Amenzi GDPR
Operatori - Dent Estet Clinic SA & medic stomatolog, colaborator al operatorului (decembrie 2022)
Valori amenzi - 1.000 euro,respectiv 1.000 euro
Motiv amenzi - Investigatiile au fost demarate in urma unei plangeri transmise de catre o persoana vizata, prin care s-a reclamat faptul ca operatorii Dent Estet Clinic SA si medicul colaborator i-au divulgat datele de sanatate in mediul online. In cadrul investigatiilor s-a constatat ca cei doi operatori au divulgat informatii medical referitoare la tratamentul ortodontic al petitionarului, prin publicarea unui articol pe un blog de specialitate a unui set de fotografii si radiografii care se puteau corela cu numele persoanei. Totodata, Autoritatea de Supraveghere a constatat ca medicul stomatolog colaborator a prelucrat datele personale privind starea de sanatate a persoanei vizate, in cadrul unui articol postat pe blogul personal, fara sa prezinte dovezi privind obtinerea consimtamantului expres al persoanei vizate, si fara informarea sa prealabila.
Operator - Dante International SA (decembrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, conform careia operatorul Dante International SA, detinatoare emag.ro, a incalcat dreptul la stergerea datelor cu caracter personal. Mai exact, operatorul a transmis catre numarul de telefon al petentului un SMS de informare cu privire la ofertele comerciale ale societatii, desi acesta solicitase anterior stergerea contului si a datelor nerelevante.
Operator - BRISTOL LOGISTICS SA (decembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Incidentul de incalcare a securitatii a constat in sustragere unui biblioraft continand dosarele de personal a 12 angajati ai operatorului, conducand astfel la accesarea de date personale de catre persoane neautorizate. Datele cu caracter personal care au fost accesate neautorizat au inclus: date de contact/identificare, pregatirea academica si profesionala, detalii de angajare, informatii referitoare la deduceri de taxe si persoane aflate in intretinere, calificative de medicina muncii.
Operator - Apa Canal Ilfov SA (decembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Mai exact, pentru a transmite un mesaj electronic catre utilizatorii inregistrati pe portalul online al societatii, operatorul a introdus eronat adresele de e-mail la sectiunea "To", in loc de "BCC". Aceasta incalcare a condus la divulgarea neautorizata/accesul neautorizat la date cu caracter personal (adresa de e-mail), fiind afectat un numar semnificativ de persoane fizice.
Operator - Asociatie de proprietari din Iasi (noiembrie 2022)
Valoare amenda - 500 euro
Motiv amenda - Operatorul a afisat listele de plata ce contineau numele/prenumele fiecarui membru al Asociatiei de proprietari. Petentul plangerii initiale a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale. Pe langa amenda, operatorului i s-a aplicat si masura corectiva de a lua masurile necesare astfel incat sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile RGPD si sa evita prelucrarea (inclusiv dezvaluirea) datelor cu caracter personal fara consimtamantul persoanelor vizate si fara existenta unei alte situatii in care consimtamantul nu este necesar.
Operator - Kaufland Romania SCS (noiembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Operatorul a fost sesizat de o persoana vizata asupra faptului ca o inregistrare video ce contine imagini cu persoana sa din parcarea unuia dintre magazinele Kaufland a aparut pe pagina web a unui ziar local. In urma investigatiei a rezultat ca managerul magazinului respectiv a permis accesul unui angajat in camera de monitorizare, care a captat, cu telefonul mobil personal, imagini ale inregistrarilor video. Ulterior, angajatul a transmis inregistrarea unui tert, iar imaginile au fost publicate online. Astfel, au fost dezvaluite imaginea si numar de inmatriculare a al masinii, fiind afectate de acest incident doua persoane vizate.
Operator - SUDREZIDENTIAL Broker S.R.L. (noiembrie 2022)
Valoare amenda - 10.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca operatorul nu a luat masuri adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, ceea ce a condus la intocmirea unei evidente in format Excel care continea datele cu caracter personal (nume/prenume, CNP, numar telefon, serie si numar carte de identitate, adresa de e-mail, date bancare, achizitii de imobile, stare civila etc.) ale clientilor operatorului si ale altor persoane fizice, parteneri de viata ai clientilor. Astfel, au fost divulgate neautorizat catre publicul larg datele personale a cel putin 509 persoane vizate, clienti ai operatorului, prin publicarea acestora de catre administratorul societatii pe o anumita pagina de internet. De asemenea, s-a constatat ca operatorul nu a informat persoanele vizate cu privire la aceasta incalcare a securitatii datelor cu caracter personal, incalcandu-se astfel prevederile art. 34 din RGPD.
Operator - Autoritatea Nationala pentru Restituirea Proprietatilor (ANRP) - noiembrie 2022
Valoare amenda - 13.000 lei
Motiv amenda - Investigatia a fost demarata pentru verificarea indeplinirii de catre ANRP a masurilor de remediere dispuse anterior acestui operator. Printr-un proces verbal anterior, operatorul ANRP a fost sanctionat cu avertisment pentru incalcarea prevederilor RGPD, fiind obligat totodata, ca in termen de 20 de zile, sa asigure conformitatea cu dispozitiile RGPD a operatiunilor de prelucrare a datelor cu caracter personal, inclusiv a celor efectuate prin intermediul sistemului de supraveghere video, prin implementarea de masuri tehnice si organizatorice ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor. Intrucat operatorul nu a comunicat masurile luate, in luna noiembrie 2022, s-a efectuat o noua investigatie la ANRP cu privire la indeplinirea masurilor prevazute in planul de remediere anexa la procesul-verbal din septembrie 2022.Totodata, reprezentantii operatorului au sustinut ca nu au avut loc instruiri periodice ale persoanelor care actioneaza sub autoritatea ANRP.
Operator - Societatea Energetica Electrica S.A. (noiembrie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiteri de catre operator a unei notificari cu privire la incalcarea confidentialitatii datelor cu caracter personal. Pe langa amenda acordata, operatorul a primit din partea Autoritatii de Supraveghere si recomandarea de a lua toate masurile necesare pentru respectarea prevederilor art. 46 - 49 din RGPD.
Operator - Casa Rusu S.R.L (noiembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre Casa Rusu S.R.L. a unei notificari de incalcare a securitatii prelucrarii datelor. Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca a fost introdus in sectiunea de plati on-line a site-ului pe care il detine operatorul un formular neautorizat prin care se colectau date bancare continute de cardurile clientilor. In consecinta, au fost accesate neautorizat date cu caracter personal, precum: nume/prenume, numarul cardului bancar, data si anul expirarii, cod CVC.
Operator - OTP LEASING ROMANIA IFN SA (noiembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. In notificarea transmisa, operatorul a sustinut ca a fost informat de catre o persoana fizica ca aceasta a putut accesa in mod neautorizat platforma My Leasing, prin alterarea adresei de URL si crearea unui cont de administrator. Astfel, a avut acces la datele clientilor operatorului, persoane juridice. In cadrul investigatiei s-a constatat ca unii dintre clientii operatorului, persoane juridice, si-au inrolat in platforma, ca date de contact, adrese de e-mail care contineau nume, prenume, adresa de e-mail si numar de telefon ale reprezentantilor (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate in mod neautorizat pe platforma.
Operator - Medicover S.R.L. (noiembrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Incalcarea securitatii prelucrarii datelor s-a produs in urma transmiterii catre un client al operatorului a unui e-mail ce continea acte aditionale ale contractelor de prestari servicii medicale ce apartineau altor clienti ai operatorului. In consecinta, au fost divulgate neautorizat date cu caracter personal precum: nume/prenume, CNP, adresa, semnatura.
Operator - ING Bank NV Amsterdam Sucursala Bucuresti (octombrie 2022)
Valoare amenda - 20.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. La baza notificarii au stat informatii potrivit carora s-au accesat si divulgat neautorizat datele cu caracter personal ale unor persoane vizate: date de identificare asociate actului de identitate, date de contact, date de natura bancara (tranzactii si produse detinute, date asociate cardului), username si parola asociate contului din aplicatia de Internet Banking.
Operator - Asociatia de Proprietari Bld. Pipera 1-2E (octombrie 2022)
Valoare amenda - 300 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri din partea unei persoane fizice care a semnalat faptul ca presedintele Asociatiei de Proprietari Bld. Pipera 1-2E a dezvaluit pe grupul de Whatsapp al blocului inregistrari din sistemul de supraveghere video administrat de Asociatie care cuprindeau imagini cu petitionarul.
Operator - Raiffeisen Bank SA (septembrie 2022)
Valoare amenda - 28.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a 17 notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal. 1) In doua situatii, s-a procedat la efectuarea unor operatiuni de prescoring pentru clienti sau potentiali clienti, fara ca documentatia aferenta interogarii sa fie semnata de solicitantii respectivi; 2) Un alt incident a constat in transmiterea prin e-mail a unor date confidentiale catre o alta persoana decat persoana vizata; 3) Un incident similar s-a produs ca urmare a faptului ca doi clienti ai operatorului au depus sesizari asemanatoare, iar in momentul pregatirii e-mailului de raspuns la sesizarea primului client, operatorului a anexat in emailul transmis acestuia documente cu date personale apartinand celuilalt client; 4) Un alt incident a privit o situatie ce implica si suspiciuni de frauda interna in creditare si a constat in efectuarea de operatiuni specifice acordarii unui credit pentru un client persoana fizica, fara prezenta solicitantului la sediul agentiei, si solicitarea de facilitati de tip Card de Credit si actualizarea datelor persoanelor vizate prin modificarea numarului de telefon al acesteia cu numarul de telefon al angajatului bancii si introducerea unei adrese de e-mail fictive; 5) Alt incident similar a constat in prelucrarea de date in legatura cu acordarea a trei facilitati de credit, in numele unei persoane fizice, client al bancii, fara ca aceasta sa fi solicitat in realitate acele credite; 6) O alta incalcare a vizat divulgarea neautorizata a datelor cu caracter personal ale unor clienti catre alti clienti ai operatorului.
Operator - SC Das Sense Society SRL (octombrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Conform plangerii formulate catre Autoritatea de Supraveghere, la punctul de lucru al operatorului erau instalate camere de supraveghere care surprindeau imagini atat de pe domeniul public (trotuar si strada), cat si de pe domeniul privat (rampa si scarile de acces ale unui complex de locuinte, accesul intr-un supermarket).
Operator - SC Prestige Media PHG SRL (octombrie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmarea unei sesizari, conform careia pe site-ul operatorului au fost publicate documente confidentiale, printre care si decizii de incetare a contractelor individuale de munca ale unor angajati ai unei alte societati. In cadrul investigatiei s-a constatat ca pe site-ul respectiv erau afisate 23 de astfel de decizii ce contineau date cu caracter personal (nume/prenume, functie, nr. contract de munca, abateri disciplinare) ale mai multor persoane fizice care nu aveau niciun fel de raportui juridice cu SC Prestige Media PHG SRL.
Operator - Compania Nationala Posta Romana SA (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul, in calitate de imputernicit, a pierdut anumite trimiteri postale care contineau decizii de stabilire a drepturilor de pensie, carnete de munca si certificate de deces, fiind afectate 35 de persoane fizice.
Operator - Persoana fizica (octombrie 2022)
Valoare amenda - 150 euro
Motiv amenda - In calitate de operator, o persoana fizica care a avut acces la anumite date divulgate accidental, a folosit neautorizat datele respective, fara consimtamantul persoanei careia ii apartineau datele.
Operator - SC Materiale Constructii Online SRL (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca reprezentatii site-ului www.depozit-online.ro nu au dat curs solicitarii sale de stergere a contului.
Operator - Persoana fizica (septembrie 2022)
Valoare amenda - 150 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat o posibila incalcare a securitatii prelucrarii de catre site-ul https://centralpoint.ro. In urma investigatiei Autoritatea Nationala de Supraveghere a constatat ca persoana fizica respectiva, detinatorul site-ului, a publicat pe acest site o serie de date cu caracter personal, precum: CNP, numarul de telefon, seria si numarul actului de identitate, detalii bancare (achizitii de imobile), stare civila. In urma dezvaluirii neautorizate a acestor date au fost afectate 383 de persoane fizice.
Nume operator - Banca Comerciala Romana SA (septembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Potrivit formularului de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unei erori tehnice a unei aplicatii IT a operatorului. In cadrul investigatiei s-a constatat ca au fost trimise e-mailuri continand datele cu caracter personal ale unor clienti catre alti clienti. Acest lucru a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, adresa de domiciliu, numar de telefon, adresa de e-mail, alaturi de informatii financiare generate eronat privind castigul cumulat, pierderea cumulata, castigul net, pierderea neta etc. In urma acestui incident au fost afectate 564 de persoane fizice vizate, clienti ai bancii.
Nume operator - Vodafone Romania SA (septembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a doua notificari de incalcarea a securitatii datelor. In cadrul investigatiei s-a constatat ca operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de catre imputernicitii sai, ceea ce a permis unor terte persoane sa achizitioneze in mod fraudulos telefoane noi in numele unor clienti ai operatorului. Totodata, aceste terte persoane au avut acces la datele din contractele incheiate de clienti cu operatorul si a datelor din conturile personale My Vodafone, precum: nume/prenume, adresa, CNP, numarul de telefon de contact, codul PUK, numarul de contact al titularului contului, seria SIM a cartelei initiale, valoarea ultimei facturi neplatite si traficul de date.
Nume operator - Bitfactor SRL (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Incalcarea securitatii datelor s-a produs ca urmare a functionarii defectuase a unei aplicatii a operatorului care trimitea comunicari de marketing utilizatorilor site-ului acestuia, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal a unui numar de 1.757 de persoane vizate, utilizatori ai site-ului operatorului.
Nume operator - Curtea Veche Publishing SRL (august 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Una dintre incalcari s-a produs ca urmare a postarii pe un forum public a unui fisier care continea baza de date a clientilor operatorului din perioada 2019-2021. Ca urmare, datele personale (nume/prenume, numar de telefon, e-mail, adresa IP) a 10.739 de clienti ai operatorului au fost divulgate. Cea de-a doua incalcare a securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii anumitor date cu caracter personal a aproximativ 100 de persoane vizate (angajati si colaboratori ai operatorului).
Nume operator - SC Raiffeisen Bank SA (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca un operator ii transmite pe numarul sau de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani catre anumite persoane, transferuri pe care petentul nu le-a efectuat. In cadrul investigatiei efectuate s-a constatat ca la nivelul SC Raiffeisen Bank SA, in calitate de imputernicit, s-a introdus in mod eronat numarul de telefon al petentului in cadrul aplicatiei pusa la dispozitie de operator prin care se initiau tranzactii la solicitarea clientilor. De asemenea, s-a retinut faptul ca petentul nu a fost client al SC Raiffeisen Bank SA si nu a solicitat initierea unor tranzactii prin intermediul aplicatiei operatorului.
Nume operator - Realmedia Network SA (imobiliare.ro) (august 2022)
Valoare amenda - 8.000 euro
Motiv amenda - In urma unor informatii din mediul on-line, Autoritatea de Supraveghere s-a autosesizat cu privire la o posibila bresa de securitate a datelor cu caracter personal aparuta la Realmedia Network SA. In cadrul investigatiei efectuate s-a constatat faptul ca incalcarea securitatii prelucrarii datelor s-a produs la nivelul unui serviciu utilizat de operator pentru operarea platformei imobiliare.ro. Aceasta situatie a condus la divulgarea neautorizata sau accesul neautorizat la urmatoarele date cu caracter personal: nume, prenume, numar de telefon, adresa de e-mail, adresa postala, cod numeric personal, semnatura, copii ale cartilor de identitate, inclusiv coduri de identificare, functie/calitate, date bancare, informatii incluse in extrase de carte funciara/schite cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor, ceea ce a condus la afectarea unui numar de 194.309 persoane fizice vizate.
Nume operator - Alpha Bank Romania SA (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor care a fost transmisa de Alpha Bank Romania SA, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. Astfel, potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicatiei de Whatsapp. In cadrul efectuarii investigatiei a rezultat ca aceasta incalcare a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele si prenumele, CNP, functia si semnatura, tipul de credit, numarul si data semnarii contractului, perioada de creditare si data ultimei scadente, fiind afectate de incident un numar de 4 persoane fizice vizate.
Nume operator - Enel Energie Muntenia S.A. (iulie 2022)
Valoare amenda - 10.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza. In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere. De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale. Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.
Nume operator - CDI Transport Intern si International SRL (iulie 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care a fost semnalat faptul ca pe site-ul societatii nu se regasesc informatii privind modalitatea de colectare a datelor cu caracter personal, privind drepturile prevazute la art. 15-22 din Regulamentul General privind Protectia Datelor de care beneficiaza persoanele vizate, privind modul de exercitare a acestor drepturi si nici cu privire la faptul ca operatorul are obligatia de a informa persoanele vizate in situatia unei incalcari a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate, ca urmare a faptului ca operatorul nu a furnizat informatiile solicitate de institutia noastra, in termenul legal, s-a constatat incalcarea prevederilor art. 58 alin. (1) lit. (a) si (e) din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca operatorul nu a asigurat o informare clara, completa si corecta a persoanelor vizate ale caror date cu caracter personal se prelucreaza de catre societate intrucat nu a oferit toate informatiile prevazute de dispozitiile art. 12-22 din Regulamentul General privind Protectia Datelor, cum ar fi cele referitoare la scopul prelucrarii si temeiul juridic, identitatea si datele de contact ale operatorului, perioada pentru care vor fi stocate datele sau criteriile utilizate pentru a stabili aceasta perioada, conditiile de exercitare a drepturilor. Ca atare, s-a constatat incalcarea prevederile art. 12 alin. (1) din Regulamentul General privind Protectia Datelor
Nume operator - SC Wabag Water Services SRL (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unor plangeri din partea unei petente care reclama faptul ca datele sale cu caracter personal au fost utilizate de propriul angajator (SC Wabag Water Services SRL), fara consimtamantul sau, in vederea inscrierii si programarii sale pe platforma nationala de vaccinare pentru efectuarea vaccinului impotriva Covid-19. In cadrul investigatiei s-a retinut ca operatorul operatorul a utilizat datele cu caracter personal ale petentei (angajata a operatorului) in scopul inscrierii si programarii acesteia pe platforma nationala de programare pentru vaccinarea impotriva Covid-19, in anul 2021, fara a face dovada existentei consimtamantului petentei si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a) si alin. (2) si ale art. 6 din Regulamentul (UE) 2016/679.
Nume operator - Denmar Nacrut SRL ( iulie 2022)
Valoare amenda - 2.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana fizica a semnalat faptul ca persoane vizate, clienti ai SC Denmar Nacrut SRL, erau supravegheate video in timpul prestarii unor servicii cosmetice. In cadrul investigatiei efectuate, s-a constatat ca operatorul detine un sistem de supraveghere video montat atat in interiorul, cat si in exteriorul spatiului unde isi desfasoara activitatea operatorul, care monitorizeaza atat angajatii cat si clientii. De asemenea, s-a retinut faptul ca operatorul nu a facut dovada realizarii unei informari clare, complete si corecte a angajatilor sai si a persoanelor vizate ale caror date cu caracter personal (respectiv imaginea) se prelucreaza prin intermediul camerelor video de supraveghere, prin comunicarea tuturor informatiilor prevazute de art. 13 din Regulamentul General privind Protectia Datelor si in conditiile de transparenta din art. 12 din acelasi regulament.
Totodata, a rezultat ca operatorul nu a facut dovada unor incidente existente anterior care sa justifice interesul sau legitim care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate. Astfel, s-a constatat ca operatorul a prelucrat in mod excesiv datele (imaginile) clientilor si angajatilor sai, prin intermediul camerei video instalate in incinta unde se efectuau tratamente cosmetice. Datele astfel prelucrate nu au fost adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care erau prelucrate (“reducerea la minimum a datelor”). Scopul declarat de operator putea fi realizat prin mijloace mai putin intruzive pentru viata privata a clientilor si angajatilor sai.
Nume operator - Sephora Cosmetics Romania S.A. ( iulie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri din partea unei petente care reclama faptul ca a primit pe numarul sau de telefon mesaje comerciale tip SMS, din partea Sephora Cosmetics Romania SA. Totodata aceasta sustinea ca in urma solicitarilor sale repetate, transmise la finalul anului 2020, de a nu-i mai fi utilizate datele in scop de marketing, Sephora a informat-o la inceputul anului 2021 ca datele sale nu vor mai fi prelucrate in scop de marketing. Cu toate acestea, ulterior, in cursul anului 2021, petenta a primit mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics Romania SA.
In cadrul investigatiei efectuate s-a constatat ca Sephora Cosmetics Romania SA a transmis petentei, pe numarul sau de telefon, in mai multe randuri, in cursul anului 2021, mesaje comerciale in scop de marketing, desi aceasta, prin cererile transmise operatorului in anul 2020, isi exercitase dreptul de opozitie cu privirea la utilizarea numarului propriu de telefon in scop de marketing.
Nume operator - S.C. Delivery Solutions S.A. (Sameday) ( iunie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vanzare pe site-ul https://raidforums.com/Thread-SELLING-=ae-SAMEDAY-RO-Romanian-Postal-Service. In cadrul investigatiei efectuate, s-a retinut faptul ca S.C. Delivery Solutions S.A. (Sameday) este persoana imputernicita a doua societati pentru prelucrarea datelor cu caracter personal, fiind obligata sa ia toate masurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, asa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv impotriva divulgarii si/sau accesului neautorizat la date. De asemenea, s-a constatat ca date cu caracter personal apartinand unui numar de 26566 persoane fizice vizate (numar si data AWB – documentul de transport ce insoteste obligatoriu expedierea oricarui colet, indicative curieri, nume expeditor, nume si prenume destinatar, numar de telefon, adresa, status livrare, tipul serviciului, greutate colet, suma de incasat, intervalul de livrare) erau disponibile spre vanzare pe forumul RaidForums si puteau fi accesate utilizand link-ul https://raidforums.com/Thread-SELLING-=æ-SAMEDAY-RO-Romanian-Postal-Service.
Nume operator - E Software Concept SRL (iunie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca, pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente (cum ar fi facturile emise de E SOFTWARE CONCEPT SRL catre clientii sai, persoane fizice si juridice, si AWB-urile - documente de transport ce insotesc obligatoriu expedierea coletelor, emise de solicitantii serviciilor de curierat) prin care s-au dezvaluit urmatoarele date cu caracter personal: nume, prenume, adresa expeditor si destinatar, numar de telefon, username si parola, adrese de e-mail. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale clientilor operatorului (persoane fizice si juridice). Astfel, societatea E SOFTWARE CONCEPT SRL a fost sanctionata cu amenda pentru incalcarea prevederilor art. 32 alin. (1) lit. b) si alin. (2) din Regulamentul General privind Protectia Datelor, intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul a fost sanctionat cu amenda intrucat nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale.
Nume operator - Continental Automotive Romania SRL (iunie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator in cursul anului 2022, in temeiul dispozitiilor Regulamentului General privind Protectia Datelor, a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a retinut ca operatorul a descoperit la sediul sau din Timisoara, in afara sistemului oficial de camere, un numar de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate in mijlocul zonei de productie.
Nume operator - SC Interactions Marketing SRL (mai 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor plangeri formulate de o persoana vizata care a reclamat faptul ca un operator a transmis prin e-mail un mesaj comercial catre mai multe persoane dezvaluind astfel adresele de e-mail ale acestora. In cadrul investigatiei efectuate s-a constatat ca SC Interactions Marketing SRL, in calitate de imputernicit, a derulat o campanie pentru operatorul reclamat, in cadrul careia a transmis un mesaj comercial catre adresele de posta electronica apartinand unui numar de 27 de persoane, fara ascunderea acestora, permitand astfel divulgarea neautorizata a adreselor de e-mail catre ceilalti destinatari.
Nume operator - Asociatia de Proprietari Aviatiei Park (mai 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor. In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.
Nume operator - Kaufland Romania SCS (mai 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator, in cursul anului 2022, a doua notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor. Una dintre incalcarile securitatii datelor a constat in accesul neautorizat al unor angajati ai operatorului la datele cu caracter personal ale clientilor Kaufland. Astfel, angajatul operatorului care a preluat plangerea unei petente nu a respectat procedura interna de solutionare a unei reclamatii si a permis vizualizarea documentului de catre agentul de paza care ulterior a utilizat necorespunzator respectivele date, situatie ce a condus la incalcarea confidentialitatii datelor personale ale petentei. In cadrul investigatiei s-a constatat ca operatorul nu a asigurat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la datele cu caracter personal nu le prelucreaza decat la cererea operatorului, incalcandu-se prevederile art. 29 si art. 32 din Regulamentul General privind Protectia Datelor. Cea de-a doua incalcare a securitatii datelor a constat in transmiterea eronata catre un alt destinatar a unei foi de comanda a unui client prin intermediul unor platforme de livrare. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, numar de telefon) ale clientului Kaufland ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru in cazul livrarilor prin intermediul platformelor partenere.
Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.
Nume operator - S.C. Wine Point S.R.L. (mai 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana vizata a semnalat faptul ca a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat si altor persoane, adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari. In cadrul investigatiei efectuate, s-a constatat ca operatorul nu a implementat suficiente masuri tehnice si organizatorice in vederea asigurarii confidentialitatii datelor personale prelucrate prin transmiterea de la adresa de posta electronica a operatorului a unui mesaj comercial promotional catre adresele de e-mail ale mai multor persoane vizate.
Nume operator - MEDLIFE S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari cu privire la o posibila incalcare a dispozitiilor RGPD, ca urmare a identificarii de catre o persoana fizica, a unor documente care contineau date cu caracter personal, inclusiv date sensibile, aruncate la un cos de gunoi al unei unitati administrativ-teritoriale. Documentele atasate sesizarii contineau date cu caracter personal ale unor clienti/pacienti ai MEDLIFE S.A.
In cadrul investigatiei s-a constatat ca operatorul MEDLIFE S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de confidentialitate si securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicita a datelor cu caracter personal ale clientilor proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicala efectuata, suma achitata, cont bancar) si ale angajatilor sai (salariu avans), in perioada iulie 2020 – august 2020. Desi operatorul avea obligatia de a lua masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, s-a constatat ca nu a luat masurile necesare, incalcand astfel prevederile art. 32 alin. (1) lit. b), alin. (2) si alin. (4) din Regulamentul (UE) 2016/679.
Nume operator - Kredyt Inkaso Investments RO S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca operatorul a dezvaluit datele sale personale si ale copilului sau minor catre anumite unitati medicale.
In cadrul investigatiei efectuate, s-a constatat ca operatorul a dezvaluit datele petentei (adresa de domiciliu, cod numeric personal, functia detinuta, date privind contractul de munca, date din certificatele de concediu medical) catre anumiti medici si anumite unitati medicale cu care aceasta nu avea niciun fel de raporturi juridice. De asemenea, s-a constatat ca prelucrarea datelor privind starea de sanatate ale petentei nu putea fi efectuata in temeiul interesului legitim intrucat acesta nu se regaseste printre conditiile de prelucrare prevazute de art. 9 din RGPD.
Asadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvaluirea ilegala si excesiva a acestora, inclusiv a datelor privind starea de sanatate, cu incalcarea principiilor de prelucrare pevazute de art. 5 alin. (1) lit. a), c), alin. (2) si a conditiilor de legalitate prevazute de art. 6 si art. 9 din RGPD. Totodata, s-a constatat ca operatorul nu a respectat termenele pentru notificarea incidentului de securitate produs in momentul dezvaluirii datelor petentei catre un medic cu care petenta nu avea raporturi juridice, incalcandu-se astfel prevederile art. 33 din RGPD.
Nume operator - MAYR MELNHOF PACKAGING ROMANIA S.R.L. (aprilie 2022)
Valoare amenda - 1.500 euro
Motiv amenda - In cadrul investigatiei efectuate, s-a constatat ca operatorul MAYR MELNHOF PACKAGING ROMANIA S.R.L. avea montat un sistem de camere de supraveghere, iar unele dintre aceste camere supravegheau inclusiv sala de mese si locul de fumat. Astfel, a rezultat ca operatorul monitorizeaza excesiv salariatii in sala de mese si spatiile destinate fumatului, raportat la scopul invocat de a asigura sanatatea si securitatea salariatilor si al securitatii bunurilor. In acest context, s-a constatat ca imaginile nu au fost prelucrate intr-un mod adecvat, relevant si limitat la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (principiul reducerii la minimum a datelor), ceea ce constituie o incalcarea a dispozitiilor art. 5 alin. (1) lit. b) si c), alin. (2) si art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - LORIS FUEL SHOP SRL (aprilie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama publicarea pe Facebook a unor imagini in care acesta era surprins si care proveneau de pe monitorul apartinand unui sistem de supraveghere video instalat intr-o statie de alimentare cu carburant din judetul Harghita.
In cadrul investigatiei s-a constatat ca operatorul LORIS FUEL SHOP SRL, in calitate de persoana imputernicita, nu a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate cu privire la imaginile inregistrate prin intermediul sistemului de televiziune instalat in statiile folosite, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati). Aceasta a condus la vizualizarea si filmarea de catre terte persoane neautorizate a imaginilor camerelor video din punctul de lucru din judetul Harghita, ulterior fiind dezvaluite pe o retea de socializare, incalcandu-se astfel prevederile art. 29 si 32 alin. (4) din Regulamentul (UE) 2016/679.
Nume operator - Concordia Capital IFN S.A. (aprilie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari prin care se reclama faptul ca operatorul a instalat camere audio-video in birourile angajatilor sai cu incalcarea prevederilor legale in materia protectiei datelor personale.In cadrul investigatiei demarate de Autoritatea de supraveghere, s-au constatat urmatoarele
- ca operatorul nu a facut dovada ca scopul invocat in regulamentul sau intern (asigurarea protectiei persoanelor, bunurilor si valorilor angajatorului si ale angajatilor) este unul justificat si ca au fost folosite alte mijloace mai putin intruzive pentru atingerea acestuia care nu si-au dovedit eficienta, anterior adoptarii deciziei luate in anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca;
- ca operatorul nu a prezentat dovezi cu privire la respectarea principiilor de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) si alin. (2) si a conditiilor de legalitate prevazute de art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - Megareduceri TV S.R.L. (martie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a plangerilor mai multor petenti care ne-au sesizat cu privire la faptul ca au primit prin sms mesaje comerciale care promoveaza serviciile de pe site-ul www.reducerazi.ro, fara sa isi fi exprimat consimtamantul pentru a primi astfel de mesaje, pe numerele personale de telefon.
Nume operator - Asociatia de Proprietari din Str. Soporului 17 (martie 2022)
Valoare amenda - 500 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri formulate de o persoana vizata prin care se reclama faptul ca operatorul a dezvaluit pe grupul de Facebook al blocului in care domiciliaza imagini cu persoana sa din sistemul de supraveghere video gestionat de asociatie. Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda. De asemenea, s-a dispus sa se transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Condor SA (martie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca operatorul Condor SA a divulgat date personale de natura salariala ale angajatilor ori fostilor angajati ai acestui operator catre persoane neautorizate. In cadrul investigatiei efectuate, s-a constatat ca a avut loc un acces neautorizat la unele documente neparolate care contineau o serie de date personale ale angajatilor ori fostilor angajati, cum ar fi: locul de munca, numele, prenumele, functia, salariul de incadrare, suma pentru avans, contul bancar, codurile numerice personale. In consecinta, Autoritatea Nationala de Supraveghere a constatat ca operatorul Condor SA nu a prezentat dovezi din care sa rezulte ca a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate ale angajatilor ori fostilor sai angajati.
Nume operator - Kaufland Romania SCS (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri, iar in cadrul investigatiei efectuate, s-a constatat ca operatorul Kaufland nu i-a furnizat petentului o copie a tuturor inregistrarilor din sistemul de supraveghere video, ceea ce constituie o incalcare a art. 15 alin. (3) din Regulamentul General privind Protectia Datelor. Astfel, s-a constatat ca operatorul nu a transmis, la cererea persoanei vizate, o copie integrala a inregistrarilor ce o privesc, din incinta magazinului, desi acestea erau disponibile la momentul solicitat de aceasta.
Nume operator - Briza Land S.R.L. (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama faptul ca nu este multumit de raspunsul primit din partea operatorului la cererea sa de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, s-a constatat ca operatorul nu a comunicat petentului toate informatiile cu privire la prelucrarea datelor sale personale (cum ar fi datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor), incalcandu-se astfel prevederile art. 15 din RGPD.
Nume operator - Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” (februarie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) fara acordul si informarea sa prealabila, prin postarea unei adrese primite de acesta de la o institutie publica pe un grup de WhatsApp folosit de avocatii unui barou. In cadrul investigatiei s-a constatat ca Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” a dezvaluit datele personale ale persoanei vizate (nume, prenume, adresa de domiciliu, informatii referitoare la un dosar aflat pe rolul unei instante) pe un grup de WhatsApp format din 247 de membri, fara temei legal, in mod excesiv si incompatibil cu scopul initial al colectarii lor, precum si fara adoptarea unor masuri tehnice si organizatorice pentru pastrarea confidentialitii acestor date, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a), b), c), f) si alin. (2), precum si ale art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - IAMSAT Muntenia SA (februarie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca IAMSAT Muntenia SA a continuat sa prelucreze datele sale personale dupa desfacerea contractului de munca, in anul 2020. Printr-o cerere, aceasta persoana a adus la cunostinta operatorului ca nu isi da consimtamantul pentru utilizarea adresei sale de e-mail si ca se opune prelucrarii datelor sale personale de catre IAMSAT Muntenia SA sau/si de terti persoane fizice sau juridice, dupa incetarea contractului de munca. In cadrul investigatiei efectuate, s-a retinut ca IAMSAT Muntenia SA nu a prezentat dovezi cu privire la informarea prealabila si completa a angajatilor sai, inclusiv a persoanei vizate, inainte de a incepe prelucrarea datelor personale ale acestor persoane prin mijloacele de supraveghere video instalate la locul lor de munca, puse in functiune de la jumatatea anului 2020, desi operatorul avea obligatia informarii salariatilor potrivit art. 12-13 din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca IAMSAT Muntenia SA nu a solutionat cererea persoanei vizate si nu i-a comunicat un raspuns privind masurile adoptate in urma exercitarii dreptului de opozitie in cadrul termenelor legale, in conformitate cu dispozitiile art. 12 alin. (3), raportate la art. 21 din Regulamentul General privind Protectia Datelor.
Nume operator - S.C. Nobiotic Pharma SRL (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a fost sanctionat contraventional pentru incalcarea art. 58 alin. (1) din Regulamentul General privind Protectia Datelor, referitoare la obligatia operatorului de a furniza informatiile necesare Autoritatii Nationale de Supraveghere. Investigatia s-a desfasurat ca urmare a unor plangeri prin care petentul reclama faptul ca operatorul i-a transmis mesaje comerciale nesolicitate de tip SMS fara a avea consimtamantul sau. Intrucat operatorul nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, acesta a fost sanctionat cu amenda.
Nume operator - Societatea Civila Medicala Policlinica Tommed (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit anumite date personale, inclusiv de sanatate, ale unei persoane fizice catre un alt operator. In cadrul efectuarii investigatiei s-a constatat ca operatorul a dezvaluit respectivele date cu caracter personal fara respectarea principiilor de prelucrare si fara respectarea conditiilor legale de prelucrare ale datelor personale, inclusiv a celor de sanatate, si fara informarea prealabila a persoanei implicate (pacient al operatorului).
Nume operator - Telekom Romania Communications SA (noiembrie 2021)
Valoare amenda - 6.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata prin care a reclamat primirea, din partea operatorului, pe adresa sa de e-mail, a unor facturi si mesaje de notificare cu privire la restantele acumulate de o alta persoana, abonat al aceleiasi societati. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a colectat si prelucrat in mod eronat anumite date cu caracter personal inexacte, ceea ce a condus si la dezvaluirea ilegala a unor date personale catre o alta persoana fizica.
Nume operator - Valoris Center S.R.L. (octombire 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de un operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor.
Potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor cu caracter personal s-a produs ca urmare a faptului ca un angajat call center al Valoris Center S.R.L. (persoana imputernicita de operator) a atasat, dintr-o eroare, catre un client al operatorului, un fisier excel continand datele clientilor respectivului operator care au serviciul de Internet Banking. In incident au fost afectate datele a 11/160 persoane.
Nume operator - Vodafone Romania (octombire 2021)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentul General privind Protectia Datelor sau al Regulamentului (UE) nr. 611/2013. Aceasta situatie a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal ale unui numar de 6 persoane fizice, in perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajatilor operatorului la datele cu caracter personal ale clientilor Vodafone fara a exista solicitari din partea acestora). Astfel, operatorul a prelucrat datele cu caracter personal a 64 persoane fizice prin accesarea neautorizata a datelor acestora de catre angajatii operatorului in perioada 04 noiembrie 2020 – 22 iunie 2021.
Nume operator - S.P.E.E.H. Hidroelectrica S.A. (octombire 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal. Autoritatea nationala de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare. Aceasta situatie a condus la accesarea ori divulgarea ilicita catre destinatari eronati, a datelor cu caracter personal ale unui numar de 325 persoane fizice.
Nume operator - IKEA Romania SA (septembrie 2021)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de IKEA ROMANIA SA catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a unei notificari de incalcare a securitatii datelor cu caracter personal. Astfel, conform mentiunilor din formularul de notificare, IKEA ROMANIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participantii au incarcat in platforma on-line dedicata membrilor desenele proprii, impreuna cu formularele de participare, care contineau date lor cu caracter personal dar si ale parintilor/tutorilor legali, inclusiv consimtamantul acestora. In vederea votarii celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, impreuna cu datele cu caracter personal cuprinse in formularele de participare.
Nume operator - Glove Technology SRL (septembrie 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Sanctiunea a fost acordata intrucat s-a constatat faptul ca operatorul a prelucrat date cu caracter personal ale angajatilor sai prin utilizarea unui sistem audio-video (imagine si voce), fara a face dovada respectarii temeiurilor legale prevazute de art. 6 alin. (1) din RGPD, respectiv obtinerea consimtamantului persoanelor vizate, indeplinirea unei obligatii legale sau prevalenta interesului sau legitim asupra intereselor, drepturilor si libertatilor persoanelor vizate. De asemenea, s-a constatat faptul ca operatorul a luat masura monitorizarii angajatilor la locul de munca prin sisteme de supraveghere audio-video fara a respecta primul principiu statuat de art. 5 alin. (1) lit. a) din RGPD, potrivit caruia operatorul are obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoana vizata.
Nume operator - Asociatia Asistentei Rutiere A-Car (august 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la faptul ca Asociatia Asistentei Rutiere A-Car prelucreaza date cu caracter personal ale minorilor (imagine), prin intermediul site-ului. Intrucat in cadrul investigatiei declansate operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost mai intai sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679, in temeiul art. 13 din Legea nr. 190/2018. De asemenea, Autoritatea nationala de supraveghere a emis Planul de remediere prevazut de art. 13 alin. (1) din Legea 190/2018, cu masura de a furniza toate informatiile solicitate de institutia noastra in termen de 5 zile lucratoare de la data comunicarii procesului-verbal. Asociatia Asistentei Rutiere A-Car nu a adus la indeplinire masurile prevazute in planul de remediere comunicat de Autoritatea nationala de supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
Nume operator - Actamedica SRL (august 2021)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Actamedica SRL a transmis o informare unei persoane fizice in legatura cu pierderea probelor sale biologice si a unei sume de bani trimise prin intermediul unei firme de curierat, coletul ajungand deteriorat la destinatar. La solicitarea de a i se comunica ce date personale i-au fost expuse cu aceasta ocazie si daca ANSPDCP a fost notificata in legatura cu acest incident, in raspunsul trimis operatorul a indicat persoanei fizice datele de contact ale avocatului societatii si o adresa de e-mail de la firma de curierat catre care sa isi exprime ”doleantele”. In cursul investigatiei demarate Autoritatea de Nationala de Supraveghere a constatat ca Actamedica SRL nu a adoptat suficiente masuri de securitate, conform art. 28 alin. (1) si 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrarii, fapt care a condus la producerea unui incident de securitate. In acest context, s-a constatat ca nu au fost respectate prevederile art. 28 alin. (1) si art. 32 din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul nu a notificat la Autoritatea Nationala de Supraveghere incidentul de securitate sus mentionat, incalcand astfel prevederile art. 33 din Regulamentul General privind Protectia Datelor. Cu aceeasi ocazie, Autoritatea de Nationala de Supraveghere a retinut ca Actamedica SRL nu a prezentat dovezi din care sa rezulte ca a comunicat un raspuns pe adresa postala a persoanei fizice vizate cu privire la categoriile de date personale ce i-au fost expuse cu ocazia incidentului respectiv, raportat la cererea expresa transmisa. Prin urmare, s-a constatat ca nu au fost respectate prevederile art. 12 alin. (3) si 15 alin. (1) din Regulamentul General privind Protectia Datelor.
Nume operator - Amenda data unei persoane fizice (iulie 2021)
Valoare amenda - 200 euro
Motiv amenda - Operatorul a fost reclamat cu privire la faptul ca, prin distribuirea unor materiale in cadrul gospodariilor din comuna si prin postarea pe contul personal de Facebook a dezvaluit date cu caracter personal, pe de o parte, ale unei persoane fizice prin difuzarea unei fotografii a fluturasului de salariu ce apartinea acesteia si, pe de alta parte, a dezvaluit date cu caracter personal ale fiului minor al unei alte persoane vizate, continute de o fotografie a unei file din Registrul de evidenta a copiilor inscrisi la Gradinita cu Program Normal din comuna respectiva.
Nume operator - La Santrade S.R.L. (iunie 2021)
Valoare amenda - 2.000 euro
Nume operator - S.C. Dreamtime Call S.R.L (mai 2021)
Valoare amenda - 2.000 euro
Nume operator - Vodafone Romania S.A. (mai 2021)
Valoare amenda - 1.000 euro
Nume operator - Asociatie de Proprietari din municipiul Iasi (mai 2021)
Valoare amenda - 500 euro
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
De asemenea, Asociatiei de proprietari i s-a dispus sa transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Banca Comerciala Romana S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Petentul a reclamat, asadar, folosirea fara consimtamant a datelor sale personale, in alte scopuri decat cele autorizate de dumnealui, precum si utilizarea unei adrese care nu mai era de actualitate si pentru care petentul a considerat ca banca a accesat ilegal o baza de date. De asemenea, a reclamat lipsa informarii cu privire la sursa de colectare a acestor informatii conform art. 14 din RGPD, precum si lipsa primirii unui raspuns cu privire la mai multe cereri adresate de acesta BCR S.A. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. a prelucrat datele personale ale petentului fara temei legal, prin atribuirea eronata a calitatii de garant in 2019, extragerea unor date neactualizate, utilizarea si dezvaluirea datelor sale personale, in cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecatoresc, care priveau restantele la un contract de credit acumulate de o societate comerciala, clienta a bancii, cu care petentul nu avea niciun fel de relatie, cu incalcarea art. 5 alin. (1) lit. a) si d) si art. 5 alin. (2), precum si a art. 6 din RGPD.
Nume operator - Persoana fizica (aprilie 2021)
Valoare amenda - 200 euro
Nume operator - Telekom Romania Communications SA (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - World Class Romania S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - Lugera & Makler Broker S.R.L (martie 2021)
Valoare amenda - 1.500 euro
Nume operator - S.C. TIP TOP FOOD INDUSTRY S.R.L. (martie 2021)
Valoare amenda - 5.000 euro
s-a retinut faptul ca nu a putut fi considerat liber exprimat consimtamantul persoanei vizate si nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputand face dovada respectarii principiilor de prelucrare, prin raportare si la art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
Nume operator - TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. (februarie 2021)
Valoare amenda - 13.000 euro
De asemenea, s-a constatat ca operatorul nu a luat masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, de natura sa protejeze datele cu caracter personal stocate sau transmise impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nasterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraoptiuni active pe cont; istoricul facturilor simple) ale unui numar de 413 persoane vizate/clienti Telekom Romania. Subliniem ca, operatorul avea obligatia de a garanta ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile mentionate de lege, incalcandu-se astfel prevederile art. 3 alin. (1) si alin. (3) lit. a) si b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, modificata si completata.
Nume operator - S.C. Medicover S.R.L. (februarie 2021)
Valoare amenda - 2.000 euro
În urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.
Nume operator - ING Bank N.V. Amsterdam, Sucursala Bucuresti (februarie 2021)
Valoare amenda - 1.000 euro
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (februarie 2021)
Valoare amenda - 2.000 euro
In urma investigatiei s-a constatat ca operatorul nu a facut dovada existentei consimtamantului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificata si completata, desi petenta isi exercitase anterior, in repetate randuri, dreptul de opozitie fata de prelucrarea datelor sale in scop de marketing.
Nume operator - Amenda data unei persoane fizice (februarie 2021)
Valoare amenda - 500 euro
Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.
Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (ianuarie 2021)
Valoare amenda - 1.000 euro
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (decembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Qualitance QBS SA (decembrie 2020)
Valoare amenda - 1.000 euro
Nume operator - S.C. C&V Water Control S.A. (noiembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Banca Transilvania SA (noiembrie 2020)
Valoare amenda - 100.000 euro
Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
Nume operator - DADA CREATION S.R.L. (noiembrie 2020)
Valoare amenda - 5.000 euro
Nume operator - Vodafone Romania S.A. (noiembrie 2020)
Valoare amenda - 4.000 euro
Nume operator - S.C. Marsorom S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Asociația de proprietari Militari R (septembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Megareduceri TV S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Sanatatea Press Group S.R.L. (august 2020)
Valoare amenda - 2.000 euro
Nume operator - Asociatie de proprietari (august 2020)
Valoare amenda - 500 euro
Nume operator - Compania Nationala Posta Romana (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - S.C. Viva Credit IFN S.A (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - SC CNTAR TAROM SA (iulie 2020)
Valoare amenda - 5.000 euro
Nume operator - Proleasing Motors SRL (iunie 2020)
Valoare amenda - 15.000 euro
Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
Nume operator - Enel Energie Muntenia SA (mai 2020)
Valoare amenda - 4.000 euro
Nume operator - Telekom Romania Communications SA (aprilie 2020)
Valoare amenda - 3.000 euro
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.
Nume operator - Estee Lauder Romania SRL (aprilie 2020)
Valoare amenda - 3.000 euro
Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
Valoare amenda - 5.000 euro
Nume operator - Enel Energie Muntenia S.A (februarie 2020)
Valoare amenda - 3.000 euro
Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
Valoare amenda - 20.000 euro
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
Nume operator - Asociatia "SOS Infertilitatea"
Valoare amenda - 2.000 euro
Nume operator - Dante International S.A (februarie 2020)
Valoare amenda - 3.000 euro
De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.
Nume operator - Vodafone Romania S.A. (februarie 2020)
Valoare amenda - 3.000 euro
Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.
Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
Valoare amenda - 10.000 euro
De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
- masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
Nume operator - Hora Credit IFN S.A. (decembrie 2019)
Valoare amenda - 14.000 euro
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Nume operator - Asociatie de proprietari (noiembrie 2019)
Valoare amenda - 500 euro
Valoare amenda - 2.000 euro
In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.
Nume operator - Globus Score SRL (noiembrie 2019)
Valoare amenda - 2.000 euro
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Modern Barber SRL (noiembrie 2019)
Valoare amenda - 3.000 euro
Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Valoare amenda - 2.000 euro
Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Nume operator - Royal President S.R.L. (noiembrie 2019)
Valoare amenda - 2.500 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Royal President S.R.L. a refuzat solutionarea unei cereri de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor, precum si faptul ca acesta a dezvaluit date cu caracter personal fara acordul persoanei vizate.
In cadrul investigatiei, operatorul Royal President S.R.L. nu a putut face dovada solutionarii cererii de exercitare a dreptului de acces in termenul prevazut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat ca datele cu caracter personal colectate prin intermediul fisei de cazare nu au fost prelucrate intr-un mod care sa asigure securitatea lor, prin luarea de masuri tehnice sau organizatorice corepunzatoare, pentru a se putea evita orice dezvaluire neautorizata incalcandu-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) si ale art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Nume operator - SC CNTAR TAROM SA (noiembrie 2019)
Valoare amenda - 20.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
Aceasta situatie a condus la accesarea neautorizata, de catre un angajat propriu, a aplicatiei de rezervari si fotografierea unei liste continand datele cu caracter personal a 22 pasageri/clienti TAROM si la divulgarea neautorizata in mediul on-line a acestei liste.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (noiembrie 2019)
Valoare amenda - 80.000 euro
Motiv amenda - In acest sens, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.
Nume operator - Fan Courier Express SRL (octombrie 2019)
Valoare amenda - 11.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.) (noiembrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit.
In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.
Nume operator - Vodafone Romania S.A. (octombrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.
In acest context, s-a recomandat societatii sa respecte solicitarea petentului de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor.
Nume operator - Integlio Media S.A.
Valoare amenda - 9.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul conținut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro».
Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.
Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.
In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.
Nume operator - Elefant Online S.A.
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Vreau Credit S.R.L.
Valoare amenda - 20.000 euro
Motiv amenda - In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.
Nume operator - Raiffeisen Bank S.A.
Valoare amenda - 150.000 euro
Motiv amenda - In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.
Nume operator - Artmark Holding
Valoare amenda - 2.100 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat acesta nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Uttis Industries SRL
Valoare amenda - 2.500 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.
Nume operator - Legal Company&Tax Hub SRL
Valoare amenda - 3.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
Nume operator - World Trade Center Bucharest S.A.
Valoare amenda - 15.000 euro
Motiv amenda - Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
Nume operator - Unicredit BANK S.A
Valoare amenda - 130.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
Sursa: dataprotection.ro
Un produs marca