Amenzi GDPR
Nume operator - La Santrade S.R.L. (iunie 2021)
Valoare amenda - 2.000 euro
Nume operator - S.C. Dreamtime Call S.R.L (mai 2021)
Valoare amenda - 2.000 euro
Nume operator - Vodafone Romania S.A. (mai 2021)
Valoare amenda - 1.000 euro
Nume operator - Asociatie de Proprietari din municipiul Iasi (mai 2021)
Valoare amenda - 500 euro
Nume operator - Banca Comerciala Romana S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - Persoana fizica (aprilie 2021)
Valoare amenda - 200 euro
Nume operator - Telekom Romania Communications SA (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - World Class Romania S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - Lugera & Makler Broker S.R.L (martie 2021)
Valoare amenda - 1.500 euro
Nume operator - S.C. TIP TOP FOOD INDUSTRY S.R.L. (martie 2021)
Valoare amenda - 5.000 euro
Nume operator - TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. (februarie 2021)
Valoare amenda - 13.000 euro
Nume operator - S.C. Medicover S.R.L. (februarie 2021)
Valoare amenda - 2.000 euro
Nume operator - ING Bank N.V. Amsterdam, Sucursala Bucuresti (februarie 2021)
Valoare amenda - 1.000 euro
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (februarie 2021)
Valoare amenda - 2.000 euro
Nume operator - Amenda data unei persoane fizice (februarie 2021)
Valoare amenda - 500 euro
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (ianuarie 2021)
Valoare amenda - 1.000 euro
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (decembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Qualitance QBS SA (decembrie 2020)
Valoare amenda - 1.000 euro
Nume operator - S.C. C&V Water Control S.A. (noiembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Banca Transilvania SA (noiembrie 2020)
Valoare amenda - 100.000 euro
Nume operator - DADA CREATION S.R.L. (noiembrie 2020)
Valoare amenda - 5.000 euro
Nume operator - Vodafone Romania S.A. (noiembrie 2020)
Valoare amenda - 4.000 euro
Nume operator - S.C. Marsorom S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Asociația de proprietari Militari R (septembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Megareduceri TV S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Sanatatea Press Group S.R.L. (august 2020)
Valoare amenda - 2.000 euro
Nume operator - Asociatie de proprietari (august 2020)
Valoare amenda - 500 euro
Nume operator - Compania Nationala Posta Romana (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - S.C. Viva Credit IFN S.A (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - SC CNTAR TAROM SA (iulie 2020)
Valoare amenda - 5.000 euro
Nume operator - Proleasing Motors SRL (iunie 2020)
Valoare amenda - 15.000 euro
Nume operator - Enel Energie Muntenia SA (mai 2020)
Valoare amenda - 4.000 euro
Nume operator - Telekom Romania Communications SA (aprilie 2020)
Valoare amenda - 3.000 euro
Nume operator - Estee Lauder Romania SRL (aprilie 2020)
Valoare amenda - 3.000 euro
Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
Valoare amenda - 5.000 euro
Nume operator - Enel Energie Muntenia S.A (februarie 2020)
Valoare amenda - 3.000 euro
Valoare amenda - 20.000 euro
Nume operator - Asociatia "SOS Infertilitatea"
Valoare amenda - 2.000 euro
Nume operator - Dante International S.A (februarie 2020)
Valoare amenda - 3.000 euro
Nume operator - Vodafone Romania S.A. (februarie 2020)
Valoare amenda - 3.000 euro
Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
Valoare amenda - 10.000 euro
Nume operator - Hora Credit IFN S.A. (decembrie 2019)
Valoare amenda - 14.000 euro
Nume operator - Asociatie de proprietari (noiembrie 2019)
Valoare amenda - 500 euro
Valoare amenda - 2.000 euro
Valoare amenda - 2.000 euro
Motiv amenda - In cadrul investigatiei demarate ca urmare a unei plangeri, La Santrade S.R.L. nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, incalcand astfel prevederile art. 83 alin. (5) lit. e) din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul respectiv nu a adoptat masuri prin care sa asigure exercitarea efectiva a drepturilor persoanelor vizate, fapt care a condus la nesolutionarea cererii persoanei vizate prin care solicita stergerea datelor sale personale (drept prevazut de art. 17 din Regulamentul General privind Protectia Datelor).
Nume operator - S.C. Dreamtime Call S.R.L (mai 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a demarat ca urmare a unei plangeri prin care se reclama faptul ca SC Dreamtime Call S.R.L. a prelucrat nelegal datele personale ale unei persoane fizice (numarul de telefon), prin contactarea telefonica in mod repetat a acesteia, fara acordul prealabil. Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
Nume operator - Vodafone Romania S.A. (mai 2021)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. In cadrul acesteia, s-a constatat ca au fost transmise eronat facturile aferente ale unor clienti Vodafone pe adresele de e-mail ale unor terte persoane. Aceasta a condus la prelucrarea si accesul neautorizat la anumite date cu caracter personal ale clientilor Vodafone, cum ar fi numele, prenumele, numarul de telefon, codul client, adresa. Cu acest prilej, reiteram necesitatea instruirii interne a angajtilor de fiecare operator cu privire la regulile de protectie a datelor personale, componenta a masurilor organizatorice obligatorii ce revin acestuia.
Nume operator - Asociatie de Proprietari din municipiul Iasi (mai 2021)
Valoare amenda - 500 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul a afisat listele de plata cu detalierea numelui si prenumelui fiecarui membru al Asociatiei de proprietari. De asemenea, petentul a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale (numele si prenumele).
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
De asemenea, Asociatiei de proprietari i s-a dispus sa transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
De asemenea, Asociatiei de proprietari i s-a dispus sa transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Banca Comerciala Romana S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Banca Comerciala Romana S.A. a utilizat, fara acord, datele personale ale unei persoane fizice, in cadrul unor proceduri de executare silita pentru debite rezultate dintr-un contract de credit despre care acesta nu avea cunostinta.
Petentul a reclamat, asadar, folosirea fara consimtamant a datelor sale personale, in alte scopuri decat cele autorizate de dumnealui, precum si utilizarea unei adrese care nu mai era de actualitate si pentru care petentul a considerat ca banca a accesat ilegal o baza de date. De asemenea, a reclamat lipsa informarii cu privire la sursa de colectare a acestor informatii conform art. 14 din RGPD, precum si lipsa primirii unui raspuns cu privire la mai multe cereri adresate de acesta BCR S.A. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. a prelucrat datele personale ale petentului fara temei legal, prin atribuirea eronata a calitatii de garant in 2019, extragerea unor date neactualizate, utilizarea si dezvaluirea datelor sale personale, in cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecatoresc, care priveau restantele la un contract de credit acumulate de o societate comerciala, clienta a bancii, cu care petentul nu avea niciun fel de relatie, cu incalcarea art. 5 alin. (1) lit. a) si d) si art. 5 alin. (2), precum si a art. 6 din RGPD.
Petentul a reclamat, asadar, folosirea fara consimtamant a datelor sale personale, in alte scopuri decat cele autorizate de dumnealui, precum si utilizarea unei adrese care nu mai era de actualitate si pentru care petentul a considerat ca banca a accesat ilegal o baza de date. De asemenea, a reclamat lipsa informarii cu privire la sursa de colectare a acestor informatii conform art. 14 din RGPD, precum si lipsa primirii unui raspuns cu privire la mai multe cereri adresate de acesta BCR S.A. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. a prelucrat datele personale ale petentului fara temei legal, prin atribuirea eronata a calitatii de garant in 2019, extragerea unor date neactualizate, utilizarea si dezvaluirea datelor sale personale, in cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecatoresc, care priveau restantele la un contract de credit acumulate de o societate comerciala, clienta a bancii, cu care petentul nu avea niciun fel de relatie, cu incalcarea art. 5 alin. (1) lit. a) si d) si art. 5 alin. (2), precum si a art. 6 din RGPD.
Nume operator - Persoana fizica (aprilie 2021)
Valoare amenda - 200 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii mai multor sesizari prin care s-a reclamat faptul ca prin intermediul site-ului https://declaratieppr.ro, prin completarea unui formular care genera o declaratie pe propria raspundere necesara parasirii locuintei pe perioada starii de urgenta se prelucrau anumite date cu caracter personal, respectiv nume, prenume, prenume parinti, domiciliu, cod numeric personal, seria si numarul actului de identitate, adresa locuintei in fapt, locul deplasarii, scopul deplasarii si semnatura. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a prezentat dovezi din care sa rezulte ca a prelucrat in mod legal datele cu caracter personal, colectate si stocate pe site-ul https://declaratieppr.ro. Totodata, s-a constatat ca nu a prezentat dovezi din care sa rezulte ca a asigurat informarea persoanelor vizate in legatura cu prelucrarea datelor lor personale, colectate pe acelasi site.
Nume operator - Telekom Romania Communications SA (aprilie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca petentul a fost contactat pe numarul sau de telefon in scop de marketing de catre un reprezentant Telekom, desi acesta isi retrasese consimtamantul pentru utilizarea datelor sale cu caracter personal odata cu incetarea relatiei contractuale cu operatorul. Ulterior, petentul si-a exercitat dreptul de opozitie fata de prelucrarea datelor sale personale in scop de marketing si publicitate solicitand operatorului stergerea numarului sau de telefon si a adresei de e-mail din baza de date a Telekom. Cu toate acestea, petentul a fost din nou contactat de un reprezentant Telekom in scop de marketing. Astfel, petentul a transmis operatorului o noua solicitare de a nu mai fi contactat si de a i se sterge numarul de telefon si adresa de e-mail din baza de date. Urmare a acestei solicitari, operatorul i-a comunicat petentului ca adresa sa de e-mail si numarul de telefon au fost sterse din sistemul de gestionare a clientilor confirmand, totodata, ca a fost apelat de un reprezentant Telekom, care, dintr-o eroare umana, nu si-a dat seama ca nu avea permisiunea petentului de a-l apela.
Nume operator - World Class Romania S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - In cadrul investigatiei demarate in urma primirii unei sesizari, Autoritatea Nationala de Supraveghere a constatat ca operatorul World Class Romania S.A. a postat pe grupul de WhatsApp al angajatilor sai o cerere de demisie alunui salariat al sau, permitand astfel accesul neautorizat al tuturor membrilor respectivului grup WhatsApp la anumite date personale ale acestuia (nume, prenume, adresa, serie si numar act de identitate, cod numeric personal, informatii legate de solicitarea de incetare a raporturile de munca). In acest context, Autoritatea Nationala de Supraveghere a apreciat ca operatorul World Class Romania S.A. nu a luat suficiente masuri tehice si organizatorice pentru a asigura confidentialitatea datelor personale ale persoanei vizate.
Nume operator - Lugera & Makler Broker S.R.L (martie 2021)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari primite din partea unei persoane fizice si a unei notificari de incalcare a securitatii datelor cu caracter personal transmisa de Raiffeisen Bank SA. din care a rezultat ca Lugera & Makler Broker S.R.L (persoana imputernicita de operatorul Raiffeisen Bank SA) nu a predat Raiffeisen Bank SA documentele aferente activitatilor de prescoring efectuate de un angajat al sau, pe motiv ca acestea au fost distruse. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul Lugera & Makler Broker S.R.L. (in calitate de persoana imputernicita de operatorul Raiffisen Bank SA) nu a luat masuri pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa si nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
Nume operator - S.C. TIP TOP FOOD INDUSTRY S.R.L. (martie 2021)
Valoare amenda - 5.000 euro
Motiv amenda - In urma investigatiei, Autoritatea Națională de Supraveghere a constatat ca operatorul a prelucrat imaginea angajatilor sai, in mod excesiv, prin intermediul camerelor video instalate in spatii cu destinatia de vestiare si in zona destinata servirii mesei, invocand scopul protejarii bunurilor si a produselor societatiii, precum si al descurajarii furtului. Pe de alta parte, in investigatia efectuata, avand in vedere relatia angajator-angajat,
s-a retinut faptul ca nu a putut fi considerat liber exprimat consimtamantul persoanei vizate si nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputand face dovada respectarii principiilor de prelucrare, prin raportare si la art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
s-a retinut faptul ca nu a putut fi considerat liber exprimat consimtamantul persoanei vizate si nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputand face dovada respectarii principiilor de prelucrare, prin raportare si la art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
Nume operator - TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. (februarie 2021)
Valoare amenda - 13.000 euro
Motiv amenda - In investigatia efectuata s-a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, ceea ce a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume si prenume, CNP, data nasterii, sex, numar telefon, e-mail, adresa (tara, oras, strada), valoarea debitelor asociate codului de client ale unui numar de 99.210 persoane vizate/clienti. Astfel, adresele de facturare ale acestora au fost introduse eronat in baza de date cu clienti persoane fizice, transmisa unui partener contractual in baza unui contract de cesiune creante, ceea ce a determinat expedierea catre adrese gresite a notificarilor transmise clientilor.
De asemenea, s-a constatat ca operatorul nu a luat masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, de natura sa protejeze datele cu caracter personal stocate sau transmise impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nasterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraoptiuni active pe cont; istoricul facturilor simple) ale unui numar de 413 persoane vizate/clienti Telekom Romania. Subliniem ca, operatorul avea obligatia de a garanta ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile mentionate de lege, incalcandu-se astfel prevederile art. 3 alin. (1) si alin. (3) lit. a) si b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, modificata si completata.
Nume operator - S.C. Medicover S.R.L. (februarie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unor notificari succesive de încalcare a securitatii datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizata si accesul neautorizat la datele cu caracter personal precum: nume si prenume, CNP, serie si nr. CI, adresa CI, adresa de corespondenta, telefonul de contact si e-mail, respectiv nume si date privind starea de sanatate, transmise altor persoane fizice decat destinatarii, la adresa de e-mal sau adresa postala.
În urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.
Nume operator - ING Bank N.V. Amsterdam, Sucursala Bucuresti (februarie 2021)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. Incalcarea securitatii datelor a constat in transmiterea de catre operator a unor fisiere catre un partener contractual in vederea emiterii unor polite de asigurare care contineau informatii neactualizate, intrucat la nivelul ING Bank nu s-au verificat si procesat politele de asigurare in sistemul central al bancii in conformitate cu Procedura de lucru interna a operatorului. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar de 270 de persoane fizice, ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru aplicabila la data producerii incidentului, contrar obligatiilor prevazute de art. 29 si art. 32 din Regulamentul General privind Protectia Datelor.
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (februarie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de persoana vizata cu privire la faptul ca pe numarul sau de telefon a primit un mesaj comercial de tip SMS din partea BNP Paribas Personal Finance S.A. Paris Sucursala Bucuresti.
In urma investigatiei s-a constatat ca operatorul nu a facut dovada existentei consimtamantului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificata si completata, desi petenta isi exercitase anterior, in repetate randuri, dreptul de opozitie fata de prelucrarea datelor sale in scop de marketing.
Nume operator - Amenda data unei persoane fizice (februarie 2021)
Valoare amenda - 500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat faptul ca pe o retea de socializare, pe pagina personala a unei persoane fizice ce detinea functia de Secretar General in cadrul unei filiale de sector a unui partid politic, a fost publicata o lista cuprinzand 10 pozitii cu persoane semnatare/sustinatori pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti, in cadrul careia datele cu caracter personal ale acestora sunt accesibile, fiind dezvaluite numele si prenumele, semnatura, cetatenia, data nasterii, adresa, seria si numarul actului de identitate, optiunea politica a persoanelor semnatare/sustinatorilor.
Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.
Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (ianuarie 2021)
Valoare amenda - 1.000 euro
Motiv amenda - In urma primirii unei notificari de incalcare a securitatii datelor din partea ING Bank N.V. Amsterdam s-a demarat o investigatie si s-a constatat ca acest operator a transmis, la doua date diferite, unele fisiere catre un partener contractual, prin intermediul unei societati mandatare, in vederea emiterii unor polite de asigurare. Fisierele transmise contineau informatii neactualizate, intrucat angajatii departamentului de monitorizare al politelor de asigurare nu au verificat si procesat politele de asigurare in conformitate cu Procedura de lucru, fiind afectate 270 de persoane fizice.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (decembrie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior incheierii relatiei contractuale cu ING Bank. In cursul desfasurarii investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, desi aceasta solicitase pe data de 24.11.2017 închiderea ultimului produs bancar detinut, respectiv un cont curent. De asemenea, s-a constatat ca, urmare a unei erori de sistem, aceasta cerere de inchidere a contului curent nu a avut ca efect si inchiderea relatiei de afaceri cu operatorul, aceasta fiind pastrata in continuare cu status „activ”.
Nume operator - Qualitance QBS SA (decembrie 2020)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma primirii unor plangeri prin care s-a reclamat faptul ca operatorul a transmis prin e-mail o informare catre 295 de persoane (candidati care si-au furnizat datele personale in vederea recrutarii pe site-ul operatorului sau prin aplicatii on-line), dezvaluind astfel adresele de e-mail ale celorlalti destinatari. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate pentru a asigura confidentialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvaluirea adreselor de e-mail apartinand unui numar de 295 persoane catre ceilalti destinatari, contrar obligatiilor prevazute de art. 32 din RGPD.
Nume operator - S.C. C&V Water Control S.A. (noiembrie 2020)
Valoare amenda - 2.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a finalizat in data de 20.11.2020 o investigatie la operator, caruia i-a aplicat o amenda, ca urmare a faptului ca acest operator nu a furnizat informatiile solicitate de institutia noastra, incalcand astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozitiile art. 58 alin. (1) lit. (a) si (e) si art. 58 alin. (2) lit. i) din Regulamentul General privind Protectia Datelor.
Nume operator - Banca Transilvania SA (noiembrie 2020)
Valoare amenda - 100.000 euro
Motiv amenda - Investigatia a fost demarata in urma primirii unor sesizari cu privire la incalcarea confidentialitatii si securitatii datelor personale. S-a constatat ca a avut loc dezvaluirea in spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona sa utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai Bancii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.
Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
Nume operator - DADA CREATION S.R.L. (noiembrie 2020)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca prin intermediul site-ului operatorului era disponibil un document privind inregistrarile detaliate ale tranzactiilor receptionate de acest site de la clientii sai (persoane fizice) continand adrese de e-mail, numere de telefon, nume si prenume clienti (persoane adulte si minori), varsta minori, adrese de livrare, numar comanda, suma totala a comenzii, produsele comandate si data efectuarii comenzii. Incalcarea securitatii datelor a constat in faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, ceea ce a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar de aproximativ 1091 persoane fizice, care efectuasera comenzi pe site-ul operatorului.
Nume operator - Vodafone Romania S.A. (noiembrie 2020)
Valoare amenda - 4.000 euro
Motiv amenda - Sanctiunea a fost aplicata urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns unor cereri de exercitare a drepturilor de acces si stergere prevazute de art. 15 si art. 17 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, operatorul nu a putut face dovada solutionarii cererilor de exercitare a drepturilor de acces si stergere in termenul prevazut de art. 12 din Regulament.
Nume operator - S.C. Marsorom S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care se reclama faptul ca pe site-ul operatorului puteau fi vizualizate unele date personale ale clientilor acestuia. In cadrul investigatiei s-a constatat ca operatorul S.C. Marsorom S.R.L. a incalcat prevederile art. 25 si 32 din Regulamentul General privind Protectia Datelor intrucat nu a adoptat suficiente masuri de securitate care sa previna accesarea si divulgarea neautorizata a datelor personale ale clientilor care au plasat comenzi pe acest site.
Nume operator - Asociația de proprietari Militari R (septembrie 2020)
Valoare amenda - 2.000 euro
Motiv amenda - Astfel, asociatia de proprietari a fost sanctionata pentru faptul ca nu a adus la indeplinire masura corectiva dispusa de a transmite raspuns la solicitarile Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, incalcandu-se astfel instructiunile institutiei noastre, fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016. Sanctiunile au fost aplicate ca urmare a unei plangeri prin care petentul a reclamat faptul ca nu i s-a raspuns la cererea transmisa asociatiei de proprietari.
Nume operator - Megareduceri TV S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a faptului ca mai multi petenti au sesizat Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu privire la faptul ca au primit prin sms mesaje comerciale care promoveaza serviciile de pe site-ul www.reducerazi.ro, fara sa-si fi exprimat consimtamantul pentru a primi astfel de mesaje pe numerele personale de telefon.
Nume operator - Sanatatea Press Group S.R.L. (august 2020)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. Incalcarea securitatii datelor a constat in faptul ca, in cadrul organizarii unui eveniment on-line de catre Sanatatea Press Group S.R.L., au fost transmise eronat date de logare ale unor persoane pe alte adrese de e-mail decat cele cu care isi creasera cont pe platforma electronica a operatorului.
Nume operator - Asociatie de proprietari (august 2020)
Valoare amenda - 500 euro
Motiv amenda - pentru prelucrarea ilegala a imaginii unei persoane fizice, provenita din sistemul de supraveghere video al asociatiei, prin afisare la avizierul imobilului, cu incalcarea principiilor de prelucrare a datelor personale prevazute de art. 5 din RGPD, coroborat cu art. 6 alin. (1) din RGPD, prin raportare la dispozitiile la art. 83 alin. (5) lit. a) din RGPD
Nume operator - Compania Nationala Posta Romana (iulie 2020)
Valoare amenda - 2.000 euro
Motiv amenda - Incalcarea securitatii si confidentialitatii datelor cu caracter personal a constat in faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate (de exemplu, pseudonimizarea), atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, astfel incat sa se puna in aplicare, in mod eficient, principiile de protectie a datelor si sa se integreze in acestea garantiile necesare prelucrarii, astfel ncat sa fie duse la indeplinire cerintele RGPD si sa se protejeze drepturile persoanelor vizate.
Nume operator - S.C. Viva Credit IFN S.A (iulie 2020)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul nu a solutionat cererea petentului prin care isi exercita dreptul de stergerea datelor, potrivit art. 17 din Regulamentul General privind Protecțta Datelor. De asemenea, operatorul nu a furnizat petentului informatii cu privire la actiunile intreprinse in urma cererii acestuia in termen de cel mult o luna (sau maximum 3 luni, prezentand si motivele intarzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibila in evidentele sale.
Nume operator - SC CNTAR TAROM SA (iulie 2020)
Valoare amenda - 5.000 euro
Motiv amenda - Operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoană fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la pierderea confidentialitatii datelor personale prin accesarea neautorizata a datelor apartinand unui numar de cinci (5) pasageri TAROM, precum si la divulgarea neautorizata a datelor acestora.
Nume operator - Proleasing Motors SRL (iunie 2020)
Valoare amenda - 15.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal, prin completarea formularului specific stabilit in baza Regulamentului General privind Protectia Datelor.
Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau accesul neautorizat la acestea.Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
Nume operator - Enel Energie Muntenia SA (mai 2020)
Valoare amenda - 4.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul a sesizat incalcarea securitatii si confidentialitatii datelor cu caracter personal de catre operator, prin transmiterea unor documente ce contineau datele sale personale unui alt client Enel, utilizand posta electronica. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a luat suficiente masuri de securitate si confidentialitate care sa previna divulgarea accidentala a datelor cu caracter personal catre persoane neautorizate, incalcandu-se prevederile art. 32 din RGPD.
Nume operator - Telekom Romania Communications SA (aprilie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma primirii unor plangeri prin care petentul a reclamat utilizarea frauduloasa a datelor sale personale la incheierea unor contracte pe numele sau de catre operator.
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.
Nume operator - Estee Lauder Romania SRL (aprilie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a unei plangeri prin care s-a reclamat prelucrari ilegale de date prin dezvaluirea si, respectiv, colectare de date personale (numele, prenumele, numarul de telefon, data nasterii si informatii privind starea de sanatate), fara consimtamant sau alt temei legal.
Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma primirii unei plangeri, iar in cursul desfasurarii acesteia, Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Operatorul nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
Nume operator - Enel Energie Muntenia S.A (februarie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Incalcarea securitatii si confidentialitatii datelor cu caracter personal a constat in faptul ca operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoana fizica, date personale (nume si prenume, adresa, adresa de e-mail, cod client, cod eneltel) ale unui alt client.
Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
Nume operator - Vodafone Romania S.A. (februarie 2020)Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
Valoare amenda - 20.000 euro
Motiv amenda - Sanctiunile au fost aplicate operatorului ca urmare a unei sesizari cu privire la faptul ca Vodafone Romania SA a incalcat securitatea si confidentialitatea datelor cu caracter personal.
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
Nume operator - Asociatia "SOS Infertilitatea"
Valoare amenda - 2.000 euro
Motiv amenda - autoritatea a fost instiintata ca operatorul a dezvaluit date cu caracter personal fara consimtamantul persoanei vizate. Autoritatea a cerut operatorului mai multe detalii dar acesta nu a raspuns. Presedintele asociatiei a fost contactat telefonic si a optat pentru trimiterea pe e-mail a solicitarii din partea autoritatii. Autoritatea nu a primit documentele solicitate din partea operatorului pana la data incheierii procesului verbal constatare/sanctionare.
Nume operator - Dante International S.A (februarie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - operatorul a trimis la finalul anul 2019 un mesaj comercial unei persoane fizice desi la inceputul anului 2019 operatorul a confirmat persoanei vizate ca a fost dezabonata de la comunicarile comerciale.
De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.
De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.
Nume operator - Vodafone Romania S.A. (februarie 2020)
Valoare amenda - 3.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat a prelucrat gresit date personale ale unei persoane fizice in scopul solutionarii reclamatiei acesteia, ceea ce a determinat ulterior transmiterea raspunsului operatorului catre o adresa de e-mail eronata, nefiind adoptate suficiente masuri suficiente de securitate impotriva prelucrarii ilegale a datelor personale ale persoanei respective, cu incalcarea principiilor de prelucrare prevazute de art. 5 alin. (1) lit. d) si f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.
Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.
Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
Valoare amenda - 10.000 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video in birourile angajatilor, in vestiare si in sala de mese si ca, in anumite locatii (spatii cu acces restrictionat), accesul se realiza pe baza de amprenta.
De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
- masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
Nume operator - SC Enel Energie S.A (decembrie 2019)
Valoare amenda - 6.000 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca operatorul a prelucrat nelegal datele petentului, neputand face dovada obtinerii consimtamantului acestuia pentru transmiterea de notificari pe aceasta adresa de e-mail si fara respectarea principiului exactitatii. In plus, operatorul nu a luat masurile necesare pentru dezactivarea transmiterii de notificari, desi petentul si-a exercitat dreptul de opozitie in mai multe randuri.
Nume operator - Hora Credit IFN S.A. (decembrie 2019)
Valoare amenda - 14.000 euro
Motiv amenda - Operatorul a fost sanctionat astfel:
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.
Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Nume operator - Asociatie de proprietari (noiembrie 2019)
Valoare amenda - 500 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care petentul a reclamat accesarea, utilizarea si dezvaluirea catre diverse persoane, fara temei legal, a unor imagini cu persoana sa, provenite din sistemul de supraveghere video al Asociatiei de Proprietari. In urma investigatiei s-a constatat ca Asociatia de Proprietari nu a adoptat suficiente masuri de securitate, tehnice si organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video.
Nume operator - Telekom Romania Mobile Communications S.A. (noiembrie 2019)Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca petentul primeste la adresa sa de domiciliu facturi adresate unei alte persoane, client al operatorului, precum si faptul ca a semnalat operatorului aceasta situație, dar nu a primit raspuns.
In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.
In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.
Nume operator - Globus Score SRL (noiembrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a finalizat in data de 19 noiembrie 2019 o investigatie la operatorul Globus Score SRL ca urmare a unei sesizari si a constatat incalcarea dispozitiilor art. 83 alin. (5) lit. e) din Regulamentul General privind Protectia Datelor, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Modern Barber SRL (noiembrie 2019)
Valoare amenda - 3.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului Modern Barber S.R.L pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Valoare amenda - 2.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a sanctionat pe data de 02.12.2019 operatorul Nicola Medical Team 17 SRL cu amenda de 2.000 EURO, pentru fapta prevazuta de art. 83 alin. (5) si (6) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Nume operator - Royal President S.R.L. (noiembrie 2019)
Valoare amenda - 2.500 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Royal President S.R.L. a refuzat solutionarea unei cereri de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor, precum si faptul ca acesta a dezvaluit date cu caracter personal fara acordul persoanei vizate.
In cadrul investigatiei, operatorul Royal President S.R.L. nu a putut face dovada solutionarii cererii de exercitare a dreptului de acces in termenul prevazut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat ca datele cu caracter personal colectate prin intermediul fisei de cazare nu au fost prelucrate intr-un mod care sa asigure securitatea lor, prin luarea de masuri tehnice sau organizatorice corepunzatoare, pentru a se putea evita orice dezvaluire neautorizata incalcandu-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) si ale art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Nume operator - SC CNTAR TAROM SA (noiembrie 2019)
Valoare amenda - 20.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
Aceasta situatie a condus la accesarea neautorizata, de catre un angajat propriu, a aplicatiei de rezervari si fotografierea unei liste continand datele cu caracter personal a 22 pasageri/clienti TAROM si la divulgarea neautorizata in mediul on-line a acestei liste.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (noiembrie 2019)
Valoare amenda - 80.000 euro
Motiv amenda - In acest sens, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.
Nume operator - Fan Courier Express SRL (octombrie 2019)
Valoare amenda - 11.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.) (noiembrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit.
In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.
Nume operator - Vodafone Romania S.A. (octombrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.
In acest context, s-a recomandat societatii sa respecte solicitarea petentului de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor.
Nume operator - Integlio Media S.A.
Valoare amenda - 9.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul conținut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro».
Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.
Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.
In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.
Nume operator - Elefant Online S.A.
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Vreau Credit S.R.L.
Valoare amenda - 20.000 euro
Motiv amenda - In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.
Nume operator - Raiffeisen Bank S.A.
Valoare amenda - 150.000 euro
Motiv amenda - In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.
Nume operator - Artmark Holding
Valoare amenda - 2.100 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat acesta nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Uttis Industries SRL
Valoare amenda - 2.500 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.
Nume operator - Legal Company&Tax Hub SRL
Valoare amenda - 3.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
Nume operator - World Trade Center Bucharest S.A.
Valoare amenda - 15.000 euro
Motiv amenda - Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
Nume operator - Unicredit BANK S.A
Valoare amenda - 130.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
Sursa: dataprotection.ro
Un produs marca