - 6.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata prin care a reclamat primirea, din partea operatorului, pe adresa sa de e-mail, a unor facturi si mesaje de notificare cu privire la restantele acumulate de o alta persoana, abonat al aceleiasi societati. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a colectat si prelucrat in mod eronat anumite date cu caracter personal inexacte, ceea ce a condus si la dezvaluirea ilegala a unor date personale catre o alta persoana fizica.



Nume operator - Valoris Center S.R.L. (octombire 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de un operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor.
Potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor cu caracter personal s-a produs ca urmare a faptului ca un angajat call center al Valoris Center S.R.L. (persoana imputernicita de operator) a atasat, dintr-o eroare, catre un client al operatorului, un fisier excel continand datele clientilor respectivului operator care au serviciul de Internet Banking. In incident au fost afectate datele a 11/160 persoane.


Nume operator - Vodafone Romania​ (octombire 2021)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentul General privind Protectia Datelor sau al Regulamentului (UE) nr. 611/2013. Aceasta situatie a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal ale unui numar de 6 persoane fizice, in perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajatilor operatorului la datele cu caracter personal ale clientilor Vodafone fara a exista solicitari din partea acestora).  Astfel, operatorul a prelucrat datele cu caracter personal a 64 persoane fizice prin accesarea neautorizata a datelor acestora de catre angajatii operatorului in perioada 04 noiembrie 2020 – 22 iunie 2021.



Nume operator -  S.P.E.E.H. Hidroelectrica S.A.​ (octombire 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal. Autoritatea nationala de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare. Aceasta situatie a condus la accesarea ori divulgarea ilicita catre destinatari eronati, a datelor cu caracter personal ale unui numar de 325 persoane fizice.

Nume operator -   IKEA Romania SA (septembrie 2021)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de IKEA ROMANIA SA catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a unei notificari de incalcare a securitatii datelor cu caracter personal. Astfel, conform mentiunilor din formularul de notificare, IKEA ROMANIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participantii au incarcat in platforma on-line dedicata membrilor desenele proprii, impreuna cu formularele de participare, care contineau date lor cu caracter personal dar si ale parintilor/tutorilor legali, inclusiv consimtamantul acestora. In vederea votarii celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, impreuna cu datele cu caracter personal cuprinse in formularele de participare.

Nume operator -   Glove Technology SRL (septembrie 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Sanctiunea a fost  acordata intrucat s-a constatat faptul ca operatorul  a prelucrat date cu caracter personal ale angajatilor sai prin utilizarea unui sistem audio-video (imagine si voce), fara a face dovada respectarii temeiurilor legale prevazute de art. 6 alin. (1) din RGPD, respectiv obtinerea consimtamantului persoanelor vizate, indeplinirea unei obligatii legale sau prevalenta interesului sau legitim asupra intereselor, drepturilor si libertatilor persoanelor vizate. De asemenea, s-a constatat faptul ca operatorul a luat masura monitorizarii angajatilor la locul de munca prin sisteme de supraveghere audio-video fara a respecta primul principiu statuat de art. 5 alin. (1) lit. a) din RGPD, potrivit caruia operatorul are obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoana vizata.

Nume operator -   Asociatia Asistentei Rutiere A-Car (august 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la faptul ca Asociatia Asistentei Rutiere A-Car prelucreaza date cu caracter personal ale minorilor (imagine), prin intermediul site-ului. Intrucat in cadrul investigatiei declansate operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost mai intai sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679, in temeiul art. 13 din Legea nr. 190/2018. De asemenea, Autoritatea nationala de supraveghere a emis Planul de remediere prevazut de art. 13 alin. (1) din Legea 190/2018, cu masura de a furniza toate informatiile solicitate de institutia noastra in termen de 5 zile lucratoare de la data comunicarii procesului-verbal. Asociatia Asistentei Rutiere A-Car nu a adus la indeplinire masurile prevazute in planul de remediere comunicat de Autoritatea nationala de supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.

Nume operator -   Actamedica SRL (august 2021)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Actamedica SRL  a transmis o informare unei persoane fizice in legatura cu pierderea probelor sale biologice si a unei sume de bani trimise prin intermediul unei firme de curierat, coletul ajungand deteriorat la destinatar. La solicitarea de a i se comunica ce date personale i-au fost expuse cu aceasta ocazie si daca ANSPDCP a fost notificata in legatura cu acest incident, in raspunsul trimis operatorul a indicat persoanei fizice datele de contact ale avocatului societatii si o adresa de e-mail de la firma de curierat catre care sa isi exprime ”doleantele”. In cursul investigatiei demarate Autoritatea de Nationala de Supraveghere a constatat ca Actamedica SRL nu a adoptat suficiente masuri de securitate, conform art. 28 alin. (1) si 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrarii, fapt care a condus la producerea unui incident de securitate. In acest context, s-a constatat ca nu au fost respectate prevederile art. 28 alin. (1) si art. 32  din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul nu a notificat la Autoritatea Nationala de Supraveghere incidentul de securitate sus mentionat, incalcand astfel prevederile art. 33 din Regulamentul General privind Protectia Datelor. Cu aceeasi ocazie, Autoritatea de Nationala de Supraveghere a retinut ca Actamedica SRL nu a prezentat dovezi din care sa rezulte ca a comunicat un raspuns pe adresa postala a persoanei fizice vizate cu privire la categoriile de date personale ce i-au fost expuse cu ocazia incidentului respectiv, raportat la cererea expresa transmisa. Prin urmare, s-a constatat ca nu au fost respectate prevederile art. 12 alin. (3) si 15 alin. (1) din Regulamentul General privind Protectia Datelor.

Nume operator -   Amenda data unei persoane fizice (iulie 2021)
Valoare amenda - 200 euro
Motiv amenda - Operatorul a fost reclamat cu privire la faptul ca, prin distribuirea unor materiale in cadrul gospodariilor din comuna si prin postarea pe contul personal de Facebook a dezvaluit date cu caracter personal, pe de o parte, ale unei persoane fizice prin difuzarea unei fotografii a fluturasului de salariu ce apartinea acesteia si, pe de alta parte, a dezvaluit date cu caracter personal ale fiului minor al unei alte persoane vizate, continute de o fotografie a unei file din Registrul de evidenta a copiilor inscrisi la Gradinita cu Program Normal din comuna respectiva.

Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.

Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

• masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
• masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
• masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
• masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.

• pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
• pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
• pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.