Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 4 Decembrie 2024
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
PortalProtectiaDatelor.ro Un produs marca Rentrop&Straton
  • Intrebari si raspunsuri
  • Modele de documente
  • Opinia Specialistului
  • track_changesControl protectia datelor
  • Amenzi GDPR

    Operator - Raiffeisen Bank S.A. (octombrie 2024)
    Valoare amenda - 20.000 euro
    Motiv amenda - Operatorul a fost sesizat de catre un client care reclama contractarea unui credit in numele sau. In cadrul investigatiei s-a constatat ca un angajat al operatorului a utilizat in mod nelegal cererea de credit a clientului, precum si celelalte documente aferente acestei cereri, desi clientul anuntase operatorul ca renunta la aceasta cerere. Angajatul respectiv a efectuat tranzactii de retragere numerar de la ATM si operatiuni de transfer bancar in numele mai multor persoane vizate, fiind afectate urmatoarele categorii de date cu caracter personal: nume/prenume, CNP, adresa, numar de telefon, data nasterii, numele si adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordarii, termenul de acordare, sumele acordate, sumele datorate, data scadentei, valuta, frecventa platilor etc. Investigatia Autoritatii de Supraveghere a relevat faptul ca, incepand din anul 2015, si pana in luna martie a anului 2023, au fost accesate si divulgate neautorizat datele cu caracter personal a mai multor clienti ai Raiffeisen Bank S.A. ca urmare a actiunilor efectuate de un angajat al operatorului, in scopul obtinerii unor produse financiare in numele persoanelor vizate afectate.




    Operator - Altex Romania S.A. (octombrie 2024)
    Valoare amenda - 20.000 euro
    Motiv amenda - Producerea unor incalcari a securitatii datelor cu caracter personal:
    a) operatorul a fost informat prin e-mail de catre un tert cu privire la faptul ca unele conturi ale clientilor operatorului au fost publicate pe o platforma, fiind afectate date cu caracter personal ale unui numar foarte mare de persoane vizate (nume/prenuma, e-mail, adresa de livrare, numar de telefon, istoric comenzi, date referitoare la cardurile cu care efectuau plati online, comunicari cu operatorul etc.)
    b) operatorul a constatat ca a fost victima unui atac informatic de tip "credential stuffing", prin incercari repetate de validare a parolelor asupra unor conturi ale clientilor pentru plasarea de comenzi de carduri cadou, fiind afectat un numar semnificativ de persoane vizate





    Operator - UP ROMANIA SRL (octombrie 2024)
    Valoare amenda - 4.000 euro
    Motiv amenda - Operatorul a prelucrat datele personale ale angajatului sau, colectate prin intermediul sistemului de monitorizare GPS instalat pe masina de serviciu, in timpul in care salariatul se afla in afara programului de lucru, inclusiv in perioadele de concediu, fara temei legal si cu incalcarea principiilor de prelucrare a datelor cu caracter personal. Totodata, s-a constatat ca aceasta situatie a afectat mai multi angajati ai operatorului, aflati in situatii similare.




    Operator - PPC Energie Muntenia S.A.
    Valoare amenda - 1.000 euro
    Motiv amenda - Transmiterea pe e-mail a unor mesaje comerciale nesolicitate, in ciuda faptului ca persoana vizata si-a exercitat de mai multe ori dreptul la stergere privind incetarea prelucrarii adresei sale de e-mail de catre operator. Desi persoana vizata a primit confirmarea ca adresa de e-mail respectiva va fi stearsa din baza de date, iar contul creat cu adresa de e-mail a petentului a fost sters, operatorul a continuat sa ii transmita mesaje electronice.




    Operator - Blackcab Systems SRL (octombrie 2024)
    Valoare amenda - 1.000 euro
    Motiv amenda - Un client al operatorului a adresat acestuia o cerere privind dreptul de acces si a solicitat o copie a datelor sale personale. In cadrul investigatiei desfasurate de catre Autoritatea Nationala de Supraveghere, operatorul nu a facut dovada ca a raspuns cererii petentului.




    Operator - Untold SRL (septembrie 2024)
    Valoare amenda - 10.000 euro, respectiv 5.000 euro
    Motiv amenda - 1. Amenda de 10.000 euro - Esecul de a solutiona cererea de acces la datele personale ale unei persoane vizate.
    2. Amenda de 5.000 euro - Esecul de a solutiona cererea de stergere a datelor personale ale petitionarului in termenele prevazute de Regulamentul (UE) 2016/679





    Operator -  Vodafone Romania S.A. (septembrie 2024)
    Valoare amenda - 5.000 euro
    Motiv amenda - Dezvaluirea mai multor adrese de e-mail in cadrul transmiterii unor comunicari privind schimbarea managerului de cont alocat unor clienti persoane juridice din portofoliul operatorului, mesajele fiind trimise prin posta electronica in doua luni diferite, catre mai multi reprezentanti ai clientilor si catre mai multe persoane fizice.




    Operator - IA BILET SRL (septembrie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Un client al operatorului a reclamat faptul ca operatorul i-a sters in mod nejustificat contul creat pe platforma iabilet.ro, si a refuzat reactivarea contului acestuia dupa exercitarea dreptului sau de stergere, ca urmare a faptului ca pe numarul sau de telefon a primit mesaje comerciale nesolicitate in scop de marketing.




    Operator - Profi Rom Food SRL (septembrie 2024)
    Valoare amenda - 10.000 euro
    Motiv amenda - Transmiterea unor copii ale cartilor de identitate ale mai multor angajati ai operatorului catre o societate care presta anumite servicii pentru operatorul, fara a avea temei legal.




    Operator - Your Consulting SRL
    Valoare amenda - 3.000 euro
    Motiv amenda - Accesul neautorizat la datele cu caracter personal (nume/prenume, CNP, numarul voucherelor de vacanta distribuite nominal, valoarea nominala totala a voucherelor de vacanta etc.) ale unor persoane fizice, in perioada martie-aprilie 2024, prin intermediul aplicatiei operatorului.




    Operator - Global Ports's Services S.R.L. (septembrie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Utilizarea unui sistem de monitorizare GPS pe un autoturism folosit de catre un angajat fara informarea acestuia.




    Operator - PPC ENERGIE MUNTENIA S.A. (septembrie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Operatorul nu a comunicat un raspuns la solicitarea unei persoane vizata prin care aceasta si-a exercitat dreptul de stergere a datelor cu caracter personal.




    Operator - Kaufland Romania SCS
    1. Valoare amenda - 2.000 euro
    Motiv amenda - Inregistrarea cu telefonul mobil de catre agentii de paza ai operatorului a unor imagini surprinse de camerele de supraveghere ale magazinului cu privire la un incident petrecut in incinta. Aceasta situatie a condus la accesarea neautorizata si divulgarea acestor imagini catre una dintre persoanele vizate, la cererea ei.

    2. Valoare amenda - 2.000 euro
    Motiv amenda - Fotografierea, cu telefonul mobil, ale unor imagini din camera de monitorizare a operatorului. O clienta a sesizat agentului de paza al operatorului sustragerea telefonului din geanta si a solicitat imaginile video ale incidentului. Agentul de paza i-a permis clientei accesul in camera de monitorizare. Aceasta a fotografiat imaginile cu presupusa persoana (persoana vizata) si ulterior le-a postat pe contul sau de Facebook. Situatia creata a condus la accesul neautorizat al unui tert si divulgarea neautorizata in mediul on-line a imaginii unui client. 

    3. Valoare amenda - 3.000 euro
    Motiv amenda - Pierderea confidentialitatii datelor, intrucat o angajata Kaufland implicata in procesul de recrutare al unui candidat (persoana vizata) a transmis, din eroare, un e-mail catre o alta persoana, detinatoare a unui domeniu de internet. Aceasta situatie a condus la accesul neautorizat si divulgarea neautorizata catre detinatorul domeniului de internet a datelor cu caracter personal (precum, numele, prenumele, locatia magazinului unde a aplicat) ale unei persoane care a aplicat pentru un job in cadrul operatorului.




    Operator - Kruk Romania SRL
    Valoare amenda - 3.000 euro
    Motiv amenda - In calitate de imputernicit al unui alt operator, Kruk Romania SRL a transmis eronat o serie de notificari de cesiune de creanta catre mai multi destinatari si notificari privind posibilitatea de a incheia un angajament de plata cu debitorii prin efectuarea de operatiuni manuale de prelucrare necorespunzatoare asupra bazei de date transmise de un partener contractual in baza unui contract de cesiune de creante. Aceasta situatie a condus, la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal (nume, prenume, adresa, data si numarul de contract, suma datorata etc.) cuprinse in respectivele documente.




    Operator - Ana Hotels SRL (iulie 2024)
    Valoare amenda - 8.000 euro
    Motiv amenda - Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unui atac informatic de tip ransomware, situatie ce a condus la divulgarea neautorizata a unor date cu caracter personal prelucrate si stocate prin sistemele informatice ale Ana Hotels SRL, pentru un numar semnificativ de persoane vizate, angajati ai operatorului.




    Operator - BEST ELAN ONLINE SRL (iulie 2024)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata in urma unei plângeri transmise de o persoana vizata care a semnalat faptul ca primea mesaje comerciale nesolicitate din partea operatorului, desi persoana fizica a solicitat stergerea datelor sale personale, inclusiv prin accesarea unui link pus la dispozitia persoanelor vizate de catre operator.




    Operatori - Retele Electrice Muntenia SA & Retele Electrice Dobrogea SA
    Valoare amenzi - 3.000, respectiv 1.000 euro
    Motiv amenzi - Investigatiile au fost demarate ca urmare a unor sesizari prin care s-a semnalat faptul ca un utilizator conectat la contul sau pe site-ul comun al celor doi operatori putea sa vizualizeze datele personale ale altor clienti ai operatorilor.




    Operator - Corint Logistic S.R.L. (aprilie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Un client al operatorului a reclamat ca pe numarul sau de telefon a primit mesaje comerciale de tip SMS din partea Corint Logistic SRL, desi si-a exercitat dreptul de stergere si primise confirmarea ca datele sale personale au fost sterse.




    Operator - S.C. Rompetrol Downstream S.R.L. (aprilie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la compromiterea confidentialitatii datelor cu caracter personal ale propriilor clienti, prin divulgarea neautorizata pe retele de socializare.




    Operator - Urban Home Development S.R.L.
    Valoare amenda - 10.000 lei
    Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care s-a semnalat o posibila incalcare a prevederilor legale privind prelucrarea datelor cu caracter personal intrucat pe site-ul operatorului nu era afisata informarea privind drepturile persoanelor vizate potrivit RGPD si nici informarea referitoare la utilizarea cookies.




    Operator - IRIDEX GROUP SALUBRIZARE SRL
    Valoare amenda - 2.000 euro
    Motiv amenda - Transmiterea pe adresele de e-mail ale clientilor societatii a unui mesaj electronic colectiv, fiind vizibile adresele tuturor clientilor.




    Operator - MEDICOVER SRL
    Valoare amenda - 1.000 euro
    Motiv amenda - Divulgarea neautorizata a datelor cu caracter personal dintr-un raport medical de consultatie catre un alt pacient caruia nu ii era destinat.




    Operator - Genpact Romania SRL
    Valoare amenda - 3.000 euro
    Motiv amenda - Transmiterea unui fisier care continea date referitoare la recrutarea personalului pe o adresa de e-mail neautorizata a unui angajat.




    Operator - CENTRUL MEDICAL UNIREA SRL
    Valoare amenda - 5.000 euro
    Motiv amenda - Dezvaluirea neautorizata a datelor personale (nume/prenume, CNP, data nasterii, varsta, sex, numerele de telefon adresele de e-mail personale sau de serviciu, informatii cu privire la adresa de corespondenta, profesie, pontaj, targeturi si bonusuri etc.) ale unui numar semnificativ de persoane vizate, atat pacienti cat si angajati ai operatorului.




    Operator - ALPHA BANK ROMANIA SA
    Valoare amenda - 2.000 euro
    Motiv amenda - Unul dintre sistemele de evidenta ale operatorului a fost administrat in mod eronat de catre un angajat, conducand astfel la incalcarea confidentialitatii datelor cu caracter personal prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal ale unui numar determinat de clienti.




    Operator - SC Tensa Art Design SA (aprilie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Operatorul, detinator al site-ului www.lensa.ro, a prelucrat numarul de telefon al unei persoane vizate in scop de marketing direct, fara consimtamantul acestuia, comunicandu-i mesaje comerciale de tip SMS.




    Operator - Centrul Medical dr. Furtuna Dan (aprilie 2024)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a fost demarata intrucat operatorul nu a transmis Autoritatii Nationale de Supraveghere dovezi cu privire la respectarea masurilor corective dispuse anterior.




    Operator - Sectorul 1 al Municipiului Bucuresti (februarie 2024)
    Valoare amenda - 159.000 lei
    Motiv amenda - Operatorul a fost sanctionat cu amenda cominatorie intrucat nu a dus la indeplinire masura de remediere dispusa prin procesul-verbal de constatare/sanctionare emisa in cadrul unei investigatii anterioare.




    Operator - EURO MINI STORAGE ROMANIA SRL (februarie 2024)
    Valoare amenda - 5.000 euro
    Motiv amenda - Bresa de securitate s-a produs ca urmare a unui atac informatic ce a generat inclusiv un incident de incalcare a disponibilitatii si confidentialitatii datelor cu caracter personal la nivelul serverului utilizat in infrastructura IT a operatorului, activitatea acestuia fiind indisponibilizata timp de cateva saptamani.




    Operator - VESTAS CEU ROMANIA SRL (februarie 2024)
    Valoare amenda - 3.000 euro
    Motiv amenda - Incalcarea securitatii datelor s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal precum nume, localitate domiciliu, salariu, CV (care continea, in functie de caz: fotografie, date de contact, adresa, nationalitate, gen, stare civila, link-uri catre profiluri pe retele sociale, experienta profesionala, educatie etc.), pentru un numar semnificativ de angajati, aceste date fiind accesate de la nivel intern, in repetate randuri, si divulgate in mod ilegal catre un tert.




    Operator - Account Exchange SRL (ianuarie 2024)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care s-a semnalat faptul ca operatorul a utilizat datele cu caracter personal ale mai multor persoane fizice in vederea deschiderii unor conturi curente in moneda virtuala in numele acestora.




    Operator - Asociatie de proprietari (ianuarie 2024)
    Valoare amenda - 500 euro
    Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit datele unei persoane fizice prin postarea unei notificari pe grupul de WhatsApp al membrilor Asociatiei de proprietari prin care petenta solicita operatorului o serie de informatii si documente legate de functionarea Asociatiei.




    Operator - Sector 1 al Municipiului Bucuresti (decembrie 2023)
    Valoare amenda - 10.000 lei
    Motiv amenda - Operatorul Sectorul 1 al Municipiului Bucuresti, prin hotarari ale Consiliul Local, a stabilit modul in care locuitorii Sectorului 1 pot transmite documentele necesare pentru a beneficia de stimulentele financiare ale programului "Masuri locale destinate asigurarii nevoilor energetice si eficientizarii consumului de energie in gospodariile din Sectorul 1", respectiv in format fizic sau pe o adresa de e-mail, constituita strict in scopul implementarii programului. Cu toate acestea, Sectorul 1 al Municipiului Bucuresti a pus la dispozitia beneficiarilor o platforma on-line pentru colectarea datelor, achizitionata inainte ca proiectul de hotarare sa fie dezbatut si aprobat in cadrul Consiliului Local.




    Operator - TECHNINK LEB SRL (decembrie 2023)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii datelor s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (ID, adresa, nume, prenume, adresa de e-mail, companie, vanzari, activ, abonat la buletinul informativ, inregistrare si ultima vizita) pentru un numar semnificativ de clienti, aceste date fiind accesibile pe site-ul operatorului.




    Operator - Alior Bank SA (decembrie 2023)
    Valoare amenda - 17.000 euro
    Motiv amenda - Petentul (fost client) a reclamat faptul ca operatorul i-a trimis o corespondenta electronica nesolicitata, atat pe adresa de e-mail, cat si prin SMS, desi aceasta solicitase anterior stergerea tuturor datelor sale personale, aspect ce i-a fost confirmat de operator prin comunicarea de incetare a contractelor bancare incheiate, precum si prin inchiderea conturilor bancare aferente. De asemenea, petentul a sesizat si faptul ca au existat anterior si situatii in care operatorul a transmis prin e-mail o corespondenta cu caracter comercial, desi acesta isi exercitase dreptul de opozitie. In cadrul investigatiei s-a constatat ca banca, dupa incetarea relatiei contractuale cu clientii, continua sa monitorizeze activitatea acestora si sa transmita mesaje privind anumite operatiuni.




    Operator - Persoana fizica (noiembrie 2023)
    Valoare amenda - 200 euro
    Motiv amenda - In cadrul investigatiei efectuate in urma unei sesizari s-a constatat faptul ca operatorul sanctionat (persoana fizica) nu a dus la indeplinire o masura corectiva aplicata de Autoritate printr-un procesul-verbal emis anterior, desi operatorul avea obligatia de a permite accesul Autoritatii la datele cu caracter personal si la toate informatiile necesare in vederea indeplinirii sarcinilor de control ale institutiei noastre.




    Operator - Veranda Obor SA (decembrie 2023)
    Valoare amenda - 3.000 euro
    Motiv amenda - Pe site-ul ce apartine operatorului au fost afisate date cu caracter personal (precum: nume/prenume, e-mail) ale unui numar semnificativ de persoane vizate care au participat la o tombola organizata de centrul comercial.




    Operator - Hora Credit IFN SA (noiembrie 2023)
    Valoare amenda - 24.000 euro
    Motiv amenda - Sanctiunea a fost aplicata in urma unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului, pe adresa sa de e-mail, documente ce contineau date personale ale unei alte persoane, client al operatorului. Desi petentul a sesizat eroarea operatorului, acesta nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail a acestuia.




    Operator - SC Sweat Concept One SA (noiembrie 2023)
    Valoare amenda - 10.000 lei
    Motiv amenda - In cadrul investigatiei efectuate, s-a constatat faptul ca operatorul permitea stocarea de informatii si obtinerea accesului la informatiile stocate pe echipamentele utilizatorilor prin folosirea fisierelor de tip cookies disponibile pe site-ul operatorului, fara obtinerea prealabila a consimtamantului expres, asa cum prevede art. 4 alin. (5) din Legea nr. 506/2004.




    Operator - Libra Internet Bank SA (noiembrie 2023)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a vizat modalitatea in care operatorul a raspuns la cererea unei persoane vizate de acces la date in urma masurii corective aplicate de Autoritatea Nationala de Supraveghere. Operatorul nu a dat curs integral masurii corective dispuse, iar in raspunsul trimis petentului nu i-a comunicat acestuia, in mod corespunzator si in termenul stabilit, toate informatiile legate de categoriile de date personale prelucrate in legatura cu petentul, scopurile prelucrarii, destinatarii sau categoriile de destinatari.




    Operator - Rompetrol Downstream SRL (octombrie 2023)
    Valoare amenda -  110.000 euro
    Motiv amenda - Accesarea de la nivel intern si utilizarea in mod neautorizat, in repetate randuri, a datelor unor clienti din programul informatic detinut de companie si divulgarea in mod ilegal a datelor personale ale unor clienti, in scopul obtinerii unor credite de la societati financiare nebancare in numele acestora. Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (nume/prenume, seria si numarul cartii de identitate, CNP, adresa etc.) si date din adeverinta de salariu (nume/prenume, data, semnatura, veniturile realizate, vechimea in munca).




    Operator - OTP Bank Romania SA (octombrie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Transmiterea pe e-mail a datelor personale ale unei cliente catre o alta persoana. Totodata, s-a constatat ca operatorul nu a notificat ANSPDCP in privinta incidentului de securitate, incalcand astfel art. 33 din RGPD.




    Operator - Asociatie de proprietari (octombrie 2023)
    Valoare amenda -  2.487,25 lei
    Motiv amenda - Dezvaluirea, fara temei legal, a numelui si prenumelui proprietarilor blocului respectiv prin afisarea acestora la listele de intretinere.




    Operator - SC Spark Car Sharing SRL (octombrie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - 
    Operatorul nu a prelucrat adresa de e-mail a clientului in scop de marketing direct nici in baza consimtamantului si nici in baza altui temei legal. De asemenea, s-a constatat ca persoana fizica a solicitat stergerea tuturor datelor sale din aplicatie. Cu toate ca operatorul a informat clientul ca ii va sterge datele, a continuat sa transmita o serie de mesaje de marketing direct pe adresa de e-mail a acestuia.




    Operator - Mensajero SRL (octombrie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Incalcarea securitatii prelucrarii datelor s-a produs prin posibilitatea de accesare unui link ce afisa o lista cu numeroase fisiere descarcabile care contineau, in mare parte, facturi si certificate de garantie ale produselor achizitionate de clientii operatorului.





    Operator - DANTE INTERNATIONAL SA (septembrie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca Dante International SA, detinatoare a www.fashiondays.ro, a prelucrat numarul de telefon al petentului in scop de marketing direct fara consimtamantul sau, comunicandu-i mesaje comerciale de tip SMS.





    Operator - CEZ Vanzare S.A. (septembrie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - In cadrul investigatiei s-a constatat ca operatorul a transmis clientilor beneficiari ai serviciului de furnizare gaze naturale, prin intermediul adresei de e-mail, preavize de deconectare, intrucat acestia nu au permis accesul personalului operatorului de distributie gaze pentru citirea sau inlocuirea echipamentelor de masurare de la locul de consum. In timpul transmiterii mesajului prin posta electronica au fost transcrise eronat unele adrese ale destinatarilor, astfel ca avizele de deconectare au fost comunicate altor clienti decat titularilor locului de consum. Astfel, au fost dezvaluite numele si prenumele, adresa de corespondenta, adresa locului de consum, codul de client, codul locului de consum atat ale unor persoane fizice, cat si ale unor persoane juridice.




    Operator - RESTART ENERGY ONE S.A. (septembrie 2023)
    Valoare amenda -  25.000 euro, respectiv 40.000 lei
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la o potentiala incalcare a securitatii datelor cu caracter personal pe site-ul operatorului. Mai exact, un fisier din site-ul operatorului care continea date cu caracter personal (nume/prenume, adresa, numere de telefon, e-mail, numar de contract si data incheierii acestuia) pentru un numar de cel putin 750 persoane vizate, a fost accesibil public, prin accesarea unui link generat de motoarele de cautare, pentru o perioada de aproximativ 2 ani si jumatate. De asemenea, s-a constatat si ca prin accesarea website-ului administrat de operator se instalau pe dispozitivul utilizatorului module cookie care nu erau necesare din punct de vedere tehnic, inainte de acordarea consimtamantului prin apasarea butonului de Accept, iar exprimarea dezacordului prin accesarea butonului Refuz cu privire la instalarea acestor module cookies nu avea nicio influenta asupra acestora, ele ramanand instalate in forma initiala, pentru o anumita perioada de timp, pe dispozitivul utilizatorului.




    Operator - UAT Comuna Albeni (iunie 2023)
    Valoare amenda -  10.000 lei
    Motiv amenda - Investigata a fost demarata in urma unei plangeri referitoare la o posibila incalcare a prevederilor legale privitoare la prelucrarea datelor de catre UAT Comuna Albeni, prin intermediul unor camere de supraveghere video prin care ar fi monitorizati si verificati toti angajatii primariei de catre primar, s-a constatat faptul ca operatorul sanctionat nu a adus la indeplinire masuri dispuse anterior de Autoritatea nationala de supraveghere printr-un plan de remediere si nu a raspuns solicitarilor Autoritatii.




    Operator - NN Asigurari de Viata S.A. (septembrie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana vizata care a reclamat faptul ca operatorul NN i-a incalcat dreptul de opozitie, prin trimiterea de mesaje in scop de marketing, prin mesageria Linkedin. Astfel, operatorul nu a respectat dispozi?iile legale privind prelucrarea datelor cu caracter personal, intrucat nu a luat in considerare cererile petentului, transmise prin posta electronica, prin care si-a exprimat optiunea de a nu mai fi contactat cu mesaje de tip marketing direct fara consimtamantul sau.




    Operator - ISRA Center Marketing Research SRL (august 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana fizica care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate pe adresa de e-mail. Operatorul a colectat datele personale ale persoanei vizate (spre exemplu, numele, prenumele, adresa de e-mail, locul de munca) in mod indirect, din surse publice, in vederea unei propuneri de participare la o cercetare de piata.




    Operator -  Persoana fizica (iunie 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - Operatorul sanctionat (medic) a filmat, cu telefonul personal, o pacienta a spitalului in care lucreaza, fara consimtamantul acesteia si ulterior a postat filmarea pe pagina sa de Facebook. Inregistrarea audio-video a condus la dezvaluirea datelor personale ale pacientei, precum imagine, voce, nume, prenume si stare de sanatate. Operatorul a sters in cursul aceleiasi zile inregistrarea de pe pagina sa de Facebook, dar nu inainte ca aceasta sa fie vizualizata de un numar foarte mare de persoane si sa fie preluata si diseminata pe diverse site-uri de internet si canale mass-media.




    Operator -  BODY LINE SRL (iulie 2023)
    Valoare amenda -  10.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) prin postarea unei inregistrari audio-video pe paginile de socializare ale operatorului. In cursul investigatiei efectuate s-a constatat ca operatorul, prin intermediul paginilor sale de socializare, a diseminat datele petentului din inregistrarea audio-video si a folosit in comentarii un apelativ ce dezvaluia originea etnica a acestuia, fara a avea temei legal. De asemenea, operatorul nu a dat curs cererii petentului de stergere a datelor.




    Operator -  UiPath SRL (iulie 2023)
    Valoare amenda -  70.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Avand in vedere ca sediul central al operatorului este in Romania, Autoritatea Nationala de Supraveghere a avut rolul de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL. Incalcarea confidentialitatii datelor a constat in publicarea datelor cu caracter personal a unui numar de aproximativ 600.000 de utilizatori ai platformei Academy pe un website accesibil la o adresa URL. Astfel, au fost divulgate neautorizat numele si prenumele fiecarui utilizator, identificatorul unic al utilizatorilor, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY.




    Operator -  Med Life SA (iulie 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - Amenda a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentei dreptul de acces, refuzand sa-i comunice anumite inregistrari video din receptia unui spital al acestuia. 




    Operator - ING BANK (iunie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca a avut loc o transmitere neautorizata, prin intermediul aplicatiei WhatsApp, a unui fisier format .pdf ce continea date cu caracter personal. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale unui numar semnificativ de clienti ai operatorului.




    Operator - Farmacia Ardealul SRL (mai 2023)
    Valoare amenda -  2.500 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca, pe site-ul operatorului, a fost instalat neautorizat un program de tip malware sub forma unui formular fictiv de colectare a datelor bancare. Aceasta situatie a condus la incalcarea confidentialitatii datelor cu caracter personal (date bancare) ale unui numar semnificativ de clienti. 




    Operator - Vodafone Romania SA (mai 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentului dreptul de acces, refuzand sa-i comunice anumite inregistrari ale convorbirilor cu call-center-ul companiei. De asemenea, ANSPDCP a constatat ca operatorul nu a facut dovada ca a transmis un raspuns petentului la cererea sa de exercitare a dreptului de acces in termen de 30 de zile, incalcand astfel prevederile art. 15 alin. (3) din RGPD.




    Operator - Dante International SA (mai 2023)
    Valoare amenda -  40.000 euro
    Motiv amenda - Autoritatea Nationala de Supraveghere a fost sesizata de autoritatea pentru protectia datelor (DPA) din Ungaria cu privire la plangerile formulate de trei persoane fizice din acest stat impotriva Dante International SA. In cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:

    1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu. Acestuia i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata). In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
    2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului si prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele eMAG au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere. In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre operator. Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
    3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrat de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail. In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionat? pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.





    Operator - BRD - Group Societe Generale SA (mai 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - In cadrul investigatiei s-a constatat ca operatorul a divulgat ilegal date personale si financiare ale unui client al bancii si ale altor persoane, date care au fost transmise catre o instanta de judecata, fara a exista o solicitare a acesteia si fara a fi luate, in prealabil, masuri prin care sa fie verificate legitimitatea unei astfel de dezvaluiri a datelor personale.




    Operator - Artima SA (mai 2023)
    Valoare amenda -  8.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcarea a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat ca anumiti angajati ai operatorului au accesat sistemul de supraveghere video si au filmat cu telefonul mobil personal monitorul pe care se derulau inregistrarile sistemului. Ulterior, unul dintre angajati a transmis imaginile unei terte persoane, iar imaginile respective au fost postate de catre aceasta persoana pe Facebook. Astfel, au fost dezvaluite imaginea unei persoane fizice, numarul de inmatriculare, culoarea si marca autovehiculului acesteia, ceea ce a condus la pierdere confidentialitatii datelor cu caracter personal. 




    Operator - SC Apollo Salon SRL (mai 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate prin SMS, desi acesta, in repetate randuri, si-a exercitat dreptul de stergere, conform Regulamentului (UE) 2016/679.




    Operator - Global Baby Brands SRL (mai 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului mai multe mesaje comerciale SMS, fara consimtamantul acestuia. 




    Operator - Automobile Bavaria SRL (mai 2023)
    Valoare amenda -  18.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare securitatii datelor cu caracter personal. Incalcarea securitatii s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (nume, prenume, oras, adresa de e-mail, numar de telefon, model autoturism curent, an fabricatie autoturism curent, optiune buy-back etc.) pentru un numar de 290 clienti/potentiali clienti ai operatorului, in perioada iulie 2022-04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului. 




    Operator - NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. si NN Asigurari de Viata S.A. (aprilie 2023)
    Valoare amenda -  1.500, respectiv 1.000 euro
    Motiv amenda - Ambii operatori au fost sanctionati in urma efectuarii unor modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de a pastra paginile web in memoria acesteia. Astfel, a fost permisa vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei, a datelor personale care nu le apartineau. Aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (nume/prenume, CNP, adresa din cartea de identitate etc.), fiind afectate doua persoane vizate. De asemenea, modificarile de configuratie respective nu au fost supuse unui proces de testare la nivelul operatorului. 




    Operator - Compania Nationala Posta Romana S.A. (aprilie 2023)
    Valoare amenda -  5.000 euro
    Motiv amenda - Sanctiunea a fost aplicata in urma unor sesizari referitoare la completarea Formularului 230 de catre operator, cu date cu caracter personal ale propriilor angajati, in vederea redirectionarii procentului de 3,5% din impozitul anual pe venit al acestora catre o fundatie apartinand aceluiasi angajator. In cadrul investigatiei efectuate s-a constatat faptul ca operatorul a completat partial Formularul 230 cu date ale angajatilor (nume/prenume si CNP), fara sa existe o obligatie legala a acestuia in acest sens si fara sa faca dovada indeplinirii conditiilor prevazute in Regulamentul (UE) 2016/679.




    Operator - Libra Internet Bank SA (martie 2023)
    Valoare amenda -  11.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat refuzul operatorului de a da curs integral cererii de exercitare a dreptului de acces al persoanei vizate, precum si omisiunea de a ii furniza acesteia anumite informatii. Cererea persoanei respective viza accesul la copii ale inregistrarilor video prelucrate de catre operator ce o privesc. In cadrul investigatiei s-a constatat faptul ca operatorul nu a prezentat dovezi din care sa rezulta ca a transmis un raspuns complet la cererea persoanei vizate. Totodata, raspunsul trimit persoanei vizate prin e-mail nu continea informatii cu privire la posibilitatea sa de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac juridica pentru refuzul de a i se comunica informatiile solicitate.




    Operator - Tensa Art Design SA (martie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul i-a transmis mesaje comerciale nesolicitate, desi acesta isi exercizase dreptul de opozitie, solicitand anterior dezabonarea de la serviciul de newsletter.




    Operator - Partidul Uniunea Salvati Romania (martie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari, redirectionate de institutia Avocatul Poporului, prin care se reclama faptul ca pe site-ul Partidului Uniunea Salvati Romania au fost postate date cu caracter personal apartinand unor persoane cu grade diferite de dizabilitate. In cadrul investigatiei desfasurate s-a constatat faptul ca operatorul a preluat date cu caracter personal ale unor persoane vizate (nume/prenume, CNP, adresa, numar certificat de expertiza medicala, grad de handicap etc.) din documentele oficiale ale autoritatilor si institutiilor publice. Acestea au fost publicate ulterior pe site-ul partidului, in cadrul unui proiect al USR, cu incalcarea principiilor de prelucrare, fara a avea un temei legal pentru aceasta prelucrare.




    Operator - Regency Company SRL (martie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei sesizari de catre o persoana fizica, ce a semnalat faptul ca angajatii si colaboratorii societatii sunt supravegheati audio/video la locul de munca, fara acordul acestora. In cadrul investigatiei s-a constatat ca operatorul, prin intermediul sistemului de supraveghere instalat in birouri si sala de mese, prelucra date cu caracter personal cu nerespectarea principiilor de prelucrare, in lipsa unui temei legal de prelucrare care sa justifice o asemenea intruziune.




    Operator - Banca Transilvania SA (martie 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - Conform petitiei transmise de catre o persoana fizica, client al operatorului, acesta a solicitat Bancii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesarii de catre acesta doar a contului in EURO. La momentul ridicarii cardului, clientul si persoana care avea drept de operare pe contul respectiv utilizau o aplicatie de Mobile Banking a operatorului, care permitea restrictionarea vizualizarii unor conturi. In urma cererii de actualizare date (Achizitie produse/servicii bancare) pentru o noua aplicatie mobila destinata prestarii de servicii, si a activarii serviciului de Mobile Banking, ruda petentului a putut accesa neautorizat toate conturile titularului, nu doar pe cel in euro, conform cererii acestuia. 




    Operator - Tensa Art Design SRL (martie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei plangeri, prin care se reclama faptul ca petentii au primit mesaje comerciale pe numarul de telefon, respectiv adresa de e-mail, desi acestia isi exprimasera optiunea de a nu mai fi contactati prin aceste modalitati. Astfel, ANSPDCP a constatat faptul ca operatorul nu a luat in considerare opozitia petentilor cu privire la primirea mesajelor comerciale prin SMS/e-mail, si a prelucrat datele cu caracter personal ale acestora in scop de marketing direct, incalcand astfel prevederile art. 21 alin (3) din RGPD.




    Operator - Persoana fizica (martie 2023)
    Valoare amenda -  450 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii unei sesizari prin care se reclama faptul ca operatorul a postat prin intermediul unei retele de socializare datele cu caracter personal a numeroase persoane fizice. Astfel, persoana fizica respectiva a dezvaluit fatele cu caracter personal (nume/prenume, localitatea de domiciliu) ale mai multor persoane vizate prin intermediul unei retele de socializare, fara consimtamantul acestora.




    Operator - Tehnoplus Industry SRL (februarie 2023)
    Valoare amenda -  5.000 euro
    Motiv amenda - Investigatia a avut loc ca urmare a unei plangeri prin care se reclama faptul ca operatorul prelucra datele cu caracter personal ale petentului prin intermediul sistemului GPS instalat pe masina de serviciu, fara sa fi fost informat cu privire la monitorizarea autovehiculului, scopul si temeiul legal al prelucrarii, si durata de stocare a datelor colectate. Petentul a reclamat si faptul ca informatiile preluate din sistemul GPS erau utilizate de operator in alt scop, decat acela al monitorizarii masinii de serviciu. Investigatia a relevat faptul ca operatorul a prelucrat in mod excesiv, in afara orelor de serviciu, datele de localizare ale petentului, angajat al operatorului. Totodata, s-a constatat ca operatorul a stocat datele respective dupa expirarea duratei de stocare, fara sa prezinte dovezi din care sa rezulta ca depasirea termenului a fost bazata pe motive justificate.




    Operator - Med Life S.A. (februarie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata in urma unei sesizari, prin care s-a reclamat faptul ca un pacient a primit, prin e-mail, pe langa buletinul de investigatie propriu, si o serie de fisiere care contineau rezultatele unor investigatii ce apartineau alort cinci pacienti. Documentele atasate contineau numele/prenumele, data nasterii, data examinarii, motivul examinarii, rezultatul investigatiilor medicale, diagnosticul, precum si concluziile rezultate in urma examinarii medicale ale pacientilor respectivi. 




    Operator - Centrul Medical dr. Furtuna Dan (februarie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - In cadrul investigatiei desfasurate, Autoritatea Nationala de Supraveghere a constatat faptul ca operatorul a transmis pe numarul de telefon al unei persoane fizice, prin intermediul aplicatiei WhatsApp, un mesaj ce continea date medicale ce apartineau altor doua persoane vizate. Acest incident a condus la incalcarea confidentialitatii datelor prelucrate de catre operator, prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, numar de telefon, rezultate ale unor teste medicale.




    Operator - Alianta pentru Unirea Romanilor (februarie 2023)
    Valoare amenda -  10.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari conform carora operatorul colecteaza date cu caracter personal prin intermediul unui site, fara a realiza informarea persoanelor vizate si fara indeplinirea conditiilor privind legalitatea prelucrarii. In cadrul investigatiei s-a constatat faptul ca anumite date cu caracter personal (nume/prenume, adresa, seria si numarul cartii de identitate, CNP, numar de telefon, semnatura) erau colectate de catre operator. Colectare a fost efectuata prin completarea si semnarea unui formular online de pe site-ul respectiv, prin transmiterea acestuia descarcat, completat si semnat prin posta, precum si prin completarea si semnarea formularului la centrele speciale organizate de AUR.




    Operator - Partidul Uniunea Salvati Romania (februarie 2023)
    Valoare amenda -  4.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii s-a propus ca urmare a pierderii confidentialitatii si integritatii datelor stocate intr-un server al operatorului, in urma unui atac cibernetic de tip phishing.




    Operator - Modaone SRL (ianuarie 2023)
    Valoare amenda -  2.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre o persoana vizata a unei plangeri conform careia i s-au transmis mesaje comerciale de pe www.kalapod.net (site detinut de operator) pe adresa de e-mail, desi i se comunicase anterior ca nu va mai primi astfel de mesaje.




    Operator - Tinmar Energy SA (februarie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - In cadrul investigatiei efectuate s-a constatat incalcarea securitatii prelucrarii datelor prin accesarea neautorizata a serverului de e-mail al operatorului. Acest lucru a condus la accesul la anumite date cu caracter personal, precum: nume/prenume, e-mail, CNP, numar de telefon si adrese de domiciliu.




    Operator - Integral Collection SRL (februarie 2023)
    Valoare amenda -  3.000 euro
    Motiv amenda - Similar investigatiei anterioare, securitatea datelor cu caracter personal a fost afectat in urma unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal colectate de catre operator.




    Operator - Finopro IFN SA (februarie 2023)
    Valoare amenda -  2.250 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat faptul ca incalcarea securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, situatie ce a rezultat in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal (date de identificare, date din carti de identitate, adrese, numere de telefon, extrase de cont).




    Operator - Medijobs Platform SRL (ianuarie 2023)
    Valoare amenda -  5.000 euro
    Motiv amenda - Operatorul a transmis catre Autoritatea Nationala de Supraveghere o notificare de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei demarate s-a constatat faptul ca infrastructura IT gestionata de operator a fost accesata neautorizat, facand posibila descarcarea si stergerea anumitor date cu caracter personal. Aceasta situatie a condus la divulgarea neautorizata/accesul neautorizata la date cu caracter personal din CV-urile candidatilor, precum: nume/prenume, e-mail, telefon, istoric profesional/educational etc.




    Operator - Tensa Art Design SA (ianuarie 2023)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata in urma unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul ii trimitea constant mesaje nesolicitate. In cadrul investigatiei s-a constatat faptul ca operatorul a transmis persoanei vizate prin intermediul postei electronice, in repetate randuri, mesaje comerciale nesolicitate, desi acesta solicitase anterior dezabonarea de la serviciul de newsletter al operatorului.




    Operatori - Dent Estet Clinic SA & medic stomatolog, colaborator al operatorului (decembrie 2022)
    Valori amenzi -  1.000 euro,respectiv 1.000 euro
    Motiv amenzi - Investigatiile au fost demarate in urma unei plangeri transmise de catre o persoana vizata, prin care s-a reclamat faptul ca operatorii Dent Estet Clinic SA si medicul colaborator i-au divulgat datele de sanatate in mediul online. In cadrul investigatiilor s-a constatat ca cei doi operatori au divulgat informatii medical referitoare la tratamentul ortodontic al petitionarului, prin publicarea unui articol pe un blog de specialitate a unui set de fotografii si radiografii care se puteau corela cu numele persoanei. Totodata, Autoritatea de Supraveghere a constatat ca medicul stomatolog colaborator a prelucrat datele personale privind starea de sanatate a persoanei vizate, in cadrul unui articol postat pe blogul personal, fara sa prezinte dovezi privind obtinerea consimtamantului expres al persoanei vizate, si fara informarea sa prealabila.




    Operator - Dante International SA (decembrie 2022)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, conform careia operatorul Dante International SA, detinatoare emag.ro, a incalcat dreptul la stergerea datelor cu caracter personal. Mai exact, operatorul a transmis catre numarul de telefon al petentului un SMS de informare cu privire la ofertele comerciale ale societatii, desi acesta solicitase anterior stergerea contului si a datelor nerelevante.




    Operator - BRISTOL LOGISTICS SA (decembrie 2022)
    Valoare amenda -  2.000 euro
    Motiv amenda - Incidentul de incalcare a securitatii a constat in sustragere unui biblioraft continand dosarele de personal a 12 angajati ai operatorului, conducand astfel la accesarea de date personale de catre persoane neautorizate. Datele cu caracter personal care au fost accesate neautorizat au inclus: date de contact/identificare, pregatirea academica si profesionala, detalii de angajare, informatii referitoare la deduceri de taxe si persoane aflate in intretinere, calificative de medicina muncii. 




    Operator - Apa Canal Ilfov SA (decembrie 2022)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Mai exact, pentru a transmite un mesaj electronic catre utilizatorii inregistrati pe portalul online al societatii, operatorul a introdus eronat adresele de e-mail la sectiunea "To", in loc de "BCC". Aceasta incalcare a condus la divulgarea neautorizata/accesul neautorizat la date cu caracter personal (adresa de e-mail), fiind afectat un numar semnificativ de persoane fizice.




    Operator - Asociatie de proprietari din Iasi (noiembrie 2022)
    Valoare amenda -  500 euro
    Motiv amenda - Operatorul a afisat listele de plata ce contineau numele/prenumele fiecarui membru al Asociatiei de proprietari. Petentul plangerii initiale a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale. Pe langa amenda, operatorului i s-a aplicat si masura corectiva de a lua masurile necesare astfel incat sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile RGPD si sa evita prelucrarea (inclusiv dezvaluirea) datelor cu caracter personal fara consimtamantul persoanelor vizate si fara existenta unei alte situatii in care consimtamantul nu este necesar.




    Operator - Kaufland Romania SCS (noiembrie 2022)
    Valoare amenda -  3.000 euro
    Motiv amenda - Operatorul a fost sesizat de o persoana vizata asupra faptului ca o inregistrare video ce contine imagini cu persoana sa din parcarea unuia dintre magazinele Kaufland a aparut pe pagina web a unui ziar local. In urma investigatiei a rezultat ca managerul magazinului respectiv a permis accesul unui angajat in camera de monitorizare, care a captat, cu telefonul mobil personal, imagini ale inregistrarilor video. Ulterior, angajatul a transmis inregistrarea unui tert, iar imaginile au fost publicate online. Astfel, au fost dezvaluite imaginea si numar de inmatriculare a al masinii, fiind afectate de acest incident doua persoane vizate. 




    Operator - SUDREZIDENTIAL Broker S.R.L. (noiembrie 2022)
    Valoare amenda -  10.000 euro
    Motiv amenda - In cadrul investigatiei s-a constatat faptul ca operatorul nu a luat masuri adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, ceea ce a condus la intocmirea unei evidente in format Excel care continea datele cu caracter personal (nume/prenume, CNP, numar telefon, serie si numar carte de identitate, adresa de e-mail, date bancare, achizitii de imobile, stare civila etc.) ale clientilor operatorului si ale altor persoane fizice, parteneri de viata ai clientilor. Astfel, au fost divulgate neautorizat catre publicul larg datele personale a cel putin 509 persoane vizate, clienti ai operatorului, prin publicarea acestora de catre administratorul societatii pe o anumita pagina de internet. De asemenea, s-a constatat ca operatorul nu a informat persoanele vizate cu privire la aceasta incalcare a securitatii datelor cu caracter personal, incalcandu-se astfel prevederile art. 34 din RGPD.




    Operator - Autoritatea Nationala pentru Restituirea Proprietatilor (ANRP) - noiembrie 2022
    Valoare amenda -  13.000 lei
    Motiv amenda - Investigatia a fost demarata pentru verificarea indeplinirii de catre ANRP a masurilor de remediere dispuse anterior acestui operator. Printr-un proces verbal anterior, operatorul ANRP a fost sanctionat cu avertisment pentru incalcarea prevederilor RGPD, fiind obligat totodata, ca in termen de 20 de zile, sa asigure conformitatea cu dispozitiile RGPD a operatiunilor de prelucrare a datelor cu caracter personal, inclusiv a celor efectuate prin intermediul sistemului de supraveghere video, prin implementarea de masuri tehnice si organizatorice ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor. Intrucat operatorul nu a comunicat masurile luate, in luna noiembrie 2022, s-a efectuat o noua investigatie la ANRP cu privire la indeplinirea masurilor prevazute in planul de remediere anexa la procesul-verbal din septembrie 2022.Totodata, reprezentantii operatorului au sustinut ca nu au avut loc instruiri periodice  ale persoanelor care actioneaza sub autoritatea ANRP.




    Operator - Societatea Energetica Electrica S.A. (noiembrie 2022)
    Valoare amenda -  5.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiteri de catre operator a unei notificari cu privire la incalcarea confidentialitatii datelor cu caracter personal. Pe langa amenda acordata, operatorul a primit din partea Autoritatii de Supraveghere si recomandarea de a lua toate masurile necesare pentru respectarea prevederilor art. 46 - 49 din RGPD.




    Operator - Casa Rusu S.R.L (noiembrie 2022)
    Valoare amenda -  2.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre Casa Rusu S.R.L. a unei notificari de incalcare a securitatii prelucrarii datelor. Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca a fost introdus in sectiunea de plati on-line a site-ului pe care il detine operatorul un formular neautorizat prin care se colectau date bancare continute de cardurile clientilor. In consecinta, au fost accesate neautorizat date cu caracter personal, precum: nume/prenume, numarul cardului bancar, data si anul expirarii, cod CVC. 




    Operator - OTP LEASING ROMANIA IFN SA (noiembrie 2022)
    Valoare amenda -  3.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. In notificarea transmisa, operatorul a sustinut ca a fost informat de catre o persoana fizica ca aceasta a putut accesa in mod neautorizat platforma My Leasing, prin alterarea adresei de URL si crearea unui cont de administrator. Astfel, a avut acces la datele clientilor operatorului, persoane juridice. In cadrul investigatiei s-a constatat ca unii dintre clientii operatorului, persoane juridice, si-au inrolat in platforma, ca date de contact, adrese de e-mail care contineau nume, prenume, adresa de e-mail si numar de telefon ale reprezentantilor (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate in mod neautorizat pe platforma.




    Operator - Medicover S.R.L. (noiembrie 2022)
    Valoare amenda -  1.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Incalcarea securitatii prelucrarii datelor s-a produs in urma transmiterii catre un client al operatorului a unui e-mail ce continea acte aditionale ale contractelor de prestari servicii medicale ce apartineau altor clienti ai operatorului. In consecinta, au fost divulgate neautorizat date cu caracter personal precum: nume/prenume, CNP, adresa, semnatura.




    Operator - ING Bank NV Amsterdam Sucursala Bucuresti (octombrie 2022)
    Valoare amenda -  20.000 euro
    Motiv amenda -  Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. La baza notificarii au stat informatii potrivit carora s-au accesat si divulgat neautorizat datele cu caracter personal ale unor persoane vizate: date de identificare asociate actului de identitate, date de contact, date de natura bancara (tranzactii si produse detinute, date asociate cardului), username si parola asociate contului din aplicatia de Internet Banking.




    Operator - Asociatia de Proprietari Bld. Pipera 1-2E (octombrie 2022)​
    Valoare amenda -  300 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri din partea unei persoane fizice care a semnalat faptul ca presedintele Asociatiei de Proprietari Bld. Pipera 1-2E a dezvaluit pe grupul de Whatsapp al blocului inregistrari din sistemul de supraveghere video administrat de Asociatie care cuprindeau imagini cu petitionarul. 




    Operator - Raiffeisen Bank SA (septembrie 2022)​
    Valoare amenda -  28.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a transmiterii de catre operator a 17 notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal. 1) In doua situatii, s-a procedat la efectuarea unor operatiuni de prescoring pentru clienti sau potentiali clienti, fara ca documentatia aferenta interogarii sa fie semnata de solicitantii respectivi; 2) Un alt incident a constat in transmiterea prin e-mail a unor date confidentiale catre o alta persoana decat persoana vizata; 3) Un incident similar s-a produs ca urmare a faptului ca doi clienti ai operatorului au depus sesizari asemanatoare, iar in momentul pregatirii e-mailului de raspuns la sesizarea primului client, operatorului a anexat in emailul transmis acestuia documente cu date personale apartinand celuilalt client; 4) Un alt incident a privit o situatie ce implica si suspiciuni de frauda interna in creditare si a constat in efectuarea de operatiuni specifice acordarii unui credit pentru un client persoana fizica, fara prezenta solicitantului la sediul agentiei, si solicitarea de facilitati de tip Card de Credit si actualizarea datelor persoanelor vizate prin modificarea numarului de telefon al acesteia cu numarul de telefon al angajatului bancii si introducerea unei adrese de e-mail fictive; 5) Alt incident similar a constat in prelucrarea de date in legatura cu acordarea a trei facilitati de credit, in numele unei persoane fizice, client al bancii, fara ca aceasta sa fi solicitat in realitate acele credite; 6) O alta incalcare a vizat divulgarea neautorizata a datelor cu caracter personal ale unor clienti catre alti clienti ai operatorului.   



    Operator - SC Das Sense Society SRL (octombrie 2022)
    Valoare amenda -  1.000 euro
    Motiv amenda -  Conform plangerii formulate catre Autoritatea de Supraveghere, la punctul de lucru al operatorului erau instalate camere de supraveghere care surprindeau imagini atat de pe domeniul public (trotuar si strada), cat si de pe domeniul privat (rampa si scarile de acces ale unui complex de locuinte, accesul intr-un supermarket).




    Operator - SC Prestige Media PHG SRL (octombrie 2022)
    Valoare amenda -  5.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmarea unei sesizari, conform careia pe site-ul operatorului au fost publicate documente confidentiale, printre care si decizii de incetare a contractelor individuale de munca ale unor angajati ai unei alte societati. In cadrul investigatiei s-a constatat ca pe site-ul respectiv erau afisate 23 de astfel de decizii ce contineau date cu caracter personal (nume/prenume, functie, nr. contract de munca, abateri disciplinare) ale mai multor persoane fizice care nu aveau niciun fel de raportui juridice cu SC Prestige Media PHG SRL.




    Operator - Compania Nationala Posta Romana SA (octombrie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda -  Operatorul, in calitate de imputernicit, a pierdut anumite trimiteri postale care contineau decizii de stabilire a drepturilor de pensie, carnete de munca si certificate de deces, fiind afectate 35 de persoane fizice.




    Operator - Persoana fizica (octombrie 2022)
    Valoare amenda - 150 euro
    Motiv amenda - In calitate de operator, o persoana fizica care a avut acces la anumite date divulgate accidental, a folosit neautorizat datele respective, fara consimtamantul persoanei careia ii apartineau datele.




    Operator - SC Materiale Constructii Online SRL (octombrie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca reprezentatii site-ului www.depozit-online.ro nu au dat curs solicitarii sale de stergere a contului.




    Operator - Persoana fizica (septembrie 2022)
    Valoare amenda - 150 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat o posibila incalcare a securitatii prelucrarii de catre site-ul https://centralpoint.ro. In urma investigatiei Autoritatea Nationala de Supraveghere a constatat ca persoana fizica respectiva, detinatorul site-ului, a publicat pe acest site o serie de date cu caracter personal, precum: CNP, numarul de telefon, seria si numarul actului de identitate, detalii bancare (achizitii de imobile), stare civila. In urma dezvaluirii neautorizate a acestor date au fost afectate 383 de persoane fizice.




    Nume operator - Banca Comerciala Romana SA (septembrie 2022)
    Valoare amenda -  2.000 euro
    Motiv amenda - Investigatia a fost demarata in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Potrivit formularului de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unei erori tehnice a unei aplicatii IT a operatorului. In cadrul investigatiei s-a constatat ca au fost trimise e-mailuri continand datele cu caracter personal ale unor clienti catre alti clienti. Acest lucru a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, adresa de domiciliu, numar de telefon, adresa de e-mail, alaturi de informatii financiare generate eronat privind castigul cumulat, pierderea cumulata, castigul net, pierderea neta etc. In urma acestui incident au fost afectate 564 de persoane fizice vizate, clienti ai bancii.




    Nume operator - Vodafone Romania SA (septembrie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a doua notificari de incalcarea a securitatii datelor. In cadrul investigatiei s-a constatat ca operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de catre imputernicitii sai, ceea ce a permis unor terte persoane sa achizitioneze in mod fraudulos telefoane noi in numele unor clienti ai operatorului. Totodata, aceste terte persoane au avut acces la datele din contractele incheiate de clienti cu operatorul si a datelor din conturile personale My Vodafone, precum: nume/prenume, adresa, CNP, numarul de telefon de contact, codul PUK, numarul de contact al titularului contului, seria SIM a cartelei initiale, valoarea ultimei facturi neplatite si traficul de date.




    Nume operator - Bitfactor SRL (august 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Incalcarea securitatii datelor s-a produs ca urmare a functionarii defectuase a unei aplicatii a operatorului care trimitea comunicari de marketing utilizatorilor site-ului acestuia, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal a unui numar de 1.757 de persoane vizate, utilizatori ai site-ului operatorului.




    Nume operator - Curtea Veche Publishing SRL (august 2022)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Una dintre incalcari s-a produs ca urmare a postarii pe un forum public a unui fisier care continea baza de date a clientilor operatorului din perioada 2019-2021. Ca urmare, datele personale (nume/prenume, numar de telefon, e-mail, adresa IP) a 10.739 de clienti ai operatorului au fost divulgate. Cea de-a doua incalcare a securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii anumitor date cu caracter personal a aproximativ 100 de persoane vizate (angajati si colaboratori ai operatorului).




    Nume operator  SC Raiffeisen Bank SA (august 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca un operator ii transmite pe numarul sau de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani catre anumite persoane, transferuri pe care petentul nu le-a efectuat. In cadrul investigatiei efectuate s-a constatat ca la nivelul SC Raiffeisen Bank SA, in calitate de imputernicit, s-a introdus in mod eronat numarul de telefon al petentului in cadrul aplicatiei pusa la dispozitie de operator prin care se initiau tranzactii la solicitarea clientilor. De asemenea, s-a retinut faptul ca petentul nu a fost client al SC Raiffeisen Bank SA si nu a solicitat initierea unor tranzactii prin intermediul aplicatiei operatorului.




    Nume operator  Realmedia Network SA (imobiliare.ro) (august 2022)
    Valoare amenda - 8.000 euro
    Motiv amenda - In urma unor informatii din mediul on-line, Autoritatea de Supraveghere s-a autosesizat cu privire la o posibila bresa de securitate a datelor cu caracter personal aparuta la Realmedia Network SA. In cadrul investigatiei efectuate s-a constatat faptul ca incalcarea securitatii prelucrarii datelor s-a produs la nivelul unui serviciu utilizat de operator pentru operarea platformei imobiliare.ro. Aceasta situatie a condus la divulgarea neautorizata sau accesul neautorizat la urmatoarele date cu caracter personal: nume, prenume, numar de telefon, adresa de e-mail, adresa postala, cod numeric personal, semnatura, copii ale cartilor de identitate, inclusiv coduri de identificare, functie/calitate, date bancare, informatii incluse in extrase de carte funciara/schite cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor, ceea ce a condus la afectarea unui numar de 194.309  persoane fizice vizate.





    Nume operator  Alpha Bank Romania SA (iulie 2022)
    Valoare amenda - 1.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor care a fost transmisa de Alpha Bank Romania SA, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. Astfel, potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicatiei de Whatsapp. In cadrul efectuarii investigatiei a rezultat ca aceasta incalcare a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele si prenumele, CNP, functia si semnatura, tipul de credit, numarul si data semnarii contractului, perioada de creditare si data ultimei scadente, fiind afectate de incident un numar de 4  persoane fizice vizate.





    Nume operator  Enel Energie Muntenia S.A. (iulie 2022)
    Valoare amenda - 10.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza. In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere. De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale. Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.






    Nume operator CDI Transport Intern si International SRL (iulie 2022)
    Valoare amenda - 7.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care a fost semnalat faptul ca pe site-ul societatii nu se regasesc informatii privind modalitatea de colectare a datelor cu caracter personal, privind drepturile prevazute la art. 15-22 din Regulamentul General privind Protectia Datelor de care beneficiaza persoanele vizate, privind modul de exercitare a acestor drepturi si nici cu privire la faptul ca operatorul are obligatia de a informa persoanele vizate in situatia unei incalcari a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate, ca urmare a faptului ca operatorul nu a furnizat informatiile solicitate de institutia noastra, in termenul legal, s-a constatat incalcarea prevederilor art. 58 alin. (1) lit. (a) si (e) din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca operatorul nu a asigurat o informare clara, completa si corecta a persoanelor vizate ale caror date cu caracter personal se prelucreaza de catre societate intrucat nu a oferit toate informatiile prevazute de dispozitiile art. 12-22 din Regulamentul General privind Protectia Datelor, cum ar fi cele referitoare la scopul prelucrarii si temeiul juridic, identitatea si datele de contact ale operatorului, perioada pentru care vor fi stocate datele sau criteriile utilizate pentru a stabili aceasta perioada, conditiile de exercitare a drepturilor. Ca atare, s-a constatat incalcarea prevederile art. 12 alin. (1) din Regulamentul General privind Protectia Datelor





    Nume operator  SC Wabag Water Services SRL (iulie 2022)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unor plangeri din partea unei petente care reclama faptul ca datele sale cu caracter personal au fost utilizate de propriul angajator (SC Wabag Water Services SRL), fara consimtamantul sau, in vederea inscrierii si programarii sale pe platforma nationala de vaccinare pentru efectuarea vaccinului impotriva Covid-19. In cadrul investigatiei s-a retinut ca operatorul operatorul  a utilizat datele cu caracter personal ale petentei (angajata a operatorului) in scopul inscrierii si programarii acesteia pe platforma nationala de programare pentru vaccinarea impotriva Covid-19, in anul 2021, fara a face dovada existentei consimtamantului petentei si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a) si alin. (2)  si ale art. 6 din Regulamentul (UE) 2016/679.

     



    Nume operator  Denmar Nacrut SRL ( iulie 2022)
    Valoare amenda - 2.500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana fizica a semnalat faptul ca persoane vizate, clienti ai SC Denmar Nacrut SRL, erau supravegheate video in timpul prestarii unor servicii cosmetice. In cadrul investigatiei efectuate, s-a constatat ca operatorul  detine un sistem de supraveghere video montat atat in interiorul, cat si in exteriorul spatiului unde isi desfasoara activitatea operatorul, care monitorizeaza atat angajatii cat si clientii. De asemenea, s-a retinut faptul ca operatorul nu a facut dovada realizarii unei informari clare, complete si corecte a angajatilor sai si a persoanelor vizate ale caror date cu caracter personal (respectiv imaginea) se prelucreaza prin intermediul camerelor video de supraveghere, prin comunicarea tuturor informatiilor prevazute de art. 13 din Regulamentul General privind Protectia Datelor si in conditiile de transparenta din art. 12 din acelasi regulament.

    Totodata, a rezultat ca operatorul nu a facut dovada unor incidente existente anterior care sa justifice interesul sau legitim care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate. Astfel, s-a constatat ca operatorul a prelucrat in mod excesiv datele (imaginile) clientilor si angajatilor sai, prin intermediul camerei video instalate in incinta unde se efectuau tratamente cosmetice. Datele astfel prelucrate nu au fost adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care erau prelucrate (“reducerea la minimum a datelor”). Scopul declarat de operator putea fi realizat prin mijloace mai putin intruzive pentru viata privata a clientilor si angajatilor sai.





    Nume operator Sephora Cosmetics Romania S.A. ( iulie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri din partea unei petente care reclama faptul ca a primit pe numarul sau de telefon mesaje comerciale tip SMS, din partea Sephora Cosmetics Romania SA. Totodata aceasta sustinea ca in urma solicitarilor sale repetate, transmise la finalul anului 2020, de a nu-i mai fi utilizate datele in scop de marketing, Sephora a informat-o la inceputul anului 2021 ca datele sale nu vor mai fi prelucrate in scop de marketing. Cu toate acestea, ulterior, in cursul anului 2021, petenta a primit mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics Romania SA.
    In cadrul investigatiei efectuate s-a constatat ca Sephora Cosmetics Romania SA a transmis petentei, pe numarul sau de telefon, in mai multe randuri, in cursul anului 2021, mesaje comerciale in scop de marketing, desi aceasta, prin cererile transmise operatorului in anul 2020, isi exercitase dreptul de opozitie cu privirea la utilizarea numarului propriu de telefon in scop de marketing.





    Nume operator S.C. Delivery Solutions S.A. (Sameday) ( iunie 2022)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vanzare pe site-ul https://raidforums.com/Thread-SELLING-=ae-SAMEDAY-RO-Romanian-Postal-Service. In cadrul investigatiei efectuate, s-a retinut faptul ca S.C. Delivery Solutions S.A. (Sameday) este persoana imputernicita a doua societati pentru prelucrarea datelor cu caracter personal, fiind obligata sa ia toate masurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, asa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv impotriva divulgarii si/sau accesului neautorizat la date. De asemenea, s-a constatat ca date cu caracter personal apartinand unui numar de 26566 persoane fizice vizate (numar si data AWB – documentul de transport ce insoteste obligatoriu expedierea oricarui colet, indicative curieri, nume expeditor, nume si prenume destinatar, numar de telefon, adresa, status livrare, tipul serviciului, greutate colet, suma de incasat, intervalul de livrare) erau disponibile spre vanzare pe forumul RaidForums si puteau fi accesate utilizand link-ul https://raidforums.com/Thread-SELLING-=æ-SAMEDAY-RO-Romanian-Postal-Service.






    Nume operator E Software Concept SRL (iunie 2022)
    Valoare amenda - 4.000 euro
    Motiv amenda - In cadrul investigatiei s-a constatat faptul ca, pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente (cum ar fi facturile emise de E SOFTWARE CONCEPT SRL catre clientii sai, persoane fizice si juridice, si AWB-urile - documente de transport ce insotesc obligatoriu expedierea coletelor, emise de solicitantii serviciilor de curierat) prin care s-au dezvaluit urmatoarele date cu caracter personal: nume, prenume, adresa expeditor si destinatar, numar de telefon, username si parola, adrese de e-mail. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale clientilor operatorului (persoane fizice si juridice). Astfel, societatea E SOFTWARE CONCEPT SRL a fost sanctionata cu amenda pentru incalcarea prevederilor art. 32 alin. (1) lit. b) si alin. (2) din Regulamentul General privind Protectia Datelor, intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul a fost sanctionat cu amenda intrucat nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale.






    Nume operator Continental Automotive Romania SRL (iunie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator in cursul anului 2022, in temeiul dispozitiilor Regulamentului General privind Protectia Datelor, a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a retinut ca operatorul a descoperit la sediul sau din Timisoara, in afara sistemului oficial de camere, un numar de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate in mijlocul zonei de productie.

     




    Nume operator SC Interactions Marketing SRL (mai 2022)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unor plangeri formulate de o persoana vizata care a reclamat faptul ca un operator a transmis prin e-mail un mesaj comercial catre mai multe persoane dezvaluind astfel adresele de e-mail ale acestora. In cadrul investigatiei efectuate s-a constatat ca SC Interactions Marketing SRL, in calitate de imputernicit, a derulat o campanie pentru operatorul reclamat, in cadrul careia a transmis un mesaj comercial catre adresele de posta electronica apartinand unui numar de 27 de persoane, fara ascunderea acestora, permitand astfel divulgarea neautorizata a adreselor de e-mail catre ceilalti destinatari.






    Nume operator Asociatia de Proprietari Aviatiei Park (mai 2022)
    Valoare amenda - 7.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
    Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor. In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
    Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
     






    Nume operator Wens Experience SRL (mai 2022)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.

     

     





    Nume operator Kaufland Romania SCS (mai 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator, in cursul anului 2022, a doua notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor. Una dintre incalcarile securitatii datelor a constat in accesul neautorizat al unor angajati ai operatorului la datele cu caracter personal ale clientilor Kaufland. Astfel, angajatul operatorului care a preluat plangerea unei petente nu a respectat procedura interna de solutionare a unei reclamatii si a permis vizualizarea documentului de catre agentul de paza care ulterior a utilizat necorespunzator respectivele date, situatie ce a condus la incalcarea confidentialitatii datelor personale ale petentei. In cadrul investigatiei s-a constatat ca operatorul nu a asigurat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la datele cu caracter personal nu le prelucreaza decat la cererea operatorului, incalcandu-se prevederile art. 29 si art. 32 din Regulamentul General privind Protectia Datelor. Cea de-a doua incalcare a securitatii datelor a constat in transmiterea eronata catre un alt destinatar a unei foi de comanda a unui client prin intermediul unor platforme de livrare. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, numar de telefon) ale clientului Kaufland ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru in cazul livrarilor prin intermediul platformelor partenere.




    Nume operator Wens Experience SRL (mai 2022)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.





    Nume operator S.C. Wine Point S.R.L. (mai 2022)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana vizata a semnalat faptul ca a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat si altor persoane,  adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari. In cadrul investigatiei efectuate, s-a constatat ca operatorul nu a implementat suficiente masuri tehnice si organizatorice in vederea asigurarii confidentialitatii datelor personale prelucrate prin transmiterea de la adresa de posta electronica a operatorului a unui mesaj comercial promotional catre adresele de e-mail ale mai multor persoane vizate.




    Nume operator MEDLIFE S.A. (aprilie 2022)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demarata in urma unei sesizari cu privire la o posibila incalcare a dispozitiilor RGPD, ca urmare a identificarii de catre o persoana fizica, a unor documente care contineau date cu caracter personal, inclusiv date sensibile, aruncate la un cos de gunoi al unei unitati administrativ-teritoriale. Documentele atasate sesizarii contineau date cu caracter personal ale unor clienti/pacienti ai MEDLIFE S.A.
    In cadrul investigatiei s-a constatat ca operatorul MEDLIFE S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de confidentialitate si securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicita a datelor cu caracter personal ale clientilor proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicala efectuata, suma achitata, cont bancar) si ale angajatilor sai (salariu avans), in perioada iulie 2020 – august 2020. Desi operatorul avea obligatia de a lua masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, s-a constatat ca nu a luat masurile necesare, incalcand astfel prevederile art. 32 alin. (1) lit. b), alin. (2) si alin. (4) din Regulamentul (UE) 2016/679.

     




    Nume operator Kredyt Inkaso Investments RO S.A. (aprilie 2022)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca operatorul  a dezvaluit datele sale personale si ale copilului sau minor catre anumite unitati medicale.
    In cadrul investigatiei efectuate, s-a constatat ca operatorul a dezvaluit datele petentei (adresa de domiciliu, cod numeric personal, functia detinuta, date privind contractul de munca, date din certificatele de concediu medical) catre anumiti medici si anumite unitati medicale cu care aceasta nu avea niciun fel de raporturi juridice. De asemenea, s-a constatat ca prelucrarea datelor privind starea de sanatate ale petentei nu putea fi efectuata in temeiul interesului legitim intrucat acesta nu se regaseste printre conditiile de prelucrare prevazute de art. 9 din RGPD.
    Asadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvaluirea ilegala si excesiva a acestora, inclusiv a datelor privind starea de sanatate, cu incalcarea principiilor de prelucrare pevazute de art. 5 alin. (1) lit. a), c), alin. (2) si a conditiilor de legalitate prevazute de art. 6 si art. 9 din RGPD. Totodata, s-a constatat ca operatorul nu a respectat termenele pentru notificarea incidentului de securitate produs in momentul dezvaluirii datelor petentei catre un medic cu care petenta nu avea raporturi juridice, incalcandu-se astfel prevederile art. 33 din RGPD.





    Nume operator MAYR MELNHOF PACKAGING ROMANIA S.R.L. (aprilie 2022)
    Valoare amenda - 1.500 euro
    Motiv amenda - In cadrul investigatiei efectuate, s-a constatat ca operatorul MAYR MELNHOF PACKAGING ROMANIA S.R.L. avea montat un sistem de camere de supraveghere, iar unele dintre aceste camere supravegheau inclusiv sala de mese si locul de fumat. Astfel, a rezultat ca operatorul monitorizeaza excesiv salariatii in sala de mese si spatiile destinate fumatului, raportat la scopul invocat de a asigura sanatatea si securitatea salariatilor si al securitatii bunurilor. In acest context, s-a constatat ca imaginile nu au fost prelucrate intr-un mod adecvat, relevant si limitat la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (principiul reducerii la minimum a datelor), ceea ce constituie o incalcarea a dispozitiilor art. 5 alin. (1) lit. b) si c), alin. (2) si art. 6 din Regulamentul General privind Protectia Datelor.




    Nume operator LORIS FUEL SHOP SRL (aprilie 2022)
    Valoare amenda - 1.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama publicarea pe Facebook a unor imagini in care acesta era surprins si care proveneau de pe monitorul apartinand unui sistem de supraveghere video instalat intr-o statie de alimentare cu carburant din judetul Harghita.
    In cadrul investigatiei s-a constatat ca operatorul LORIS FUEL SHOP SRL, in calitate de persoana imputernicita, nu a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate cu privire la imaginile inregistrate prin intermediul sistemului de televiziune instalat in statiile folosite, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati). Aceasta a condus la vizualizarea si filmarea de catre terte persoane neautorizate a imaginilor camerelor video din punctul de lucru din judetul Harghita, ulterior fiind dezvaluite pe o retea de socializare, incalcandu-se astfel prevederile art. 29 si 32 alin. (4) din Regulamentul (UE) 2016/679.



    Nume operator Concordia Capital IFN S.A. (aprilie 2022)
    Valoare amenda - 4.000 euro
    Motiv amenda -  Sanctiunea a fost aplicata ca urmare a unei sesizari prin care se reclama faptul ca operatorul a instalat camere audio-video in birourile angajatilor sai cu incalcarea prevederilor legale in materia protectiei datelor personale.In cadrul investigatiei demarate de Autoritatea de supraveghere, s-au constatat urmatoarele
    - ca operatorul nu a facut dovada ca scopul invocat in regulamentul sau intern (asigurarea protectiei persoanelor, bunurilor si valorilor angajatorului si ale angajatilor) este unul justificat si ca au fost folosite alte mijloace mai putin intruzive pentru atingerea acestuia care nu si-au dovedit eficienta, anterior adoptarii deciziei luate in anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca;
    - ca operatorul nu a prezentat dovezi cu privire la respectarea principiilor de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) si alin. (2) si a conditiilor de legalitate prevazute de art. 6 din Regulamentul General privind Protectia Datelor.



    Nume operator - Megareduceri TV S.R.L.  (martie 2022)
    Valoare amenda - 4.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a plangerilor mai multor petenti care ne-au sesizat cu privire la faptul ca au primit prin sms mesaje comerciale care promoveaza serviciile de pe site-ul www.reducerazi.ro, fara sa isi fi exprimat consimtamantul pentru a primi astfel de mesaje, pe numerele personale de telefon.




    Nume operator - Asociatia de Proprietari din Str. Soporului 17  (martie 2022)
    Valoare amenda - 500 euro
    Motiv amenda -  Investigatia s-a desfasurat ca urmare a unei plangeri formulate de o persoana vizata prin care se reclama faptul ca operatorul a dezvaluit pe grupul de Facebook al blocului in care domiciliaza imagini cu persoana sa din sistemul de supraveghere video gestionat de asociatie. Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda. De asemenea, s-a dispus sa se transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.

     



    Nume operator - Condor SA  (martie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca operatorul Condor SA a divulgat date personale de natura salariala ale angajatilor ori fostilor angajati ai acestui operator catre persoane neautorizate. In cadrul investigatiei efectuate, s-a constatat ca a avut loc un acces neautorizat la unele documente neparolate care contineau o serie de date personale ale angajatilor ori fostilor angajati, cum ar fi: locul de munca, numele, prenumele, functia, salariul de incadrare, suma pentru avans, contul bancar, codurile numerice personale. In consecinta, Autoritatea Nationala de Supraveghere a constatat ca operatorul Condor SA nu a prezentat dovezi din care sa rezulte ca a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate ale angajatilor ori fostilor sai angajati.




    Nume operator - Kaufland Romania SCS (februarie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a unei plangeri, iar in cadrul investigatiei efectuate, s-a constatat ca operatorul Kaufland nu i-a furnizat petentului o copie a tuturor inregistrarilor din sistemul de supraveghere video, ceea ce constituie o incalcare a art. 15 alin. (3) din Regulamentul General privind Protectia Datelor. Astfel, s-a constatat ca operatorul nu a transmis, la cererea persoanei vizate, o copie integrala a inregistrarilor ce o privesc, din incinta magazinului, desi acestea erau disponibile la momentul solicitat de aceasta.




    Nume operator - Briza Land S.R.L. (februarie 2022)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama faptul ca nu este multumit de raspunsul primit din partea operatorului la cererea sa de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, s-a constatat ca operatorul nu a comunicat petentului toate informatiile cu privire la prelucrarea datelor sale personale (cum ar fi datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor), incalcandu-se astfel prevederile art. 15 din RGPD.



    Nume operator - Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” (februarie 2022)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) fara acordul si informarea sa prealabila, prin postarea unei adrese primite de acesta de la o institutie publica pe un grup de WhatsApp folosit de avocatii unui barou. In cadrul investigatiei s-a constatat ca Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” a dezvaluit datele personale ale persoanei vizate (nume, prenume, adresa de domiciliu, informatii referitoare la un dosar aflat pe rolul unei instante) pe un grup de WhatsApp format din 247 de membri, fara temei legal, in mod excesiv si incompatibil cu scopul initial al colectarii lor, precum si fara adoptarea unor masuri tehnice si organizatorice pentru pastrarea confidentialitii acestor date, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a), b), c), f) si alin. (2), precum si ale art. 6 din Regulamentul General privind Protectia Datelor.




    Nume operator - IAMSAT Muntenia SA (februarie 2022)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca IAMSAT Muntenia SA a continuat sa prelucreze datele sale personale dupa desfacerea contractului de munca, in anul 2020. Printr-o cerere, aceasta persoana a adus la cunostinta operatorului ca nu isi da consimtamantul pentru utilizarea adresei sale de e-mail si ca se opune prelucrarii datelor sale personale de catre IAMSAT Muntenia SA sau/si de terti persoane fizice sau juridice, dupa incetarea contractului de munca. In cadrul investigatiei efectuate, s-a retinut ca IAMSAT Muntenia SA nu a prezentat dovezi cu privire la informarea prealabila si completa a angajatilor sai, inclusiv a persoanei vizate, inainte de a incepe prelucrarea datelor personale ale acestor persoane prin mijloacele de supraveghere video instalate la locul lor de munca, puse in functiune de la jumatatea anului 2020, desi operatorul avea obligatia informarii salariatilor potrivit art. 12-13 din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca IAMSAT Muntenia SA nu a solutionat cererea persoanei vizate si nu i-a comunicat un raspuns privind masurile adoptate in urma exercitarii dreptului de opozitie in cadrul termenelor legale, in conformitate cu dispozitiile art. 12 alin. (3), raportate la art. 21 din Regulamentul General privind Protectia Datelor.



    Nume operator - S.C. Nobiotic Pharma SRL (noiembrie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Operatorul a fost sanctionat contraventional pentru incalcarea art. 58 alin. (1) din Regulamentul General privind Protectia Datelor, referitoare la obligatia operatorului de a furniza informatiile necesare Autoritatii Nationale de Supraveghere. Investigatia s-a desfasurat ca urmare a unor plangeri prin care petentul reclama faptul ca operatorul i-a transmis mesaje comerciale nesolicitate de tip SMS fara a avea consimtamantul sau. Intrucat operatorul nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, acesta a fost sanctionat cu amenda.



    Nume operator - Societatea Civila Medicala Policlinica Tommed (noiembrie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit anumite date personale, inclusiv de sanatate, ale unei persoane fizice catre un alt operator. In cadrul efectuarii investigatiei s-a constatat ca operatorul a dezvaluit respectivele date cu caracter personal fara respectarea principiilor de prelucrare si fara respectarea conditiilor legale de prelucrare ale datelor personale, inclusiv a celor de sanatate, si fara informarea prealabila a persoanei implicate (pacient al operatorului).



    Nume operator - Telekom Romania Communications SA (noiembrie 2021)
    Valoare amenda - 6.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata prin care a reclamat primirea, din partea operatorului, pe adresa sa de e-mail, a unor facturi si mesaje de notificare cu privire la restantele acumulate de o alta persoana, abonat al aceleiasi societati. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a colectat si prelucrat in mod eronat anumite date cu caracter personal inexacte, ceea ce a condus si la dezvaluirea ilegala a unor date personale catre o alta persoana fizica.



    Nume operator - Valoris Center S.R.L. (octombire 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de un operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor.
    Potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor cu caracter personal s-a produs ca urmare a faptului ca un angajat call center al Valoris Center S.R.L. (persoana imputernicita de operator) a atasat, dintr-o eroare, catre un client al operatorului, un fisier excel continand datele clientilor respectivului operator care au serviciul de Internet Banking. In incident au fost afectate datele a 11/160 persoane.



    Nume operator - Vodafone Romania​ (octombire 2021)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentul General privind Protectia Datelor sau al Regulamentului (UE) nr. 611/2013. Aceasta situatie a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal ale unui numar de 6 persoane fizice, in perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajatilor operatorului la datele cu caracter personal ale clientilor Vodafone fara a exista solicitari din partea acestora).  Astfel, operatorul a prelucrat datele cu caracter personal a 64 persoane fizice prin accesarea neautorizata a datelor acestora de catre angajatii operatorului in perioada 04 noiembrie 2020 – 22 iunie 2021.



    Nume operator -  S.P.E.E.H. Hidroelectrica S.A.​ (octombire 2021)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal. Autoritatea nationala de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare. Aceasta situatie a condus la accesarea ori divulgarea ilicita catre destinatari eronati, a datelor cu caracter personal ale unui numar de 325 persoane fizice.




    Nume operator -   IKEA Romania SA (septembrie 2021)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de IKEA ROMANIA SA catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a unei notificari de incalcare a securitatii datelor cu caracter personal. Astfel, conform mentiunilor din formularul de notificare, IKEA ROMANIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participantii au incarcat in platforma on-line dedicata membrilor desenele proprii, impreuna cu formularele de participare, care contineau date lor cu caracter personal dar si ale parintilor/tutorilor legali, inclusiv consimtamantul acestora. In vederea votarii celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, impreuna cu datele cu caracter personal cuprinse in formularele de participare.




    Nume operator -   Glove Technology SRL (septembrie 2021)
    Valoare amenda - 5.000 euro
    Motiv amenda - Sanctiunea a fost  acordata intrucat s-a constatat faptul ca operatorul  a prelucrat date cu caracter personal ale angajatilor sai prin utilizarea unui sistem audio-video (imagine si voce), fara a face dovada respectarii temeiurilor legale prevazute de art. 6 alin. (1) din RGPD, respectiv obtinerea consimtamantului persoanelor vizate, indeplinirea unei obligatii legale sau prevalenta interesului sau legitim asupra intereselor, drepturilor si libertatilor persoanelor vizate. De asemenea, s-a constatat faptul ca operatorul a luat masura monitorizarii angajatilor la locul de munca prin sisteme de supraveghere audio-video fara a respecta primul principiu statuat de art. 5 alin. (1) lit. a) din RGPD, potrivit caruia operatorul are obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoana vizata.




    Nume operator -   Asociatia Asistentei Rutiere A-Car (august 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la faptul ca Asociatia Asistentei Rutiere A-Car prelucreaza date cu caracter personal ale minorilor (imagine), prin intermediul site-ului. Intrucat in cadrul investigatiei declansate operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost mai intai sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679, in temeiul art. 13 din Legea nr. 190/2018. De asemenea, Autoritatea nationala de supraveghere a emis Planul de remediere prevazut de art. 13 alin. (1) din Legea 190/2018, cu masura de a furniza toate informatiile solicitate de institutia noastra in termen de 5 zile lucratoare de la data comunicarii procesului-verbal. Asociatia Asistentei Rutiere A-Car nu a adus la indeplinire masurile prevazute in planul de remediere comunicat de Autoritatea nationala de supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.




    Nume operator -   Actamedica SRL (august 2021)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Actamedica SRL  a transmis o informare unei persoane fizice in legatura cu pierderea probelor sale biologice si a unei sume de bani trimise prin intermediul unei firme de curierat, coletul ajungand deteriorat la destinatar. La solicitarea de a i se comunica ce date personale i-au fost expuse cu aceasta ocazie si daca ANSPDCP a fost notificata in legatura cu acest incident, in raspunsul trimis operatorul a indicat persoanei fizice datele de contact ale avocatului societatii si o adresa de e-mail de la firma de curierat catre care sa isi exprime ”doleantele”. In cursul investigatiei demarate Autoritatea de Nationala de Supraveghere a constatat ca Actamedica SRL nu a adoptat suficiente masuri de securitate, conform art. 28 alin. (1) si 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrarii, fapt care a condus la producerea unui incident de securitate. In acest context, s-a constatat ca nu au fost respectate prevederile art. 28 alin. (1) si art. 32  din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul nu a notificat la Autoritatea Nationala de Supraveghere incidentul de securitate sus mentionat, incalcand astfel prevederile art. 33 din Regulamentul General privind Protectia Datelor. Cu aceeasi ocazie, Autoritatea de Nationala de Supraveghere a retinut ca Actamedica SRL nu a prezentat dovezi din care sa rezulte ca a comunicat un raspuns pe adresa postala a persoanei fizice vizate cu privire la categoriile de date personale ce i-au fost expuse cu ocazia incidentului respectiv, raportat la cererea expresa transmisa. Prin urmare, s-a constatat ca nu au fost respectate prevederile art. 12 alin. (3) si 15 alin. (1) din Regulamentul General privind Protectia Datelor.



    Nume operator -   Amenda data unei persoane fizice (iulie 2021)
    Valoare amenda - 200 euro
    Motiv amenda - Operatorul a fost reclamat cu privire la faptul ca, prin distribuirea unor materiale in cadrul gospodariilor din comuna si prin postarea pe contul personal de Facebook a dezvaluit date cu caracter personal, pe de o parte, ale unei persoane fizice prin difuzarea unei fotografii a fluturasului de salariu ce apartinea acesteia si, pe de alta parte, a dezvaluit date cu caracter personal ale fiului minor al unei alte persoane vizate, continute de o fotografie a unei file din Registrul de evidenta a copiilor inscrisi la Gradinita cu Program Normal din comuna respectiva.



    Nume operator -   La Santrade S.R.L. (iunie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - In cadrul investigatiei demarate ca urmare a unei plangeri, La Santrade S.R.L. nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, incalcand astfel prevederile art. 83 alin. (5) lit. e) din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul respectiv nu a adoptat masuri prin care sa asigure exercitarea efectiva a drepturilor persoanelor vizate, fapt care a condus la nesolutionarea cererii persoanei vizate prin care solicita stergerea datelor sale personale (drept prevazut de art. 17 din Regulamentul General privind Protectia Datelor).


    Nume operator -   S.C. Dreamtime Call S.R.L (mai 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia s-a demarat ca urmare a unei plangeri prin care se reclama faptul ca SC Dreamtime Call S.R.L. a prelucrat nelegal datele personale ale unei persoane fizice (numarul de telefon), prin contactarea telefonica in mod repetat a acesteia, fara acordul prealabil. Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.


    Nume operator -   Vodafone Romania S.A. (mai 2021)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. In cadrul acesteia, s-a constatat ca au fost transmise eronat facturile aferente ale unor clienti Vodafone pe adresele de e-mail ale unor terte persoane. Aceasta a condus la prelucrarea si accesul neautorizat la anumite date cu caracter personal ale clientilor Vodafone, cum ar fi numele, prenumele, numarul de telefon, codul client, adresa. Cu acest prilej, reiteram necesitatea instruirii interne a angajtilor de fiecare operator cu privire la regulile de protectie a datelor personale, componenta a masurilor organizatorice obligatorii ce revin acestuia.

     


    Nume operator -   Asociatie de Proprietari din municipiul Iasi (mai 2021)
    Valoare amenda - 500 euro
    Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul a afisat listele de plata cu detalierea numelui si prenumelui fiecarui membru al Asociatiei de proprietari. De asemenea, petentul a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale (numele si prenumele).
    Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
    De asemenea, Asociatiei de proprietari i s-a dispus sa transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
     

    Nume operator -   Banca Comerciala Romana S.A. (aprilie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Banca Comerciala Romana S.A. a utilizat, fara acord, datele personale ale unei persoane fizice, in cadrul unor proceduri de executare silita pentru debite rezultate dintr-un contract de credit despre care acesta nu avea cunostinta.
    Petentul a reclamat, asadar, folosirea fara consimtamant a datelor sale personale, in alte scopuri decat cele autorizate de dumnealui, precum si utilizarea unei adrese care nu mai era de actualitate si pentru care petentul a considerat ca banca a accesat ilegal o baza de date. De asemenea, a reclamat lipsa informarii cu privire la sursa de colectare a acestor informatii conform art. 14 din RGPD, precum si lipsa primirii unui  raspuns cu privire la mai multe cereri adresate de acesta BCR S.A. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. a prelucrat datele personale ale petentului fara temei legal, prin atribuirea eronata a calitatii de garant in 2019, extragerea unor date neactualizate, utilizarea si dezvaluirea datelor sale personale, in cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecatoresc, care priveau restantele la un contract de credit acumulate de o societate comerciala, clienta a bancii, cu care petentul nu avea niciun fel de relatie, cu incalcarea art. 5 alin. (1) lit. a) si d) si art. 5 alin. (2), precum si a art. 6 din RGPD.

     

    Nume operator -  Persoana fizica (aprilie 2021)
    Valoare amenda - 200 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii mai multor sesizari prin care s-a reclamat faptul ca prin intermediul site-ului https://declaratieppr.ro, prin completarea unui formular care genera o declaratie pe propria raspundere necesara parasirii locuintei pe perioada starii de urgenta se prelucrau anumite date cu caracter personal, respectiv nume, prenume, prenume parinti, domiciliu, cod numeric personal, seria si numarul actului de identitate, adresa locuintei in fapt, locul deplasarii, scopul deplasarii si semnatura. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a prezentat dovezi din care sa rezulte ca a prelucrat in mod legal datele cu caracter personal, colectate si stocate pe site-ul https://declaratieppr.roTotodata, s-a constatat ca nu a prezentat dovezi din care sa rezulte ca a asigurat informarea persoanelor vizate in legatura cu prelucrarea datelor lor personale, colectate pe acelasi site.


    Nume operator -  Telekom Romania Communications SA (aprilie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca petentul a fost contactat pe numarul sau de telefon in scop de marketing de catre un reprezentant Telekom, desi acesta isi retrasese consimtamantul pentru utilizarea datelor sale cu caracter personal odata cu incetarea relatiei contractuale cu operatorul. Ulterior, petentul si-a exercitat dreptul de opozitie fata de prelucrarea datelor sale personale in scop de marketing si publicitate solicitand operatorului stergerea numarului sau de telefon si a adresei de e-mail din baza de date a Telekom. Cu toate acestea, petentul a fost din nou contactat de un reprezentant Telekom in scop de marketing. Astfel, petentul a transmis operatorului o noua solicitare de a nu mai fi contactat si de a i se sterge numarul de telefon si adresa de e-mail din baza de date. Urmare a acestei solicitari, operatorul i-a comunicat petentului ca adresa sa de e-mail si numarul de telefon au fost sterse din sistemul de gestionare a clientilor confirmand, totodata, ca a fost apelat de un reprezentant Telekom, care, dintr-o eroare umana, nu si-a dat seama ca nu avea permisiunea petentului de a-l apela.


    Nume operator -  World Class Romania S.A. (aprilie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - In cadrul investigatiei demarate in urma primirii unei sesizari, Autoritatea Nationala de Supraveghere a constatat ca operatorul World Class Romania S.A. a postat pe grupul de WhatsApp al angajatilor sai o cerere de demisie alunui salariat al sau, permitand astfel accesul neautorizat al tuturor membrilor respectivului grup WhatsApp la anumite date personale ale acestuia (nume, prenume, adresa, serie si numar act de identitate, cod numeric personal, informatii legate de solicitarea de incetare a raporturile de munca). In acest context, Autoritatea Nationala de Supraveghere a apreciat ca operatorul World Class Romania S.A. nu a luat suficiente masuri tehice si organizatorice pentru a asigura confidentialitatea datelor personale ale persoanei vizate.


    Nume operator -  Lugera & Makler Broker S.R.L (martie 2021)
    Valoare amenda - 1.500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari primite din partea unei persoane fizice si a unei notificari de incalcare a securitatii datelor cu caracter personal transmisa de Raiffeisen Bank SA. din care a rezultat ca Lugera & Makler Broker S.R.L (persoana imputernicita de operatorul Raiffeisen Bank SA) nu a predat Raiffeisen Bank SA documentele aferente activitatilor de prescoring efectuate de un angajat al sau, pe motiv ca acestea au fost distruse. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul Lugera & Makler Broker S.R.L. (in calitate de persoana imputernicita de operatorul Raiffisen Bank SA) nu a luat masuri pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa si nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.

     

    Nume operator -  S.C. TIP TOP FOOD INDUSTRY S.R.L. (martie 2021)
    Valoare amenda - 5.000 euro
    Motiv amenda - In urma investigatiei, Autoritatea NaÈ›ională de Supraveghere a constatat ca operatorul a prelucrat imaginea angajatilor sai, in mod excesiv, prin intermediul camerelor video instalate in spatii cu destinatia de vestiare si in zona destinata servirii mesei, invocand scopul protejarii bunurilor si a produselor societatiii, precum si al descurajarii furtului. Pe de alta parte, in investigatia efectuata, avand in vedere relatia angajator-angajat,
    s-a retinut faptul ca nu a putut fi considerat liber exprimat consimtamantul persoanei vizate si nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputand face dovada respectarii principiilor de prelucrare, prin raportare si la art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.


    Nume operator -  TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. (februarie 2021)
    Valoare amenda - 13.000 euro
    Motiv amenda - In investigatia efectuata s-a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, ceea ce a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume si prenume, CNP, data nasterii, sex, numar telefon, e-mail, adresa (tara, oras, strada), valoarea debitelor asociate codului de client ale unui numar de 99.210 persoane vizate/clienti. Astfel, adresele de facturare ale acestora au fost introduse eronat in baza de date cu clienti persoane fizice, transmisa unui partener contractual in baza unui contract de cesiune creante, ceea ce a determinat expedierea catre adrese gresite a notificarilor transmise clientilor.

    De asemenea, s-a constatat ca operatorul nu a luat masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, de natura sa protejeze datele cu caracter personal stocate sau transmise impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nasterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraoptiuni active pe cont; istoricul facturilor simple) ale unui numar de 413 persoane vizate/clienti Telekom Romania. Subliniem ca, operatorul avea obligatia de a garanta ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile mentionate de lege, incalcandu-se astfel prevederile art. 3 alin. (1) si alin. (3) lit. a) si b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, modificata si completata.


    Nume operator -  S.C. Medicover S.R.L. (februarie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda -  Investigatia a fost demarata ca urmare a transmiterii de catre operator a unor notificari succesive de încalcare a securitatii datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizata si accesul neautorizat la datele cu caracter personal precum: nume si prenume, CNP, serie si nr. CI, adresa CI, adresa de corespondenta, telefonul de contact si e-mail, respectiv nume si date privind starea de sanatate, transmise altor persoane fizice decat destinatarii, la adresa de e-mal sau adresa postala.

    În urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.



    Nume operator -  ING Bank N.V. Amsterdam, Sucursala Bucuresti (februarie 2021)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. Incalcarea securitatii datelor a constat in transmiterea de catre operator a unor fisiere catre un partener contractual in vederea emiterii unor polite de asigurare care contineau informatii neactualizate, intrucat la nivelul ING Bank nu s-au verificat si procesat politele de asigurare in sistemul central al bancii in conformitate cu Procedura de lucru interna a operatorului. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar de 270 de persoane fizice, ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru aplicabila la data producerii incidentului, contrar obligatiilor prevazute de art. 29 si art. 32 din Regulamentul General privind Protectia Datelor.


    Nume operator -  BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (februarie 2021)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de persoana vizata cu privire la faptul ca pe numarul sau de telefon a primit un mesaj comercial de tip SMS din partea BNP Paribas Personal Finance S.A. Paris Sucursala Bucuresti.

    In urma investigatiei s-a constatat ca operatorul nu a facut dovada existentei consimtamantului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificata si completata, desi petenta isi exercitase anterior, in repetate randuri, dreptul de opozitie fata de prelucrarea datelor sale in scop de marketing.


    Nume operator -  Amenda data unei persoane fizice (februarie 2021)
    Valoare amenda - 500 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat faptul ca pe o retea de socializare, pe pagina personala a unei persoane fizice ce detinea functia de Secretar General in cadrul unei filiale de sector a unui partid politic, a fost publicata o lista cuprinzand 10 pozitii cu persoane semnatare/sustinatori pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti, in cadrul careia datele cu caracter personal ale acestora sunt accesibile, fiind dezvaluite numele si prenumele, semnatura, cetatenia, data nasterii, adresa, seria si numarul actului de identitate, optiunea politica a persoanelor semnatare/sustinatorilor.

    Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.

    Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.


    Nume operator -  ING Bank N.V. Amsterdam – Sucursala Bucuresti  (ianuarie 2021)
    Valoare amenda - 1.000 euro
    Motiv amenda - In urma primirii unei notificari de incalcare a securitatii datelor din partea ING Bank N.V. Amsterdam s-a demarat o investigatie si s-a constatat ca acest operator a transmis, la doua date diferite, unele fisiere catre un partener contractual, prin intermediul unei societati mandatare, in vederea emiterii unor polite de asigurare. Fisierele transmise contineau informatii neactualizateintrucat angajatii departamentului de monitorizare al politelor de asigurare nu au verificat si procesat politele de asigurare in conformitate cu Procedura de lucru, fiind afectate 270 de persoane fizice.


    Nume operator -  ING Bank N.V. Amsterdam – Sucursala Bucuresti  (decembrie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior incheierii relatiei contractuale cu ING Bank. In cursul desfasurarii investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, desi aceasta solicitase pe data de 24.11.2017 închiderea ultimului produs bancar detinut, respectiv un cont curent.  De asemenea, s-a constatat ca, urmare a unei erori de sistem, aceasta cerere de inchidere a contului curent nu a avut ca efect si inchiderea relatiei de afaceri cu operatorul, aceasta fiind pastrata in continuare cu status „activ”.  


    Nume operator -  Qualitance QBS SA  (decembrie 2020)
    Valoare amenda - 1.000 euro
    Motiv amenda - Investigatia a fost demarata in urma primirii unor plangeri prin care s-a reclamat faptul ca operatorul a transmis prin e-mail o informare catre 295 de persoane (candidati care si-au furnizat datele personale in vederea recrutarii pe site-ul operatorului sau prin aplicatii on-line), dezvaluind astfel adresele de e-mail ale celorlalti destinatari. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate pentru a asigura confidentialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvaluirea adreselor de e-mail apartinand unui numar de 295 persoane catre ceilalti destinatari, contrar obligatiilor prevazute de art. 32 din RGPD.


    Nume operator -  S.C. C&V Water Control S.A.  (noiembrie 2020)
    Valoare amenda - 2.000 euro
    Motiv amenda - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a finalizat in data de 20.11.2020 o investigatie la operator, caruia i-a aplicat o amenda, ca urmare a faptului ca acest operator nu a furnizat informatiile solicitate de institutia noastra, incalcand astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozitiile art. 58 alin. (1) lit. (a) si (e) si art. 58 alin. (2) lit. i) din Regulamentul General privind Protectia Datelor. 


    Nume operator -  Banca Transilvania SA (noiembrie 2020)
    Valoare amenda - 100.000 euro
    Motiv amenda - Investigatia a fost demarata in urma primirii unor sesizari cu privire la incalcarea confidentialitatii si securitatii datelor personale. S-a constatat ca a avut loc dezvaluirea in spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona sa utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai Bancii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.

    Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.


    Nume operator -  DADA CREATION S.R.L. (noiembrie 2020)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca prin intermediul site-ului operatorului era disponibil un document privind inregistrarile detaliate ale tranzactiilor receptionate de acest site de la clientii sai (persoane fizice) continand adrese de e-mail, numere de telefon, nume si prenume clienti (persoane adulte si minori), varsta minori, adrese de livrare, numar comanda, suma totala a comenzii, produsele comandate si data efectuarii comenzii. Incalcarea securitatii datelor a constat in faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, ceea ce a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar de aproximativ 1091 persoane fizice, care efectuasera comenzi pe site-ul operatorului.


    Nume operator -   Vodafone Romania S.A. (noiembrie 2020)
    Valoare amenda - 4.000 euro
    Motiv amenda - Sanctiunea a fost aplicata urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns unor cereri de exercitare a drepturilor de acces si stergere prevazute de art. 15 si art. 17 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, operatorul nu a putut face dovada solutionarii cererilor de exercitare a drepturilor de acces si stergere in termenul prevazut de art. 12 din Regulament.


    Nume operator -   S.C. Marsorom S.R.L. (septembrie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care se reclama faptul ca pe site-ul operatorului puteau fi vizualizate unele date personale ale clientilor acestuia. In cadrul investigatiei s-a constatat ca operatorul S.C. Marsorom S.R.L. a incalcat prevederile art. 25 si 32 din Regulamentul General privind Protectia Datelor intrucat nu a adoptat suficiente masuri de securitate care sa previna accesarea si divulgarea neautorizata a datelor personale ale clientilor care au plasat comenzi pe acest site.


    Nume operator -   AsociaÈ›ia de proprietari Militari R (septembrie 2020)
    Valoare amenda - 2.000 euro
    Motiv amenda - Astfel, asociatia de proprietari a fost sanctionata pentru faptul ca nu a adus la indeplinire masura corectiva dispusa de a transmite raspuns la solicitarile Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, incalcandu-se astfel instructiunile institutiei noastre, fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016. Sanctiunile au fost aplicate ca urmare a unei plangeri prin care petentul a reclamat faptul ca nu i s-a raspuns la cererea transmisa asociatiei de proprietari.


    Nume operator -   Megareduceri TV S.R.L. (septembrie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a faptului ca mai multi petenti au sesizat Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu privire la faptul ca au primit prin sms mesaje comerciale care promoveaza serviciile de pe site-ul www.reducerazi.ro, fara sa-si fi exprimat consimtamantul pentru a primi astfel de mesaje pe numerele personale de telefon.


    Nume operator -  Sanatatea Press Group S.R.L. (august 2020)
    Valoare amenda - 2.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. Incalcarea securitatii datelor a constat in faptul ca, in cadrul organizarii unui eveniment on-line de catre Sanatatea Press Group S.R.L., au fost transmise eronat date de logare ale unor persoane pe alte adrese de e-mail decat cele cu care isi creasera cont pe platforma electronica a operatorului.

    Nume operator -  Asociatie de proprietari (august 2020)
    Valoare amenda - 500 euro
    Motiv amenda - pentru prelucrarea ilegala a imaginii unei persoane fizice, provenita din sistemul de supraveghere video al asociatiei, prin afisare la avizierul imobilului, cu incalcarea principiilor de prelucrare a datelor personale prevazute de art. 5 din RGPD, coroborat cu art. 6 alin. (1) din RGPD, prin raportare la dispozitiile la art. 83 alin. (5) lit. a) din RGPD 

    Nume operator -  Compania Nationala Posta Romana (iulie 2020)
    Valoare amenda - 2.000 euro
    Motiv amenda - Incalcarea securitatii si confidentialitatii datelor cu caracter personal a constat in faptul ca operatorul nu a implementat masuri tehnice si organizatorice adecvate (de exemplu, pseudonimizarea), atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, astfel incat sa se puna in aplicare, in mod eficient, principiile de protectie a datelor si sa se integreze in acestea garantiile necesare prelucrarii, astfel ncat sa fie duse la indeplinire cerintele RGPD si sa se protejeze drepturile persoanelor vizate.

    Nume operator -  S.C. Viva Credit IFN S.A (iulie 2020)
    Valoare amenda - 2.000 euro
    Motiv amenda -  Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul nu a solutionat cererea petentului prin care isi exercita dreptul de stergerea datelor, potrivit art. 17 din Regulamentul General privind ProtecÈ›ta Datelor. De asemenea, operatorul nu a furnizat petentului informatii cu privire la actiunile intreprinse in urma cererii acestuia in termen de cel mult o luna (sau maximum 3 luni, prezentand si motivele intarzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibila in evidentele sale.


    Nume operator -  SC CNTAR TAROM SA (iulie 2020)
    Valoare amenda - 5.000 euro
    Motiv amenda - Operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoană fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la pierderea confidentialitatii datelor personale prin accesarea neautorizata a datelor apartinand unui numar de cinci (5) pasageri TAROM, precum si la divulgarea neautorizata a datelor acestora.


    Nume operator -  Proleasing Motors SRL (iunie 2020)
    Valoare amenda - 15.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal, prin completarea formularului specific stabilit in baza Regulamentului General privind Protectia Datelor.
    Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
    Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod sau accesul neautorizat la acestea.

    Nume operator -  Enel Energie Muntenia SA (mai 2020)

    Valoare amenda - 4.000 euro
    Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul a sesizat incalcarea securitatii si confidentialitatii datelor cu caracter personal de catre operator, prin transmiterea unor documente ce contineau datele sale personale unui alt client Enel, utilizand posta electronica. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca  operatorul nu a luat suficiente masuri de securitate si confidentialitate care sa previna divulgarea accidentala a datelor cu caracter personal catre persoane neautorizate, incalcandu-se prevederile art. 32 din RGPD.


    Nume operator - Telekom Romania Communications SA (aprilie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Investigatia a fost demarata in urma primirii unor plangeri prin care petentul a reclamat utilizarea frauduloasa a datelor sale personale la incheierea unor contracte pe numele sau de catre operator.
    In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.


    Nume operator - Estee Lauder Romania SRL (aprilie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a unei plangeri prin care s-a reclamat prelucrari ilegale de date prin dezvaluirea si, respectiv, colectare de date personale (numele, prenumele, numarul de telefon, data nasterii si informatii privind starea de sanatate), fara consimtamant sau alt temei legal.


    Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
    Valoare amenda - 5.000 euro
    Motiv amenda - Investigatia a fost demarata in urma primirii unei plangeri, iar in cursul desfasurarii acesteia, Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Operatorul nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.


    Nume operator - Enel Energie Muntenia S.A (februarie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Incalcarea securitatii si confidentialitatii datelor cu caracter personal a constat in faptul ca operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoana fizica, date personale (nume si prenume, adresa, adresa de e-mail, cod client, cod eneltel) ale unui alt client.
    Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
    Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
     

     
    Nume operator - Vodafone Romania S.A. (februarie 2020)
    Valoare amenda - 20.000 euro
    Motiv amenda - Sanctiunile au fost aplicate operatorului ca urmare a unei sesizari cu privire la faptul ca Vodafone Romania SA a incalcat securitatea si confidentialitatea datelor cu caracter personal.
    Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
    Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
    a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
     b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
    c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
    De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”


    Nume operator - Asociatia "SOS Infertilitatea"
    Valoare amenda - 2.000 euro
    Motiv amenda - autoritatea a fost instiintata ca operatorul a dezvaluit date cu caracter personal fara consimtamantul persoanei vizate. Autoritatea a cerut operatorului mai multe detalii dar acesta nu a raspuns. Presedintele asociatiei a fost contactat telefonic si a optat pentru trimiterea pe e-mail a solicitarii din partea autoritatii. Autoritatea nu a primit documentele solicitate din partea operatorului pana la data incheierii procesului verbal constatare/sanctionare.


    Nume operator - Dante International S.A (februarie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - operatorul a trimis la finalul anul 2019 un mesaj comercial unei persoane fizice desi la inceputul anului 2019 operatorul a confirmat persoanei vizate ca a fost dezabonata de la comunicarile comerciale.
    De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.


    Nume operator - Vodafone Romania S.A. (februarie 2020)
    Valoare amenda - 3.000 euro
    Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat a prelucrat gresit date personale ale unei persoane fizice in scopul solutionarii reclamatiei acesteia, ceea ce a determinat ulterior transmiterea raspunsului operatorului catre o adresa de e-mail eronata, nefiind adoptate suficiente masuri suficiente de securitate impotriva prelucrarii ilegale a datelor personale ale persoanei respective, cu incalcarea principiilor de prelucrare prevazute de art. 5 alin. (1) lit. d) si f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
    Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.


    Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
    Valoare amenda - 10.000 euro
    Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video in birourile angajatilor, in vestiare si in sala de mese si ca, in anumite locatii (spatii cu acces restrictionat), accesul se realiza pe baza de amprenta.
     
    De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
    Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
    • masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
    • masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
    • masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
    • masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
    Nume operator - SC Enel Energie S.A (decembrie 2019)
    Valoare amenda - 6.000 euro
    Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca operatorul a prelucrat nelegal datele petentului, neputand face dovada obtinerii consimtamantului acestuia pentru transmiterea de notificari pe aceasta adresa de e-mail si fara respectarea principiului exactitatii. In plus, operatorul nu a luat masurile necesare pentru dezactivarea transmiterii de notificari, desi petentul si-a exercitat dreptul de opozitie in mai multe randuri.


    Nume operator - Hora Credit IFN S.A. (decembrie 2019)
    Valoare amenda - 14.000 euro
    Motiv amenda - Operatorul a fost sanctionat astfel:
    • pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
    • pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
    • pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.
    Sanctiunile au fost aplicate ca urmare a unei plangeri prin care s-a reclamat faptul ca Hora Credit IFN SA a transmis pe adresa de e-mail documente ce contineau datele personale ale unei alte persoane.
    Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.

    In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
    De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.

    Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.


    Nume operator - Asociatie de proprietari (noiembrie 2019)
    Valoare amenda - 500 euro
    Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care petentul a reclamat accesarea, utilizarea si dezvaluirea catre diverse persoane, fara temei legal, a unor imagini cu persoana sa, provenite din sistemul de supraveghere video al Asociatiei de Proprietari. In urma investigatiei s-a constatat ca Asociatia de Proprietari nu a adoptat suficiente masuri de securitate, tehnice si organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video.

     
    Nume operator - Telekom Romania Mobile Communications S.A. (noiembrie 2019)
    Valoare amenda - 2.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca petentul primeste la adresa sa de domiciliu facturi adresate unei alte persoane, client al operatorului, precum si faptul ca a semnalat operatorului aceasta situaÈ›ie, dar nu a primit raspuns.
    In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.


    Nume operator - Globus Score SRL (noiembrie 2019)
    Valoare amenda - 2.000 euro
    Motiv amenda - Autoritatea Nationala de Supraveghere a finalizat in data de 19 noiembrie 2019 o investigatie la operatorul Globus Score SRL  ca urmare a unei sesizari si a constatat incalcarea dispozitiilor art. 83 alin. (5) lit. e) din Regulamentul General privind Protectia Datelor, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
    Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
    De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.


    Nume operator - Modern Barber SRL (noiembrie 2019)
    Valoare amenda - 3.000 euro
    Motiv amenda - Sanctiunea a fost aplicata operatorului Modern Barber S.R.L pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
    Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de  Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
    Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.

     
    Nume operator - Nicola Medical Team 17 SRL (noiembrie 2019)
    Valoare amenda - 2.000 euro
    Motiv amenda - Autoritatea Nationala de Supraveghere a sanctionat pe data de 02.12.2019 operatorul Nicola Medical Team 17 SRL cu amenda de 2.000 EURO, pentru fapta prevazuta de art. 83 alin. (5) si (6) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001.
    Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de  Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
    A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.


    Nume operator - Royal President S.R.L. (noiembrie 2019)
    Valoare amenda2.500 euro
    Motiv amenda
    - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Royal President S.R.L. a refuzat solutionarea unei cereri de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor, precum si faptul ca acesta a dezvaluit date cu caracter personal fara acordul persoanei vizate.
    In cadrul investigatiei, operatorul Royal President S.R.L. nu a putut face dovada solutionarii cererii de exercitare a dreptului de acces in termenul prevazut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
    De asemenea, s-a constatat ca datele cu caracter personal colectate prin intermediul fisei de cazare nu au fost prelucrate intr-un mod care sa asigure securitatea lor, prin luarea de masuri tehnice sau organizatorice corepunzatoare, pentru a se putea evita orice dezvaluire neautorizata incalcandu-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) si ale art. 32 alin. (2) din Regulamentul (UE) 2016/679.


    Nume operator - SC CNTAR TAROM SA (noiembrie 2019)
    Valoare amenda 20.000 euro
    Motiv amenda
    - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
    Aceasta situatie a condus la accesarea neautorizata, de catre un angajat propriu, a aplicatiei de rezervari si fotografierea unei liste continand datele cu caracter personal a 22 pasageri/clienti TAROM si la divulgarea neautorizata in mediul on-line a acestei liste.


    Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (noiembrie 2019)
    Valoare amenda80.000 euro
    Motiv amenda
    - In acest sens, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.


    Nume operator - Fan Courier Express SRL (octombrie 2019)
    Valoare amenda 11.000 euro
    Motiv amenda
    - Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.


    Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.) (noiembrie 2019)
    Valoare amenda - 2.000 euro
    Motiv amenda
    - Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit.
    In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.


    Nume operator - Vodafone Romania S.A. (octombrie 2019)
    Valoare amenda2.000 euro
    Motiv amenda
    - Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.
    In acest context, s-a recomandat societatii sa respecte solicitarea petentului de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor.


    Nume operator - Integlio Media S.A.
    Valoare amenda9.000 euro
    Motiv amenda
    - Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul conÈ›inut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro».
    Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.
    Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.
    In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.


    Nume operator - Elefant Online S.A.
    Valoare amenda2.000 euro
    Motiv amenda
    - Sanctiunea a fost aplicata intrucat operatorul nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
    In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.


    Nume operator - Vreau Credit S.R.L.
    Valoare amenda20.000 euro
    Motiv amenda
    - In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.


    Nume operator - Raiffeisen Bank S.A.
    Valoare amenda150.000 euro
    Motiv amenda
    - In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
    Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
    De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.


    Nume operator - Artmark Holding
    Valoare amenda2.100 euro
    Motiv amenda
    - Sanctiunea a fost aplicata operatorului intrucat acesta nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
    In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.


    Nume operator - Uttis Industries SRL
    Valoare amenda 2.500 euro
    Motiv amenda
    - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
    Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.


    Nume operator - Legal Company&Tax Hub SRL
    Valoare amenda3.000 euro

    Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
    Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).


    Nume operator - World Trade Center Bucharest S.A.
    Valoare amenda15.000 euro
    Motiv amenda - Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
    Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.


    Nume operator - Unicredit BANK S.A
    Valoare amenda 130.000 euro
    Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
    Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.



    Sursa: dataprotection.ro
    x