Amenzi GDPR
Operator - Partidului Alianta pentru Unirea Romanilor (AUR) - iunie 2025
Valoare amenda - 10.000, respectiv 15.000 euro
Motiv amenda - 1. Una dintre incalcarile de securitate notificata a vizat aplicatia aur.mobi utilizata si gestionata de operator, a carei vulnerabilitate a fost exploatata de un tert prin accesarea codului sursa a aplicatiei. La momentul producerii incidentului puteau fi vizualizate in cadrul aplicatiei aur.mobi urmatoarele categorii de date cu caracter personal ale utilizatorilor acesteia (sustinatori/membri persoane fizice care au furnizat date cu caracter personal in aplicatia operatorului): nume/prenume, numar de telefon, adresa de e-mail, adresa de resedinta, CNP, data nasterii, nationalitate, cetatenie, sex, religie, profesie, ocupatie, domeniu de activitate, studii, experienta administrativa etc.
2. Autoritatea Electorala Permanenta a redirectionat Autoritatii Nationale de Supraveghere doua sesizari prin care era semnalata o posibila incalcare a prevederilor Regulamentului (UE) 2016/679 de catre operatorul AUR, prin colectarea de date cu caracter personal (nume, prenume, serie si numar CI, adresa de domiciliu, data nasterii, email, numar de telefon, semnatura) prin platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro pentru un numar semnificativ de persoane vizate.
In cadrul investigatiei s-a constatat faptul ca datele cu caracter personal erau prelucrate de operator in scopul informarii persoanelor vizate cu privire la o campanie AUR si in scop statistic, precum si ca datele prelucrate nu sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile declarate ale prelucrarii.
Operator - YDAIL CONSTRUCT SRL (iunie 2025)
Valoare amenda - 20.000 lei
Motiv amenda - Pe site-ul detinut de operator erau stocate module cookies care nu erau necesare din punct de vedere tehnic in functionarea site-ului, fara a exista consimtamant.
Operator - SC Piramida Trade Invest SRL (mai 2025)
Valoare amenda - 3.000 euro
Motiv amenda - Incalcari ale prelucrarii datelor personale cu privire la monitorizarea angajatilor prin sisteme de supraveghere audio-video. In cadrul investigatiei s-a constatat faptul ca operatorul nu a efectuat o informare prealabila obligatorie, completa si explicita a angajatilor sai. Acesta nu a facut nici dovada ca a utilizat anterior alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit. Totodata, operatorul nu a facut dovada ca a transmis raspuns persoanei vizate la cererile de exercitare a drepturilor de acces, stergere si opozitie dintr-o anumita perioada, in cel mult o luna de la primirea acestora. In plus, angajatorul nu a oferit nici copia inregistrarilor audio-video din perioada respectiva ce a fost solicitata de salariat. De asemenea, in cadrul investigatiei s-a constatat ca in cadrul societatii a fost permisa instalarea, fara cunostinta operatorului, a unui filtru de retrimitere a mesajelor de pe o adresa de e-mail pe o alta adresa de e-mail. Acest fapt a condus la divulgarea documentelor unei persoanei vizate (care includea documente medicale) catre persoane din afara societatii.
Operator - Vodafone Romania S.A. (mai 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Divulgarea neautorizata si accesul neautorizat la date cu caracter personal apartinand mai multor persoane vizate, clienti ai operatorului: nume/prenume, identificatorul unic pentru persoana fizica, codul de client Vodafone, cod numeric personal, date de contact, date financiare etc.
Operator - SC Diamir SRL (mai 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Operatorul a afisat la punctul de lucru cartea de identitate a unei persoane, dezvaluind astfel numele, prenumele, domiciliul, seria si numarul actului de identitate si fotografia persoanei respective.
Operator - Dinca Viorel George (mai 2025)
Valoare amenda - 200 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a semnalat ca o persoana fizica detinea un sistem de supraveghere video montat inadecvat pe un imobil. Initial, operatorul nu a comunicat Autoritatii de supraveghere informatiile solicitate in baza competentelor legale de investigare, fiind sanctionat cu avertisment si fiindu-i dispusa o masura corectiva. Întrucat operatorul nu a dus la indeplinire masura corectiva dispusa de Autoritate, s-a aplicat sanctiunea amenzii.
Operator - SC Kashto Concept SRL (2025)
Valoare amenda - 5.000 lei
Motiv amenda - Pe site-ul detinut de operator, erau stocate module cookies care nu erau necesare din punct de vedere tehnic in functionarea site-ului. Totodata, in cadrul investigatiei, operatorul nu a dovedit obtinerea consimtamantului utilizatorilor.
Operator - Accounting Audit SRL (mai 2025)
Valoare amenda - 10.000 euro
Motiv amenda - In urma unui atac informatic au fost divulgate neautorizat date cu caracter personal (date de identificare, state de plata, acte constitutive, documente financiar contabile, precum si alte informatii confidentiale primite de la clienti) pentru un numar foarte mare de persoane vizate, in principal angajati ai clientilor Accounting Audit SRL.
Operator - AG-BROKER ASIGURARE S.R.L. (aprilie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - In urma unui atac cibernetic au fost afectate urmatoarele categorii de date cu caracter personal: CNP, nume/prenume, fotografii din carti de identitate ale unor persoane fizice, certificate de nastere, permise de conducere, certificate de inmatriculare a autovehiculelor, adrese de email si numere de telefon ale unui numar semnificativ de clienti ai operatorului.
Operator - Dumitru Viorel Focsa (2025)
Valoare amenda - 1.000 euro
Motiv amenda - Operatorul a prelucrat pe pagina sa de pe Facebook, prin divulgarea intr-o postare publica, datele cu caracter personal (nume/prenume, numar de telefon) ale unei persoane vizate, fara consimtamantul acesteia, desi operatorul avea obligatia de a prelucra datele cu caracter personal in mod legal, echitabil si transparent fata de persoana vizata. Acesta a fost sanctionat anterior pentru o fapta similara.
Operator - Data Diggers Market Research SRL (aprilie 2025)
Valoare amenda - 12.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a sesizarilor venite din partea altor doua autoritati pentru protectia datelor din UE impotriva operatorului. Intrucat operatorul are sediul principal in Romania, ANSPDCP a actionat in calitate de autoritate de supraveghere principala pentru prelucrarea transfrontaliera efectuata de operatorul Data Diggers Market Research SRL, in conformitate cu prevederile art. 56 si art. 61 din RGPD. In cadrul investigatiei, s-a constatat ca operatorul nu a furnizat petentiilor informatii complete ca urmare a exercitarii dreptului de acces la datele personale. In acelasi timp, acesta nu a furnizat la momentul primei comunicari cu petentii informatiile pe care acesta era obligat sa le comunice persoanelor vizate. De asemenea, nu a facut dovada indeplinirii conditiilor privind legalitatea prelucrarii datelor personale ale petentilor.
Operator - Maravet S.R.L. (aprilie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - Operatorul a notificat faptul ca un fost angajat al companiei a copiat si dezvaluit in mod neautorizat informatii ce contineau date cu caracter personal din baza de date a operatorului si le-a postat pe un site. Acesta a postat pe site-ul noului sau angajator date cu caracter personal apartinand unui numar semnificativ de persoane vizate (nume, numere de telefon, adrese de e-mail, adrese domiciliu, CNP, numere si serii ale unor carti de identitate sau pasapoarte, documente de angajare, salarii ale angajatilor, evaluari profesionale ale angajatilor, fotografii ale angajatilor si ale clientilor).
Operator - ACCOUNTING & AUDIT CONSULTING SRL (aprilie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - Persoane neautorizate au accesat in mod ilegal datele personale ale salariatilor clientilor operatorului, respectiv: numele, prenumele, codul numeric personal, domiciliul, functia, salariul, sporurile si alte drepturi salariale.
Operator - CVA TAX & FINANCE S.R.L. (aprilie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - In urma unui atac cibernetic a fost accesata infrastructura informatica a operatorului, totodata fiindu-i restrictionat accesul la aceasta. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar semnificativ de salariati ai clientilor din portofoliul operatorului.
Operator - Romoffice Construct Holding Ag SRL (aprilie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a prelucrat fara temei legal date cu caracter personal apartinand unei persoane vizate, respectiv numarul de telefon, pe care aceasta l-a furnizat cu ocazia completarii online de informatii in vederea inscrierii pentru accesarea unui program public de finantare.
Operator - CV PRO CONSULT S.R.L. (aprilie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - In urma unui atac cibernetic, a fost accesata si totodata restrictionat accesul operatorului la infrastructura informatica proprie. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal ale unui numar semnificativ de salariati ai clientilor din portofoliul operatorului, respectiv: nume/prenume, CNP, domiciliu, functie, salariu, sporuri si alte drepturi salariale.
Operator - ROUMASPORT SRL (aprilie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - Operatorul a accesat sistemul de supraveghere video existent la unul din punctele de lucru ale sale si a prelucrat ilegal imaginea angajatilor sai, inclusiv in scopul cercetarii disciplinare a acestora, fiind astfel incalcate principiile de prelucrare si conditiile de legalitate a prelucrarii.
Operatori - Politia Locala a Municipiului Miercurea–Ciuc & Politia Locala a Municipiului Craiova (2025)
Sanctiuni - Avertisment, masuri corective
Motiv amenda - Operatorii, prin personalul aflat in exercitarea misiunilor si activitatilor specifice politiei locale, au prelucrat date cu caracter personal prin utilizarea mijloacelor de supraveghere audio–video de tip ”body-cam” (imagine, voce), fara sa existe o obligatie legala a operatorilor si fara indeplinirea vreunei alte conditii prevazute la art. 6 alin. (1) din Regulamentul (UE) 2016/679, desi potrivit art. 5 alin. (1) lit. a) din RGPD, operatorii aveau obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoanele vizate. S-a constatat faptul ca in Legea nr. 155/2010 a politiei locale, cu modificarile si completarile ulterioare, nu exista o prevedere legala expresa cu privire la utilizarea mijloacelor de supraveghere audio-video.
Operator - BITDEFENDER SRL (aprilie 2025)
Valoare amenda - 10.000 euro
Motiv amenda - Datorita unei erori de programare sau implementare a operatiunii de actualizare a serviciului de analiza a securitatii e-mail-urilor, au fost dezvaluite un numar semnificativ de date cu caracter personal ale clientilor catre terti.
Operator - Xiting ROM SRL (aprilie 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Operatorul nu a comunicat unei persoane vizate in termenul legal un raspuns scris corespunzator si complet la cererea acesteia prin care solicita informatii in legatura cu prelucrarea datelor sale cu caracter personal, precum si o copie electronica a acestor date.
Operator - SC Travel Planner SRL (aprilie 2025)
Valoare amenda - 6.000 euro
Motiv amenda - Operatorul, in vederea organizarii unei tombole pentru recompensarea clientilor sai, a publicat, pe pagina de Facebook, un tabel care continea date personale ale turistilor, precum: nume/prenume, numere de identificare ale rezervarilor, hotelul ori locatia la care au facut rezervarea si perioada sejurului. Astfel, operatorul nu a adoptat suficiente masuri tehnice si organizatorice de securitate. Aceasta situatie a condus la a condus la dezvaluirea neautorizata a datelor persoanelor vizate. De asemenea, operatorul nu a notificat aceasta incalcare a securitatii datelor, fapt ce contravine dispozitiilor art. 33 din Regulamentul (UE) 2016/679.
Operator - Dante International SA (aprilie 2025)
Valoare amenda - 10.000 euro
Motiv amenda - Un client a reclamat faptul ca operatorul i–a prelucrat fara consimtamantul sau datele cu caracter personal, respectiv adrese de e–mail asociate contului de client creat in cadrul platformei online detinuta de operator. Desi operatorul i–a confirmat petentului prin mai multe raspunsuri ca adresele de e–mail asociate contului sau de client au fost sterse ca urmare a solicitarilor sale, petentul a primit in continuare pe adresele respective, mesaje de tip opinie/parere evaluativa (”feedback”). In acelasi timp, s–a constatat ca anumiti colaboratori ai operatorului aveau posibilitatea sa vizualizeze/utilizeze adresa de e–mail a petentului.
Operator - United Business Solutions SRL (aprilie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - O persoana fizica, client al operatorului, a reclamat faptul ca operatorul United Business Solutions S.R.L., in urma prestarii de servicii de cazare, a transmis fara consimtamantul sau, catre o terta persoana, un document fiscal care continea datele sale cu caracter personal.
Operator - Office Nova Concept SRL (martie 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari transmise de o persoana fizica care a semnalat faptul ca operatorul a instalat camere orientate catre intrarea in locuinta sa si fara a avea acordul acesteia. Persoana vizata a solicitat, prin e-mail, operatorului, reorientarea camerelor, astfel incat sa nu mai fie surprinse imagini din locuinta personala. Totodata, s-a solicitat si stergerea imaginilor privind persoanele care au utilizat intrarea imobilului.
Operator - NEW GAMBLING SOLUTIONS S.R.L. (martie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - In urma unui atac informatic au fost accesate date din infrastructura informatica a operatorului, de catre un tert, respectiv datele angajatilor operatorului (nume, prenume, CNP, serie si numar CI, adresa domiciliu, date privind activitatea profesionala a angajatilor).
Operator - Tensa Art Design S.A. (martie 2025)
Valoare amenda - 15.000 euro
Motiv amenda - Un petent a sesizat Autoritatea nationala de supraveghere referitor la faptul ca operatorul a prelucrat numarul sau de telefon, in scop de marketing direct, fara consimtamantul sau, comunicandu–i mesaje comerciale de tip SMS prin intermediul carora petentul a fost informat cu privire la ofertele societatii. De asemenea, s–a constatat ca operatorul nu a gestionat in mod corespunzator cererile prin care petentul si–a exercitat drepturile de acces si stergere prevazute de GDPR.
Operator - Banca Transilvania S.A. (martie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei plangeri a unei persoane fizice care a reclamat faptul ca i-au fost prelucrate datele cu caracter personal fara sa-si fi dat acordul, in cadrul unei polite de asigurare impotriva dezastrelor naturale de catre o societate de asigurari, mandatata de operatorul Banca Transilvania S.A.. Desi i-a incetat prin plata contractul de credit imobiliar incheiat cu operatorul Banca Transilvania S.A., in mod eronat, petentului i-a fost emisa o noua polita de asigurare impotriva dezastrelor naturale, accesorie contractului de credit imobiliar incetat, fara ca aceasta sa-si fi dat acordul in acest sens si fara permisiunea utilizarii datelor sale cu caracter personal de catre societatea de asigurari.
Operator - BINBOX GLOBAL SERVICES S.R.L. (martie 2025)
Valoare amenda - 3.000 euro
Motiv amenda - In urma unui atac informatic a fost accesata si criptata infrastructura informatica a operatorului, fapt care a condus la divulgarea neautorizata sau accesul neautorizat la date cu caracter personal.
Operator - NTT DATA ROMANIA (februarie 2025)
Valoare amenda - 25.000 euro
Motiv amenda - In urma unui atac cibernetic a fost accesata infrastructura informatica a operatorului si astfel au fost extrase in mod neautorizat date cu caracter personal. Aceasta situatie a condus la accesul neautorizat la date cu caracter personal ale unui numar semnificativ de persoane fizice vizate, precum: nume/prenume, semnatura, adresa, numar de telefon, e-mail, sexul, nationalitatea, copii de pe acte de identitate, certificate de casatorie, pasapoarte, certificate de nastere, informatii privind ocuparea fortei de munca si informatii financiare, date sensibile privind sanatatea angajatilor.
Operator - Bucharest Down Town Hotel SRL (ianuarie 2025)
Valoare amenda - 1.000 euro
Motiv amenda - O persoana vizata a solicitat sa i se comunice toate datele personale ce ii apartin si pe care le detine operatorul, inclusiv copia documentului semnat si orice inregistrare audio-video care o priveste. In cadrul investigatiei a reiesit faptul ca operatorul nu a facut dovada ca a transmis un raspuns in termenul legal la cererea de exercitare a dreptului de acces a persoanei vizate.
Operator - ONE UNITED PROPERTIES S.A. (februarie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a transmis persoanei vizate, pe o anumita perioada de timp, mesaje comerciale nesolicitate. In acest context, operatorul nu a facut dovada existentei consimtamantului obtinut de la persoana vizata pentru prelucrarea datelor personale ale acesteia in scop de marketing.
Operator - Automobilus International S.R.L. (februarie 2025)
Valoare amenda - 5.000 euro
Motiv amenda - Accesarea ilegala de catre un tert a informatiilor din baza de date a operatorului. De asemenea, s-a notificat ca accesul la informatiile din sistemul de evidenta detinut s-a produs prin exploatarea unei vulnerabilitati la unul dintre serverele operatorului.
Operator - Noy Business Tranzactions SRL (februarie 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Un client a reclamat faptul ca operatorul nu i-a comunicat un raspuns la cererea sa prin care si-a exercitat dreptul de acces asupra datelor sale personale (imaginea), solicitand inregistrarile camerelor video din perioada sejurului sau la hotelul unde a fost cazat, apartinand operatorului.
Operator - SHOPBAG GROUP ONLINE SRL (ianuarie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul nu a dat curs cererii unei persoane fizice de stergere a contului creat pe site-ul operatorului depozit-online.ro
Operator - WEBRASOFT SRL (ianuarie 2025)
Valoare amenda - 20.000 euro
Motiv amenda - Operatorul a fost victima unui atac informatic prin care a fost accesat, in mod ilegal, serverul pe care era stocata baza de date a clientilor operatorului. Astfel, au fost accesate neautorizat datele cu caracter personal ale unui numar mare de clienti (nume/prenume, CNP, adresa de domiciliu, numar de telefon, adresa de e-mail, numar de cont bancar).
Operator - BEKO Romania SA (februarie 2025)
Valoare amenda - 10.000 euro
Motiv amenda - O persoana neautorizata a profitat de o vulnerabilitate de programare si a accesat in mod ilegal site-ul operatorului care continea baza de date a clientilor sai. Astfel, persoana respectiva a avut acces la datele cu caracter personal ale unui numar mare de clienti ai operatorului, precum: nume/prenume, numar de telefon, adresa de e-mail etc.
Operator - Velvet Medical SRL (februarie 2025)
Valoare amenda - 1.000 euro
Motiv amenda - Operatorul a refuzat sa dea curs mai multor cereri ale unei persoane vizate de a-i transmite datele medicale, respectiv documentele din dosarul medical al acesteia.
Operator - Medstar S.R.L. (ianuarie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a dezvaluit datele privind starea de sanatate a unei persoane vizate catre o alta persoana (pacient), iar datele altui pacient privind starea de sanatate i-au fost transmise petentei, in mod eronat si nesecurizat. Aceasta situatie a condus la dezvaluirea neautorizata a datelor personale si speciale, ce apartineau mai multor persoane vizate, precum: nume/ prenume, CNP, varsta, sex, localitate, numar telefon mobil, adrese de e-mail, date medicale din istoricul pacientului, tipul analizelor efectuate, rezultate analize, tratamentul prescris etc.
Operator - Meedea Construct Prest SRL (ianuarie 2025)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul, in calitate de fost angajator, a dezvaluit catre o alta persoana terta acte legate de angajarea unei persoane vizate (copie CIM, fisa de aptitudini, adeverinta medicala), tertul respectiv utilizandu-le intr-un litigiu in instanta. Astfel, operatorul a dezvaluit, fara respectarea conditiilor legale, date cu caracter personal si privind starea de sanatate care apartineau petentului (fost angajat), precum: nume/prenume, adresa, serie si numar act identitate, CNP, functia/meseria/ocupatia, semnatura, data nastere, afectiuni medicale etc.)
Operator - PPC Energie Muntenia SA (ianuarie 2025)
Valoare amenda - 3.000 euro
Motiv amenda - Persoana care a depus plangerea reclama faptul ca a fost contactat telefonic, in scop de marketing, de catre un partener al operatorului. Petentul s-a adresat operatorului cu o cerere prin care si-a exercitat dreptul de acces si de opozitie prevazute de RGPD, la care nu a primit raspuns. Ulterior, acesta s-a adresat cu o noua cerere, insa nu a fost multumit de raspunsul primit din partea operatorului.
Operator - Omniasig Vienna Insurance Group S.A. (decembrie 2024)
Valoare amenda - 3.000 euro
Motiv amenda - Un angajat al unui imputernicit (persoana juridica) cu care operatorul colabora a incasat sume necuvenite prin completarea unor cereri de despagubire pentru evenimente inexistente, folosind identitatea unor clienti, persoane fizice asigurate. Angajatul imputernicitului, care avea acces la dosarele de dauna ale operatorului, a accesat neautorizat date cu caracter personal, precum: nume/prenume, adresa de domiciliu, imaginea persoanei, CNP, numarul si seria cartii de identitate, date medicale, date financiare ale persoanelor vizate.
Operator - FARMEC SA (decembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - In urma unui atac cibernetic a fost accesata o baza de date cu utilizatori si administratori ai site-ului operatorului, fapt care a condus la divulgarea neautorizata sau accesul neautorizat la date cu caracter personal ale unui numar semnificativ de persoane fizice vizate, precum: nume/prenume, adresa de e-mail, parola pentru acces in contul utilizator.
Operator - V&M Contab&Management SRL (decembrie 2024)
Valoare amenda - 10.000 euro
Motiv amenda - Operatorul a transmis pe WhatsApp catre o persoana terta un tabel cu parole de acces in platforma Revisal pentru mai multe entitati juridice, prin intermediul carora se puteau accesa datele personale ale angajatilor sau fostilor angajati ai acestor societati. Acest incident a condus la accesul neautorizat si la divulgarea neautorizata a datelor cu caracter personal precum: nume/prenume, cetatenia, CNP, domiciliu.
Operator - Unicredit Bank SA (decembrie 2024)
Valoare amenda - 15.000 euro
Motiv amenda - Intr-o prima situatie, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a functionarii eronate a aplicatiei operatorului prin care se creeaza numele de utilizator, conducand la divulgarea neautorizata a unor date cu caracter personal prelucrate ale unor clienti, precum: nume/prenume, informatii despre contul curent, tranzactii cont, sold cont, tranzactii card, sold card. Cea de-a doua situatie s-a produs in urma implementarii de catre operator a unei solutii de comunicare a clientilor cu banca, ceea ce a condus la divulgarea neautorizata a datelor cu caracter personal (numele titularului de card, numarul de telefon, data tranzactiei, valuta, adresa de email, suma tranzactiei, motivul de refuz la plata) ale unui numar semnificativ de clienti ai operatorului. Ambele situatii au fost determinate de lipsa unor testari prealabile adecvate în mediul de test a solutiilor respective.
Operator - S.P.E.E.H. HIDROELECTRICA S.A. (decembrie 2024)
Valoare amenda - 15.000 euro
Motiv amenda - Pierderea integritatii si disponibilitatii datelor cu caracter personal in momentul lansarii aplicatiei operatorului, ca urmare a unei erori tehnice si a neefectuarii unei testari suficiente a acesteia intr-un mediu de test. Mai exact, divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal apartinand unui numar semnificativ de persoane vizate.
Operator - RED&WHITE 2022 MANAGEMENT S.A. (decembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma unor sesizari ale acestuia, respectiv al unui imputernicit al operatorului, in contextul derularii unei campanii de crowdfunding (microfinantare din partea unor persoane fizice). Astfel, s-a constatat ca operatorul, in calitate de actionar majoritar al unei echipe de fotbal, a transmis un e-mail cu privire la posibilitatea finantarii echipei de catre suporterii acesteia, catre o baza de date formata dintr-un numar foarte mare de e-mailuri ale unor persoane vizate care cumparasera bilete la meciurile echipei, e-mailul fiind transmis prin intermediul unei persoane imputernicite. Baza de date utilizata continea date cu caracter personal (nume/prenume, adresa de e-mail) atat ale sustinatorilor clubului (suporteri), cat si ale altor persoane fizice. In urma investigatiei reiese faptul ca operatorul nu a facut dovada elaborarii unor instructiuni documentate pentru imputernicitul sau cu privire la categoria de persoane vizate din baza de date utilizata.
Operator - Orange Romania SA (decembrie 2024)
Valoare amenda - 40.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat ca, dupa incercarea nereusita de abonare la serviciile de telefonie mobila oferite de operator, s-a solicitat stergerea tuturor datelor personale. Pe parcursul corespondentei purtate, operatorul a solicitat mai multe date personale si nu a oferit raspunsuri adecvate si complete la solicitarile primite. De asemenea, operatorul a colectat si stocat excesiv inclusiv copii scanate ale unor documente, desi datele personale nu mai erau necesare scopului de identificare aferent incheierii unui contract de abonament.
Operator - Softtehnica S.R.L.(decembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - In urma unui atac cibernetic de tip Ransomware a fost accesata infrastructura informatica a operatorului. Aceasta a condus la divulgarea neautorizata sau accesul neautorizat la date cu caracter personal ale unui numar semnificativ de persoane fizice vizate, precum: nume/prenume, domiciliu, adresa de e-mail si date de contact.
Operator - Vodafone Romania S.A. (decembrie 2024)
Valoare amenda - 15.000 euro
Motiv amenda - In mod repetat, operatorul nu a asigurat confidentialitatea datelor apartinand mai multor persoane vizate, clienti ai companiei (nume/prenume, adrese de e-mail, CNP, cod client si adresa client), ca urmare a nerespectarii politicilor si procedurilor de lucru privind prelucrarea datelor cu caracter personal de catre angajatii sau persoanelor imputernicite ale acestuia. Astfel, au avut loc situatii precum:
- transmiterea neautorizata a unei poze cu detaliile facturii unei persoane vizate catre o persoana terta;
- neascunderea adreselor de e-mail ale destinatarilor si neutilizarea optiunii BCC (blind carbon copy) cu ocazia transmiterii de informari unor persoane vizate;
- transmiterea prin WhatsApp de catre angajatul unui imputernicit al operatorului a unei capturi de ecran cu date afisate in interfata aplicatiei operatorului;
- transmiterea in mod eronat a unei facturi apartinand unei persoane vizate catre un tert.
Operator - DELIVERY SOLUTIONS S.A. (decembrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a raportat un incident de securitate cu expunerea unor date cu caracter personal in mediul online. In cadrul incidentului, s-a raportat ca a fost accesata interfata web a unei aplicatii interne a operatorului prin obtinerea in mod fraudulos a unor credentiale valide (username si parola), ceea ce a permis vizualizarea de date. In acest context au fost accesate in mod nelegal si afectate o serie de categorii de date precum: nume/prenume, adresa postala, numar de telefon si adresa de e-mail.
Operator - Centrul Medical Unirea S.R.L (2024)
Valoare amenda - 2.000 euro
Motiv amenda - La un punct de recoltare probe biologie al operatorului, au fost expuse public credentialele de acces la contul de e-mail al unei persoane vizate, prin afisarea acestora pe monitorul calculatorului.
Operator - Fan Courier Express S.R.L. (decembrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a omis sa comunice unei persoane vizate o copie a datelor sale cu caracter personal, asa cum acesta a solicitat in mod corect prin cererea transmisa electronic la adresa operatorului. S-a constatat ca operatorul a tergiversat solutionarea cererii persoanei vizate prin directionarea catre alt departament intern, solicitandu-i sa depuna o noua cerere la un alt sediu al operatorului.
Operator - English Home SRL (noiembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - Operatorul nu a dat curs cererii unei persoane vizate de exercitare a dreptului la opozitie cu privire la prelucrarea adresei de e-mail si a numarului de telefon in scop de marketing direct. Totodata, operatorul nu a raspuns solicitarii petitionarului in termenele legale.
Operator - Pansiprod Distributie SRL (noiembrie 2024)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri de o persoana vizata care a reclamat operatorul ca nu a raspuns solicitarii sale privind dreptul de acces la datele personale.
Operator - Electrica Furnizare S.A. (noiembrie 2024)
Valoare amenda - 3.000 euro
Motiv amenda - O persoana fizica a transmis o sesizare conform careia aceasta a primit de la operator informatii care contineau date personale ale unei persoane abonate la societate, iar acele informatii nu ii erau destinate.
Operator - UNICREDIT CONSUMER FINANCING IFN S.A. (noiembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - Conform notificarii de incalcare a securitatii datelor cu caracter personal, date cu caracter personal precum: nume/prenume, functie, semnatura apartinand unor persoane vizate (fosti angajati), au fost prelucrate prin includerea acestora in anumite documente contractuale si utilizate in relatia cu clientii si colaboratorii operatorului, desi contractele individuale de munca ale acestora erau incetate.
Operator - Compania de Transport Public Cluj-Napoca S.A. (noiembrie 2024)
Valoare amenda - 4.000 euro
Motiv amenda - Operatorul a prelucrat in mod nelegal datele personale ale unui numar mare de angajati in functia de sofer, respectiv imaginea si vocea, prin intermediul sistemului de supraveghere audio-video instalat in interiorul cabinelor de conducere ale mijloacelor de transport public (troleibuze si autobuze). Astfel, pe o perioada de mai multi ani, prelucrarea datelor cu caracter personal ale persoanelor vizate (angajati) in contextul relatiilor de munca, s-a efectuat de catre operator cu incalcarea principiilor de prelucrare a datelor cu caracter personal.
Operator - SYNOBIS MEDICAL SRL (octombrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari conform careia site-ul www.synobis.ro, detinut de operator, nu oferea posibilitatea accesarii fara a accepta colectarea de informatii prin tehnologiile cookies si nici nu asigura informarea persoanelor vizate, conform prevederilor legale in domeniu.
Operator - Rompetrol Downstream SRL (octombrie 2024)
Valoare amenda - 4.000 euro
Motiv amenda - Mai multe persoane fizice au primit e-mailuri neautorizate cu continut malitios de tip „phishing”. Totodata, in cadrul aceluiasi incident, datele cu caracter personal apartinand unor persoane vizate, precum: adresa de e-mail, nume si prenume continute in denumirea e-mailului, nume, prenume si semnaturi, care se aflau in fisiere ce apartineau operatorului, au fost descarcate si accesate in mod nelegal.
Operator - Raiffeisen Bank S.A. (octombrie 2024)
Valoare amenda - 20.000 euro
Motiv amenda - Operatorul a fost sesizat de catre un client care reclama contractarea unui credit in numele sau. In cadrul investigatiei s-a constatat ca un angajat al operatorului a utilizat in mod nelegal cererea de credit a clientului, precum si celelalte documente aferente acestei cereri, desi clientul anuntase operatorul ca renunta la aceasta cerere. Angajatul respectiv a efectuat tranzactii de retragere numerar de la ATM si operatiuni de transfer bancar in numele mai multor persoane vizate, fiind afectate urmatoarele categorii de date cu caracter personal: nume/prenume, CNP, adresa, numar de telefon, data nasterii, numele si adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordarii, termenul de acordare, sumele acordate, sumele datorate, data scadentei, valuta, frecventa platilor etc. Investigatia Autoritatii de Supraveghere a relevat faptul ca, incepand din anul 2015, si pana in luna martie a anului 2023, au fost accesate si divulgate neautorizat datele cu caracter personal a mai multor clienti ai Raiffeisen Bank S.A. ca urmare a actiunilor efectuate de un angajat al operatorului, in scopul obtinerii unor produse financiare in numele persoanelor vizate afectate.
Operator - Altex Romania S.A. (octombrie 2024)
Valoare amenda - 20.000 euro
Motiv amenda - Producerea unor incalcari a securitatii datelor cu caracter personal:
a) operatorul a fost informat prin e-mail de catre un tert cu privire la faptul ca unele conturi ale clientilor operatorului au fost publicate pe o platforma, fiind afectate date cu caracter personal ale unui numar foarte mare de persoane vizate (nume/prenume, e-mail, adresa de livrare, numar de telefon, istoric comenzi, date referitoare la cardurile cu care efectuau plati online, comunicari cu operatorul etc.)
b) operatorul a constatat ca a fost victima unui atac informatic de tip "credential stuffing", prin incercari repetate de validare a parolelor asupra unor conturi ale clientilor pentru plasarea de comenzi de carduri cadou, fiind afectat un numar semnificativ de persoane vizate
Operator - UP ROMANIA SRL (octombrie 2024)
Valoare amenda - 4.000 euro
Motiv amenda - Operatorul a prelucrat datele personale ale angajatului sau, colectate prin intermediul sistemului de monitorizare GPS instalat pe masina de serviciu, in timpul in care salariatul se afla in afara programului de lucru, inclusiv in perioadele de concediu, fara temei legal si cu incalcarea principiilor de prelucrare a datelor cu caracter personal. Totodata, s-a constatat ca aceasta situatie a afectat mai multi angajati ai operatorului, aflati in situatii similare.
Operator - PPC Energie Muntenia S.A.
Valoare amenda - 1.000 euro
Motiv amenda - Transmiterea pe e-mail a unor mesaje comerciale nesolicitate, in ciuda faptului ca persoana vizata si-a exercitat de mai multe ori dreptul la stergere privind incetarea prelucrarii adresei sale de e-mail de catre operator. Desi persoana vizata a primit confirmarea ca adresa de e-mail respectiva va fi stearsa din baza de date, iar contul creat cu adresa de e-mail a petentului a fost sters, operatorul a continuat sa ii transmita mesaje electronice.
Operator - Blackcab Systems SRL (octombrie 2024)
Valoare amenda - 1.000 euro
Motiv amenda - Un client al operatorului a adresat acestuia o cerere privind dreptul de acces si a solicitat o copie a datelor sale personale. In cadrul investigatiei desfasurate de catre Autoritatea Nationala de Supraveghere, operatorul nu a facut dovada ca a raspuns cererii petentului.
Operator - Untold SRL (septembrie 2024)
Valoare amenda - 10.000 euro, respectiv 5.000 euro
Motiv amenda - 1. Amenda de 10.000 euro - Esecul de a solutiona cererea de acces la datele personale ale unei persoane vizate.
2. Amenda de 5.000 euro - Esecul de a solutiona cererea de stergere a datelor personale ale petitionarului in termenele prevazute de Regulamentul (UE) 2016/679
Operator - Vodafone Romania S.A. (septembrie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - Dezvaluirea mai multor adrese de e-mail in cadrul transmiterii unor comunicari privind schimbarea managerului de cont alocat unor clienti persoane juridice din portofoliul operatorului, mesajele fiind trimise prin posta electronica in doua luni diferite, catre mai multi reprezentanti ai clientilor si catre mai multe persoane fizice.
Operator - IA BILET SRL (septembrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Un client al operatorului a reclamat faptul ca operatorul i-a sters in mod nejustificat contul creat pe platforma iabilet.ro, si a refuzat reactivarea contului acestuia dupa exercitarea dreptului sau de stergere, ca urmare a faptului ca pe numarul sau de telefon a primit mesaje comerciale nesolicitate in scop de marketing.
Operator - Profi Rom Food SRL (septembrie 2024)
Valoare amenda - 10.000 euro
Motiv amenda - Transmiterea unor copii ale cartilor de identitate ale mai multor angajati ai operatorului catre o societate care presta anumite servicii pentru operatorul, fara a avea temei legal.
Operator - Your Consulting SRL
Valoare amenda - 3.000 euro
Motiv amenda - Accesul neautorizat la datele cu caracter personal (nume/prenume, CNP, numarul voucherelor de vacanta distribuite nominal, valoarea nominala totala a voucherelor de vacanta etc.) ale unor persoane fizice, in perioada martie-aprilie 2024, prin intermediul aplicatiei operatorului.
Operator - Global Ports's Services S.R.L. (septembrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Utilizarea unui sistem de monitorizare GPS pe un autoturism folosit de catre un angajat fara informarea acestuia.
Operator - PPC ENERGIE MUNTENIA S.A. (septembrie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul nu a comunicat un raspuns la solicitarea unei persoane vizata prin care aceasta si-a exercitat dreptul de stergere a datelor cu caracter personal.
Operator - Kaufland Romania SCS
1. Valoare amenda - 2.000 euro
Motiv amenda - Inregistrarea cu telefonul mobil de catre agentii de paza ai operatorului a unor imagini surprinse de camerele de supraveghere ale magazinului cu privire la un incident petrecut in incinta. Aceasta situatie a condus la accesarea neautorizata si divulgarea acestor imagini catre una dintre persoanele vizate, la cererea ei.
2. Valoare amenda - 2.000 euro
Motiv amenda - Fotografierea, cu telefonul mobil, ale unor imagini din camera de monitorizare a operatorului. O clienta a sesizat agentului de paza al operatorului sustragerea telefonului din geanta si a solicitat imaginile video ale incidentului. Agentul de paza i-a permis clientei accesul in camera de monitorizare. Aceasta a fotografiat imaginile cu presupusa persoana (persoana vizata) si ulterior le-a postat pe contul sau de Facebook. Situatia creata a condus la accesul neautorizat al unui tert si divulgarea neautorizata in mediul on-line a imaginii unui client.
3. Valoare amenda - 3.000 euro
Motiv amenda - Pierderea confidentialitatii datelor, intrucat o angajata Kaufland implicata in procesul de recrutare al unui candidat (persoana vizata) a transmis, din eroare, un e-mail catre o alta persoana, detinatoare a unui domeniu de internet. Aceasta situatie a condus la accesul neautorizat si divulgarea neautorizata catre detinatorul domeniului de internet a datelor cu caracter personal (precum, numele, prenumele, locatia magazinului unde a aplicat) ale unei persoane care a aplicat pentru un job in cadrul operatorului.
Operator - Kruk Romania SRL
Valoare amenda - 3.000 euro
Motiv amenda - In calitate de imputernicit al unui alt operator, Kruk Romania SRL a transmis eronat o serie de notificari de cesiune de creanta catre mai multi destinatari si notificari privind posibilitatea de a incheia un angajament de plata cu debitorii prin efectuarea de operatiuni manuale de prelucrare necorespunzatoare asupra bazei de date transmise de un partener contractual in baza unui contract de cesiune de creante. Aceasta situatie a condus, la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal (nume, prenume, adresa, data si numarul de contract, suma datorata etc.) cuprinse in respectivele documente.
Operator - Ana Hotels SRL (iulie 2024)
Valoare amenda - 8.000 euro
Motiv amenda - Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unui atac informatic de tip ransomware, situatie ce a condus la divulgarea neautorizata a unor date cu caracter personal prelucrate si stocate prin sistemele informatice ale Ana Hotels SRL, pentru un numar semnificativ de persoane vizate, angajati ai operatorului.
Operator - BEST ELAN ONLINE SRL (iulie 2024)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei plângeri transmise de o persoana vizata care a semnalat faptul ca primea mesaje comerciale nesolicitate din partea operatorului, desi persoana fizica a solicitat stergerea datelor sale personale, inclusiv prin accesarea unui link pus la dispozitia persoanelor vizate de catre operator.
Operatori - Retele Electrice Muntenia SA & Retele Electrice Dobrogea SA
Valoare amenzi - 3.000, respectiv 1.000 euro
Motiv amenzi - Investigatiile au fost demarate ca urmare a unor sesizari prin care s-a semnalat faptul ca un utilizator conectat la contul sau pe site-ul comun al celor doi operatori putea sa vizualizeze datele personale ale altor clienti ai operatorilor.
Operator - Corint Logistic S.R.L. (aprilie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Un client al operatorului a reclamat ca pe numarul sau de telefon a primit mesaje comerciale de tip SMS din partea Corint Logistic SRL, desi si-a exercitat dreptul de stergere si primise confirmarea ca datele sale personale au fost sterse.
Operator - S.C. Rompetrol Downstream S.R.L. (aprilie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la compromiterea confidentialitatii datelor cu caracter personal ale propriilor clienti, prin divulgarea neautorizata pe retele de socializare.
Operator - Urban Home Development S.R.L.
Valoare amenda - 10.000 lei
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care s-a semnalat o posibila incalcare a prevederilor legale privind prelucrarea datelor cu caracter personal intrucat pe site-ul operatorului nu era afisata informarea privind drepturile persoanelor vizate potrivit RGPD si nici informarea referitoare la utilizarea cookies.
Operator - IRIDEX GROUP SALUBRIZARE SRL
Valoare amenda - 2.000 euro
Motiv amenda - Transmiterea pe adresele de e-mail ale clientilor societatii a unui mesaj electronic colectiv, fiind vizibile adresele tuturor clientilor.
Operator - MEDICOVER SRL
Valoare amenda - 1.000 euro
Motiv amenda - Divulgarea neautorizata a datelor cu caracter personal dintr-un raport medical de consultatie catre un alt pacient caruia nu ii era destinat.
Operator - Genpact Romania SRL
Valoare amenda - 3.000 euro
Motiv amenda - Transmiterea unui fisier care continea date referitoare la recrutarea personalului pe o adresa de e-mail neautorizata a unui angajat.
Operator - CENTRUL MEDICAL UNIREA SRL
Valoare amenda - 5.000 euro
Motiv amenda - Dezvaluirea neautorizata a datelor personale (nume/prenume, CNP, data nasterii, varsta, sex, numerele de telefon adresele de e-mail personale sau de serviciu, informatii cu privire la adresa de corespondenta, profesie, pontaj, targeturi si bonusuri etc.) ale unui numar semnificativ de persoane vizate, atat pacienti cat si angajati ai operatorului.
Operator - ALPHA BANK ROMANIA SA
Valoare amenda - 2.000 euro
Motiv amenda - Unul dintre sistemele de evidenta ale operatorului a fost administrat in mod eronat de catre un angajat, conducand astfel la incalcarea confidentialitatii datelor cu caracter personal prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal ale unui numar determinat de clienti.
Operator - SC Tensa Art Design SA (aprilie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul, detinator al site-ului www.lensa.ro, a prelucrat numarul de telefon al unei persoane vizate in scop de marketing direct, fara consimtamantul acestuia, comunicandu-i mesaje comerciale de tip SMS.
Operator - Centrul Medical dr. Furtuna Dan (aprilie 2024)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata intrucat operatorul nu a transmis Autoritatii Nationale de Supraveghere dovezi cu privire la respectarea masurilor corective dispuse anterior.
Operator - Sectorul 1 al Municipiului Bucuresti (februarie 2024)
Valoare amenda - 159.000 lei
Motiv amenda - Operatorul a fost sanctionat cu amenda cominatorie intrucat nu a dus la indeplinire masura de remediere dispusa prin procesul-verbal de constatare/sanctionare emisa in cadrul unei investigatii anterioare.
Operator - EURO MINI STORAGE ROMANIA SRL (februarie 2024)
Valoare amenda - 5.000 euro
Motiv amenda - Bresa de securitate s-a produs ca urmare a unui atac informatic ce a generat inclusiv un incident de incalcare a disponibilitatii si confidentialitatii datelor cu caracter personal la nivelul serverului utilizat in infrastructura IT a operatorului, activitatea acestuia fiind indisponibilizata timp de cateva saptamani.
Operator - VESTAS CEU ROMANIA SRL (februarie 2024)
Valoare amenda - 3.000 euro
Motiv amenda - Incalcarea securitatii datelor s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal precum nume, localitate domiciliu, salariu, CV (care continea, in functie de caz: fotografie, date de contact, adresa, nationalitate, gen, stare civila, link-uri catre profiluri pe retele sociale, experienta profesionala, educatie etc.), pentru un numar semnificativ de angajati, aceste date fiind accesate de la nivel intern, in repetate randuri, si divulgate in mod ilegal catre un tert.
Operator - Account Exchange SRL (ianuarie 2024)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei sesizari prin care s-a semnalat faptul ca operatorul a utilizat datele cu caracter personal ale mai multor persoane fizice in vederea deschiderii unor conturi curente in moneda virtuala in numele acestora.
Operator - Asociatie de proprietari (ianuarie 2024)
Valoare amenda - 500 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit datele unei persoane fizice prin postarea unei notificari pe grupul de WhatsApp al membrilor Asociatiei de proprietari prin care petenta solicita operatorului o serie de informatii si documente legate de functionarea Asociatiei.
Operator - Sector 1 al Municipiului Bucuresti (decembrie 2023)
Valoare amenda - 10.000 lei
Motiv amenda - Operatorul Sectorul 1 al Municipiului Bucuresti, prin hotarari ale Consiliul Local, a stabilit modul in care locuitorii Sectorului 1 pot transmite documentele necesare pentru a beneficia de stimulentele financiare ale programului "Masuri locale destinate asigurarii nevoilor energetice si eficientizarii consumului de energie in gospodariile din Sectorul 1", respectiv in format fizic sau pe o adresa de e-mail, constituita strict in scopul implementarii programului. Cu toate acestea, Sectorul 1 al Municipiului Bucuresti a pus la dispozitia beneficiarilor o platforma on-line pentru colectarea datelor, achizitionata inainte ca proiectul de hotarare sa fie dezbatut si aprobat in cadrul Consiliului Local.
Operator - TECHNINK LEB SRL (decembrie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii datelor s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (ID, adresa, nume, prenume, adresa de e-mail, companie, vanzari, activ, abonat la buletinul informativ, inregistrare si ultima vizita) pentru un numar semnificativ de clienti, aceste date fiind accesibile pe site-ul operatorului.
Operator - Alior Bank SA (decembrie 2023)
Valoare amenda - 17.000 euro
Motiv amenda - Petentul (fost client) a reclamat faptul ca operatorul i-a trimis o corespondenta electronica nesolicitata, atat pe adresa de e-mail, cat si prin SMS, desi aceasta solicitase anterior stergerea tuturor datelor sale personale, aspect ce i-a fost confirmat de operator prin comunicarea de incetare a contractelor bancare incheiate, precum si prin inchiderea conturilor bancare aferente. De asemenea, petentul a sesizat si faptul ca au existat anterior si situatii in care operatorul a transmis prin e-mail o corespondenta cu caracter comercial, desi acesta isi exercitase dreptul de opozitie. In cadrul investigatiei s-a constatat ca banca, dupa incetarea relatiei contractuale cu clientii, continua sa monitorizeze activitatea acestora si sa transmita mesaje privind anumite operatiuni.
Operator - Persoana fizica (noiembrie 2023)
Valoare amenda - 200 euro
Motiv amenda - In cadrul investigatiei efectuate in urma unei sesizari s-a constatat faptul ca operatorul sanctionat (persoana fizica) nu a dus la indeplinire o masura corectiva aplicata de Autoritate printr-un procesul-verbal emis anterior, desi operatorul avea obligatia de a permite accesul Autoritatii la datele cu caracter personal si la toate informatiile necesare in vederea indeplinirii sarcinilor de control ale institutiei noastre.
Operator - Veranda Obor SA (decembrie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Pe site-ul ce apartine operatorului au fost afisate date cu caracter personal (precum: nume/prenume, e-mail) ale unui numar semnificativ de persoane vizate care au participat la o tombola organizata de centrul comercial.
Operator - Hora Credit IFN SA (noiembrie 2023)
Valoare amenda - 24.000 euro
Motiv amenda - Sanctiunea a fost aplicata in urma unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului, pe adresa sa de e-mail, documente ce contineau date personale ale unei alte persoane, client al operatorului. Desi petentul a sesizat eroarea operatorului, acesta nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail a acestuia.
Operator - SC Sweat Concept One SA (noiembrie 2023)
Valoare amenda - 10.000 lei
Motiv amenda - In cadrul investigatiei efectuate, s-a constatat faptul ca operatorul permitea stocarea de informatii si obtinerea accesului la informatiile stocate pe echipamentele utilizatorilor prin folosirea fisierelor de tip cookies disponibile pe site-ul operatorului, fara obtinerea prealabila a consimtamantului expres, asa cum prevede art. 4 alin. (5) din Legea nr. 506/2004.
Operator - Libra Internet Bank SA (noiembrie 2023)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a vizat modalitatea in care operatorul a raspuns la cererea unei persoane vizate de acces la date in urma masurii corective aplicate de Autoritatea Nationala de Supraveghere. Operatorul nu a dat curs integral masurii corective dispuse, iar in raspunsul trimis petentului nu i-a comunicat acestuia, in mod corespunzator si in termenul stabilit, toate informatiile legate de categoriile de date personale prelucrate in legatura cu petentul, scopurile prelucrarii, destinatarii sau categoriile de destinatari.
Operator - Rompetrol Downstream SRL (octombrie 2023)
Valoare amenda - 110.000 euro
Motiv amenda - Accesarea de la nivel intern si utilizarea in mod neautorizat, in repetate randuri, a datelor unor clienti din programul informatic detinut de companie si divulgarea in mod ilegal a datelor personale ale unor clienti, in scopul obtinerii unor credite de la societati financiare nebancare in numele acestora. Prin incidentul produs au fost divulgate neautorizat date cu caracter personal ale unor persoane vizate, date din cartea de identitate (nume/prenume, seria si numarul cartii de identitate, CNP, adresa etc.) si date din adeverinta de salariu (nume/prenume, data, semnatura, veniturile realizate, vechimea in munca).
Operator - OTP Bank Romania SA (octombrie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Transmiterea pe e-mail a datelor personale ale unei cliente catre o alta persoana. Totodata, s-a constatat ca operatorul nu a notificat ANSPDCP in privinta incidentului de securitate, incalcand astfel art. 33 din RGPD.
Operator - Asociatie de proprietari (octombrie 2023)
Valoare amenda - 2.487,25 lei
Motiv amenda - Dezvaluirea, fara temei legal, a numelui si prenumelui proprietarilor blocului respectiv prin afisarea acestora la listele de intretinere.
Operator - SC Spark Car Sharing SRL (octombrie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Operatorul nu a prelucrat adresa de e-mail a clientului in scop de marketing direct nici in baza consimtamantului si nici in baza altui temei legal. De asemenea, s-a constatat ca persoana fizica a solicitat stergerea tuturor datelor sale din aplicatie. Cu toate ca operatorul a informat clientul ca ii va sterge datele, a continuat sa transmita o serie de mesaje de marketing direct pe adresa de e-mail a acestuia.
Operator - Mensajero SRL (octombrie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Incalcarea securitatii prelucrarii datelor s-a produs prin posibilitatea de accesare unui link ce afisa o lista cu numeroase fisiere descarcabile care contineau, in mare parte, facturi si certificate de garantie ale produselor achizitionate de clientii operatorului.
Operator - DANTE INTERNATIONAL SA (septembrie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca Dante International SA, detinatoare a www.fashiondays.ro, a prelucrat numarul de telefon al petentului in scop de marketing direct fara consimtamantul sau, comunicandu-i mesaje comerciale de tip SMS.
Operator - CEZ Vanzare S.A. (septembrie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat ca operatorul a transmis clientilor beneficiari ai serviciului de furnizare gaze naturale, prin intermediul adresei de e-mail, preavize de deconectare, intrucat acestia nu au permis accesul personalului operatorului de distributie gaze pentru citirea sau inlocuirea echipamentelor de masurare de la locul de consum. In timpul transmiterii mesajului prin posta electronica au fost transcrise eronat unele adrese ale destinatarilor, astfel ca avizele de deconectare au fost comunicate altor clienti decat titularilor locului de consum. Astfel, au fost dezvaluite numele si prenumele, adresa de corespondenta, adresa locului de consum, codul de client, codul locului de consum atat ale unor persoane fizice, cat si ale unor persoane juridice.
Operator - RESTART ENERGY ONE S.A. (septembrie 2023)
Valoare amenda - 25.000 euro, respectiv 40.000 lei
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la o potentiala incalcare a securitatii datelor cu caracter personal pe site-ul operatorului. Mai exact, un fisier din site-ul operatorului care continea date cu caracter personal (nume/prenume, adresa, numere de telefon, e-mail, numar de contract si data incheierii acestuia) pentru un numar de cel putin 750 persoane vizate, a fost accesibil public, prin accesarea unui link generat de motoarele de cautare, pentru o perioada de aproximativ 2 ani si jumatate. De asemenea, s-a constatat si ca prin accesarea website-ului administrat de operator se instalau pe dispozitivul utilizatorului module cookie care nu erau necesare din punct de vedere tehnic, inainte de acordarea consimtamantului prin apasarea butonului de Accept, iar exprimarea dezacordului prin accesarea butonului Refuz cu privire la instalarea acestor module cookies nu avea nicio influenta asupra acestora, ele ramanand instalate in forma initiala, pentru o anumita perioada de timp, pe dispozitivul utilizatorului.
Operator - UAT Comuna Albeni (iunie 2023)
Valoare amenda - 10.000 lei
Motiv amenda - Investigata a fost demarata in urma unei plangeri referitoare la o posibila incalcare a prevederilor legale privitoare la prelucrarea datelor de catre UAT Comuna Albeni, prin intermediul unor camere de supraveghere video prin care ar fi monitorizati si verificati toti angajatii primariei de catre primar, s-a constatat faptul ca operatorul sanctionat nu a adus la indeplinire masuri dispuse anterior de Autoritatea nationala de supraveghere printr-un plan de remediere si nu a raspuns solicitarilor Autoritatii.
Operator - NN Asigurari de Viata S.A. (septembrie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana vizata care a reclamat faptul ca operatorul NN i-a incalcat dreptul de opozitie, prin trimiterea de mesaje in scop de marketing, prin mesageria Linkedin. Astfel, operatorul nu a respectat dispozi?iile legale privind prelucrarea datelor cu caracter personal, intrucat nu a luat in considerare cererile petentului, transmise prin posta electronica, prin care si-a exprimat optiunea de a nu mai fi contactat cu mesaje de tip marketing direct fara consimtamantul sau.
Operator - ISRA Center Marketing Research SRL (august 2023)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri transmise de o persoana fizica care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate pe adresa de e-mail. Operatorul a colectat datele personale ale persoanei vizate (spre exemplu, numele, prenumele, adresa de e-mail, locul de munca) in mod indirect, din surse publice, in vederea unei propuneri de participare la o cercetare de piata.
Operator - Persoana fizica (iunie 2023)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul sanctionat (medic) a filmat, cu telefonul personal, o pacienta a spitalului in care lucreaza, fara consimtamantul acesteia si ulterior a postat filmarea pe pagina sa de Facebook. Inregistrarea audio-video a condus la dezvaluirea datelor personale ale pacientei, precum imagine, voce, nume, prenume si stare de sanatate. Operatorul a sters in cursul aceleiasi zile inregistrarea de pe pagina sa de Facebook, dar nu inainte ca aceasta sa fie vizualizata de un numar foarte mare de persoane si sa fie preluata si diseminata pe diverse site-uri de internet si canale mass-media.
Operator - BODY LINE SRL (iulie 2023)
Valoare amenda - 10.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) prin postarea unei inregistrari audio-video pe paginile de socializare ale operatorului. In cursul investigatiei efectuate s-a constatat ca operatorul, prin intermediul paginilor sale de socializare, a diseminat datele petentului din inregistrarea audio-video si a folosit in comentarii un apelativ ce dezvaluia originea etnica a acestuia, fara a avea temei legal. De asemenea, operatorul nu a dat curs cererii petentului de stergere a datelor.
Operator - UiPath SRL (iulie 2023)
Valoare amenda - 70.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Avand in vedere ca sediul central al operatorului este in Romania, Autoritatea Nationala de Supraveghere a avut rolul de autoritate principala pentru prelucrarea transfrontaliera efectuata de UiPath SRL. Incalcarea confidentialitatii datelor a constat in publicarea datelor cu caracter personal a unui numar de aproximativ 600.000 de utilizatori ai platformei Academy pe un website accesibil la o adresa URL. Astfel, au fost divulgate neautorizat numele si prenumele fiecarui utilizator, identificatorul unic al utilizatorilor, adresa de e-mail, numele companiei la care utilizatorul este angajat, tara si detalii despre nivelul de cunostinte obtinut in cadrul cursurilor UiPath ACADEMY.
Operator - Med Life SA (iulie 2023)
Valoare amenda - 2.000 euro
Motiv amenda - Amenda a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentei dreptul de acces, refuzand sa-i comunice anumite inregistrari video din receptia unui spital al acestuia.
Operator - ING BANK (iunie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca a avut loc o transmitere neautorizata, prin intermediul aplicatiei WhatsApp, a unui fisier format .pdf ce continea date cu caracter personal. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale unui numar semnificativ de clienti ai operatorului.
Operator - Farmacia Ardealul SRL (mai 2023)
Valoare amenda - 2.500 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate s-a constatat faptul ca, pe site-ul operatorului, a fost instalat neautorizat un program de tip malware sub forma unui formular fictiv de colectare a datelor bancare. Aceasta situatie a condus la incalcarea confidentialitatii datelor cu caracter personal (date bancare) ale unui numar semnificativ de clienti.
Operator - Vodafone Romania SA (mai 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentului dreptul de acces, refuzand sa-i comunice anumite inregistrari ale convorbirilor cu call-center-ul companiei. De asemenea, ANSPDCP a constatat ca operatorul nu a facut dovada ca a transmis un raspuns petentului la cererea sa de exercitare a dreptului de acces in termen de 30 de zile, incalcand astfel prevederile art. 15 alin. (3) din RGPD.
Operator - Dante International SA (mai 2023)
Valoare amenda - 40.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a fost sesizata de autoritatea pentru protectia datelor (DPA) din Ungaria cu privire la plangerile formulate de trei persoane fizice din acest stat impotriva Dante International SA. In cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:
1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu. Acestuia i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata). In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului si prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele eMAG au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere. In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre operator. Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrat de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail. In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionat? pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.
Operator - BRD - Group Societe Generale SA (mai 2023)
Valoare amenda - 2.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat ca operatorul a divulgat ilegal date personale si financiare ale unui client al bancii si ale altor persoane, date care au fost transmise catre o instanta de judecata, fara a exista o solicitare a acesteia si fara a fi luate, in prealabil, masuri prin care sa fie verificate legitimitatea unei astfel de dezvaluiri a datelor personale.
Operator - Artima SA (mai 2023)
Valoare amenda - 8.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcarea a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat ca anumiti angajati ai operatorului au accesat sistemul de supraveghere video si au filmat cu telefonul mobil personal monitorul pe care se derulau inregistrarile sistemului. Ulterior, unul dintre angajati a transmis imaginile unei terte persoane, iar imaginile respective au fost postate de catre aceasta persoana pe Facebook. Astfel, au fost dezvaluite imaginea unei persoane fizice, numarul de inmatriculare, culoarea si marca autovehiculului acesteia, ceea ce a condus la pierdere confidentialitatii datelor cu caracter personal.
Operator - SC Apollo Salon SRL (mai 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate prin SMS, desi acesta, in repetate randuri, si-a exercitat dreptul de stergere, conform Regulamentului (UE) 2016/679.
Operator - Global Baby Brands SRL (mai 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului mai multe mesaje comerciale SMS, fara consimtamantul acestuia.
Operator - Automobile Bavaria SRL (mai 2023)
Valoare amenda - 18.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare securitatii datelor cu caracter personal. Incalcarea securitatii s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (nume, prenume, oras, adresa de e-mail, numar de telefon, model autoturism curent, an fabricatie autoturism curent, optiune buy-back etc.) pentru un numar de 290 clienti/potentiali clienti ai operatorului, in perioada iulie 2022-04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului.
Operator - NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. si NN Asigurari de Viata S.A. (aprilie 2023)
Valoare amenda - 1.500, respectiv 1.000 euro
Motiv amenda - Ambii operatori au fost sanctionati in urma efectuarii unor modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de a pastra paginile web in memoria acesteia. Astfel, a fost permisa vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei, a datelor personale care nu le apartineau. Aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (nume/prenume, CNP, adresa din cartea de identitate etc.), fiind afectate doua persoane vizate. De asemenea, modificarile de configuratie respective nu au fost supuse unui proces de testare la nivelul operatorului.
Operator - Compania Nationala Posta Romana S.A. (aprilie 2023)
Valoare amenda - 5.000 euro
Motiv amenda - Sanctiunea a fost aplicata in urma unor sesizari referitoare la completarea Formularului 230 de catre operator, cu date cu caracter personal ale propriilor angajati, in vederea redirectionarii procentului de 3,5% din impozitul anual pe venit al acestora catre o fundatie apartinand aceluiasi angajator. In cadrul investigatiei efectuate s-a constatat faptul ca operatorul a completat partial Formularul 230 cu date ale angajatilor (nume/prenume si CNP), fara sa existe o obligatie legala a acestuia in acest sens si fara sa faca dovada indeplinirii conditiilor prevazute in Regulamentul (UE) 2016/679.
Operator - Libra Internet Bank SA (martie 2023)
Valoare amenda - 11.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat refuzul operatorului de a da curs integral cererii de exercitare a dreptului de acces al persoanei vizate, precum si omisiunea de a ii furniza acesteia anumite informatii. Cererea persoanei respective viza accesul la copii ale inregistrarilor video prelucrate de catre operator ce o privesc. In cadrul investigatiei s-a constatat faptul ca operatorul nu a prezentat dovezi din care sa rezulta ca a transmis un raspuns complet la cererea persoanei vizate. Totodata, raspunsul trimit persoanei vizate prin e-mail nu continea informatii cu privire la posibilitatea sa de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac juridica pentru refuzul de a i se comunica informatiile solicitate.
Operator - Tensa Art Design SA (martie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul i-a transmis mesaje comerciale nesolicitate, desi acesta isi exercizase dreptul de opozitie, solicitand anterior dezabonarea de la serviciul de newsletter.
Operator - Partidul Uniunea Salvati Romania (martie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari, redirectionate de institutia Avocatul Poporului, prin care se reclama faptul ca pe site-ul Partidului Uniunea Salvati Romania au fost postate date cu caracter personal apartinand unor persoane cu grade diferite de dizabilitate. In cadrul investigatiei desfasurate s-a constatat faptul ca operatorul a preluat date cu caracter personal ale unor persoane vizate (nume/prenume, CNP, adresa, numar certificat de expertiza medicala, grad de handicap etc.) din documentele oficiale ale autoritatilor si institutiilor publice. Acestea au fost publicate ulterior pe site-ul partidului, in cadrul unui proiect al USR, cu incalcarea principiilor de prelucrare, fara a avea un temei legal pentru aceasta prelucrare.
Operator - Regency Company SRL (martie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei sesizari de catre o persoana fizica, ce a semnalat faptul ca angajatii si colaboratorii societatii sunt supravegheati audio/video la locul de munca, fara acordul acestora. In cadrul investigatiei s-a constatat ca operatorul, prin intermediul sistemului de supraveghere instalat in birouri si sala de mese, prelucra date cu caracter personal cu nerespectarea principiilor de prelucrare, in lipsa unui temei legal de prelucrare care sa justifice o asemenea intruziune.
Operator - Banca Transilvania SA (martie 2023)
Valoare amenda - 2.000 euro
Motiv amenda - Conform petitiei transmise de catre o persoana fizica, client al operatorului, acesta a solicitat Bancii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesarii de catre acesta doar a contului in EURO. La momentul ridicarii cardului, clientul si persoana care avea drept de operare pe contul respectiv utilizau o aplicatie de Mobile Banking a operatorului, care permitea restrictionarea vizualizarii unor conturi. In urma cererii de actualizare date (Achizitie produse/servicii bancare) pentru o noua aplicatie mobila destinata prestarii de servicii, si a activarii serviciului de Mobile Banking, ruda petentului a putut accesa neautorizat toate conturile titularului, nu doar pe cel in euro, conform cererii acestuia.
Operator - Tensa Art Design SRL (martie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii unei plangeri, prin care se reclama faptul ca petentii au primit mesaje comerciale pe numarul de telefon, respectiv adresa de e-mail, desi acestia isi exprimasera optiunea de a nu mai fi contactati prin aceste modalitati. Astfel, ANSPDCP a constatat faptul ca operatorul nu a luat in considerare opozitia petentilor cu privire la primirea mesajelor comerciale prin SMS/e-mail, si a prelucrat datele cu caracter personal ale acestora in scop de marketing direct, incalcand astfel prevederile art. 21 alin (3) din RGPD.
Operator - Persoana fizica (martie 2023)
Valoare amenda - 450 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii unei sesizari prin care se reclama faptul ca operatorul a postat prin intermediul unei retele de socializare datele cu caracter personal a numeroase persoane fizice. Astfel, persoana fizica respectiva a dezvaluit fatele cu caracter personal (nume/prenume, localitatea de domiciliu) ale mai multor persoane vizate prin intermediul unei retele de socializare, fara consimtamantul acestora.
Operator - Tehnoplus Industry SRL (februarie 2023)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a avut loc ca urmare a unei plangeri prin care se reclama faptul ca operatorul prelucra datele cu caracter personal ale petentului prin intermediul sistemului GPS instalat pe masina de serviciu, fara sa fi fost informat cu privire la monitorizarea autovehiculului, scopul si temeiul legal al prelucrarii, si durata de stocare a datelor colectate. Petentul a reclamat si faptul ca informatiile preluate din sistemul GPS erau utilizate de operator in alt scop, decat acela al monitorizarii masinii de serviciu. Investigatia a relevat faptul ca operatorul a prelucrat in mod excesiv, in afara orelor de serviciu, datele de localizare ale petentului, angajat al operatorului. Totodata, s-a constatat ca operatorul a stocat datele respective dupa expirarea duratei de stocare, fara sa prezinte dovezi din care sa rezulta ca depasirea termenului a fost bazata pe motive justificate.
Operator - Med Life S.A. (februarie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari, prin care s-a reclamat faptul ca un pacient a primit, prin e-mail, pe langa buletinul de investigatie propriu, si o serie de fisiere care contineau rezultatele unor investigatii ce apartineau alort cinci pacienti. Documentele atasate contineau numele/prenumele, data nasterii, data examinarii, motivul examinarii, rezultatul investigatiilor medicale, diagnosticul, precum si concluziile rezultate in urma examinarii medicale ale pacientilor respectivi.
Operator - Centrul Medical dr. Furtuna Dan (februarie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - In cadrul investigatiei desfasurate, Autoritatea Nationala de Supraveghere a constatat faptul ca operatorul a transmis pe numarul de telefon al unei persoane fizice, prin intermediul aplicatiei WhatsApp, un mesaj ce continea date medicale ce apartineau altor doua persoane vizate. Acest incident a condus la incalcarea confidentialitatii datelor prelucrate de catre operator, prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, numar de telefon, rezultate ale unor teste medicale.
Operator - Alianta pentru Unirea Romanilor (februarie 2023)
Valoare amenda - 10.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari conform carora operatorul colecteaza date cu caracter personal prin intermediul unui site, fara a realiza informarea persoanelor vizate si fara indeplinirea conditiilor privind legalitatea prelucrarii. In cadrul investigatiei s-a constatat faptul ca anumite date cu caracter personal (nume/prenume, adresa, seria si numarul cartii de identitate, CNP, numar de telefon, semnatura) erau colectate de catre operator. Colectare a fost efectuata prin completarea si semnarea unui formular online de pe site-ul respectiv, prin transmiterea acestuia descarcat, completat si semnat prin posta, precum si prin completarea si semnarea formularului la centrele speciale organizate de AUR.
Operator - Partidul Uniunea Salvati Romania (februarie 2023)
Valoare amenda - 4.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii s-a propus ca urmare a pierderii confidentialitatii si integritatii datelor stocate intr-un server al operatorului, in urma unui atac cibernetic de tip phishing.
Operator - Modaone SRL (ianuarie 2023)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre o persoana vizata a unei plangeri conform careia i s-au transmis mesaje comerciale de pe www.kalapod.net (site detinut de operator) pe adresa de e-mail, desi i se comunicase anterior ca nu va mai primi astfel de mesaje.
Operator - Tinmar Energy SA (februarie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - In cadrul investigatiei efectuate s-a constatat incalcarea securitatii prelucrarii datelor prin accesarea neautorizata a serverului de e-mail al operatorului. Acest lucru a condus la accesul la anumite date cu caracter personal, precum: nume/prenume, e-mail, CNP, numar de telefon si adrese de domiciliu.
Operator - Integral Collection SRL (februarie 2023)
Valoare amenda - 3.000 euro
Motiv amenda - Similar investigatiei anterioare, securitatea datelor cu caracter personal a fost afectat in urma unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal colectate de catre operator.
Operator - Finopro IFN SA (februarie 2023)
Valoare amenda - 2.250 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat faptul ca incalcarea securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, situatie ce a rezultat in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal (date de identificare, date din carti de identitate, adrese, numere de telefon, extrase de cont).
Operator - Medijobs Platform SRL (ianuarie 2023)
Valoare amenda - 5.000 euro
Motiv amenda - Operatorul a transmis catre Autoritatea Nationala de Supraveghere o notificare de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei demarate s-a constatat faptul ca infrastructura IT gestionata de operator a fost accesata neautorizat, facand posibila descarcarea si stergerea anumitor date cu caracter personal. Aceasta situatie a condus la divulgarea neautorizata/accesul neautorizata la date cu caracter personal din CV-urile candidatilor, precum: nume/prenume, e-mail, telefon, istoric profesional/educational etc.
Operator - Tensa Art Design SA (ianuarie 2023)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul ii trimitea constant mesaje nesolicitate. In cadrul investigatiei s-a constatat faptul ca operatorul a transmis persoanei vizate prin intermediul postei electronice, in repetate randuri, mesaje comerciale nesolicitate, desi acesta solicitase anterior dezabonarea de la serviciul de newsletter al operatorului.
Operatori - Dent Estet Clinic SA & medic stomatolog, colaborator al operatorului (decembrie 2022)
Valori amenzi - 1.000 euro,respectiv 1.000 euro
Motiv amenzi - Investigatiile au fost demarate in urma unei plangeri transmise de catre o persoana vizata, prin care s-a reclamat faptul ca operatorii Dent Estet Clinic SA si medicul colaborator i-au divulgat datele de sanatate in mediul online. In cadrul investigatiilor s-a constatat ca cei doi operatori au divulgat informatii medical referitoare la tratamentul ortodontic al petitionarului, prin publicarea unui articol pe un blog de specialitate a unui set de fotografii si radiografii care se puteau corela cu numele persoanei. Totodata, Autoritatea de Supraveghere a constatat ca medicul stomatolog colaborator a prelucrat datele personale privind starea de sanatate a persoanei vizate, in cadrul unui articol postat pe blogul personal, fara sa prezinte dovezi privind obtinerea consimtamantului expres al persoanei vizate, si fara informarea sa prealabila.
Operator - Dante International SA (decembrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, conform careia operatorul Dante International SA, detinatoare emag.ro, a incalcat dreptul la stergerea datelor cu caracter personal. Mai exact, operatorul a transmis catre numarul de telefon al petentului un SMS de informare cu privire la ofertele comerciale ale societatii, desi acesta solicitase anterior stergerea contului si a datelor nerelevante.
Operator - BRISTOL LOGISTICS SA (decembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Incidentul de incalcare a securitatii a constat in sustragere unui biblioraft continand dosarele de personal a 12 angajati ai operatorului, conducand astfel la accesarea de date personale de catre persoane neautorizate. Datele cu caracter personal care au fost accesate neautorizat au inclus: date de contact/identificare, pregatirea academica si profesionala, detalii de angajare, informatii referitoare la deduceri de taxe si persoane aflate in intretinere, calificative de medicina muncii.
Operator - Apa Canal Ilfov SA (decembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Mai exact, pentru a transmite un mesaj electronic catre utilizatorii inregistrati pe portalul online al societatii, operatorul a introdus eronat adresele de e-mail la sectiunea "To", in loc de "BCC". Aceasta incalcare a condus la divulgarea neautorizata/accesul neautorizat la date cu caracter personal (adresa de e-mail), fiind afectat un numar semnificativ de persoane fizice.
Operator - Asociatie de proprietari din Iasi (noiembrie 2022)
Valoare amenda - 500 euro
Motiv amenda - Operatorul a afisat listele de plata ce contineau numele/prenumele fiecarui membru al Asociatiei de proprietari. Petentul plangerii initiale a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale. Pe langa amenda, operatorului i s-a aplicat si masura corectiva de a lua masurile necesare astfel incat sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile RGPD si sa evita prelucrarea (inclusiv dezvaluirea) datelor cu caracter personal fara consimtamantul persoanelor vizate si fara existenta unei alte situatii in care consimtamantul nu este necesar.
Operator - Kaufland Romania SCS (noiembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Operatorul a fost sesizat de o persoana vizata asupra faptului ca o inregistrare video ce contine imagini cu persoana sa din parcarea unuia dintre magazinele Kaufland a aparut pe pagina web a unui ziar local. In urma investigatiei a rezultat ca managerul magazinului respectiv a permis accesul unui angajat in camera de monitorizare, care a captat, cu telefonul mobil personal, imagini ale inregistrarilor video. Ulterior, angajatul a transmis inregistrarea unui tert, iar imaginile au fost publicate online. Astfel, au fost dezvaluite imaginea si numar de inmatriculare a al masinii, fiind afectate de acest incident doua persoane vizate.
Operator - SUDREZIDENTIAL Broker S.R.L. (noiembrie 2022)
Valoare amenda - 10.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca operatorul nu a luat masuri adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, ceea ce a condus la intocmirea unei evidente in format Excel care continea datele cu caracter personal (nume/prenume, CNP, numar telefon, serie si numar carte de identitate, adresa de e-mail, date bancare, achizitii de imobile, stare civila etc.) ale clientilor operatorului si ale altor persoane fizice, parteneri de viata ai clientilor. Astfel, au fost divulgate neautorizat catre publicul larg datele personale a cel putin 509 persoane vizate, clienti ai operatorului, prin publicarea acestora de catre administratorul societatii pe o anumita pagina de internet. De asemenea, s-a constatat ca operatorul nu a informat persoanele vizate cu privire la aceasta incalcare a securitatii datelor cu caracter personal, incalcandu-se astfel prevederile art. 34 din RGPD.
Operator - Autoritatea Nationala pentru Restituirea Proprietatilor (ANRP) - noiembrie 2022
Valoare amenda - 13.000 lei
Motiv amenda - Investigatia a fost demarata pentru verificarea indeplinirii de catre ANRP a masurilor de remediere dispuse anterior acestui operator. Printr-un proces verbal anterior, operatorul ANRP a fost sanctionat cu avertisment pentru incalcarea prevederilor RGPD, fiind obligat totodata, ca in termen de 20 de zile, sa asigure conformitatea cu dispozitiile RGPD a operatiunilor de prelucrare a datelor cu caracter personal, inclusiv a celor efectuate prin intermediul sistemului de supraveghere video, prin implementarea de masuri tehnice si organizatorice ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor. Intrucat operatorul nu a comunicat masurile luate, in luna noiembrie 2022, s-a efectuat o noua investigatie la ANRP cu privire la indeplinirea masurilor prevazute in planul de remediere anexa la procesul-verbal din septembrie 2022.Totodata, reprezentantii operatorului au sustinut ca nu au avut loc instruiri periodice ale persoanelor care actioneaza sub autoritatea ANRP.
Operator - Societatea Energetica Electrica S.A. (noiembrie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiteri de catre operator a unei notificari cu privire la incalcarea confidentialitatii datelor cu caracter personal. Pe langa amenda acordata, operatorul a primit din partea Autoritatii de Supraveghere si recomandarea de a lua toate masurile necesare pentru respectarea prevederilor art. 46 - 49 din RGPD.
Operator - Casa Rusu S.R.L (noiembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre Casa Rusu S.R.L. a unei notificari de incalcare a securitatii prelucrarii datelor. Incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca a fost introdus in sectiunea de plati on-line a site-ului pe care il detine operatorul un formular neautorizat prin care se colectau date bancare continute de cardurile clientilor. In consecinta, au fost accesate neautorizat date cu caracter personal, precum: nume/prenume, numarul cardului bancar, data si anul expirarii, cod CVC.
Operator - OTP LEASING ROMANIA IFN SA (noiembrie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. In notificarea transmisa, operatorul a sustinut ca a fost informat de catre o persoana fizica ca aceasta a putut accesa in mod neautorizat platforma My Leasing, prin alterarea adresei de URL si crearea unui cont de administrator. Astfel, a avut acces la datele clientilor operatorului, persoane juridice. In cadrul investigatiei s-a constatat ca unii dintre clientii operatorului, persoane juridice, si-au inrolat in platforma, ca date de contact, adrese de e-mail care contineau nume, prenume, adresa de e-mail si numar de telefon ale reprezentantilor (persoane fizice) acestor persoane juridice, iar respectivele date au putut fi datele accesate in mod neautorizat pe platforma.
Operator - Medicover S.R.L. (noiembrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Incalcarea securitatii prelucrarii datelor s-a produs in urma transmiterii catre un client al operatorului a unui e-mail ce continea acte aditionale ale contractelor de prestari servicii medicale ce apartineau altor clienti ai operatorului. In consecinta, au fost divulgate neautorizat date cu caracter personal precum: nume/prenume, CNP, adresa, semnatura.
Operator - ING Bank NV Amsterdam Sucursala Bucuresti (octombrie 2022)
Valoare amenda - 20.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari privind incalcarea securitatii datelor cu caracter personal. La baza notificarii au stat informatii potrivit carora s-au accesat si divulgat neautorizat datele cu caracter personal ale unor persoane vizate: date de identificare asociate actului de identitate, date de contact, date de natura bancara (tranzactii si produse detinute, date asociate cardului), username si parola asociate contului din aplicatia de Internet Banking.
Operator - Asociatia de Proprietari Bld. Pipera 1-2E (octombrie 2022)​
Valoare amenda - 300 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri din partea unei persoane fizice care a semnalat faptul ca presedintele Asociatiei de Proprietari Bld. Pipera 1-2E a dezvaluit pe grupul de Whatsapp al blocului inregistrari din sistemul de supraveghere video administrat de Asociatie care cuprindeau imagini cu petitionarul.
Operator - Raiffeisen Bank SA (septembrie 2022)​
Valoare amenda - 28.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a 17 notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal. 1) In doua situatii, s-a procedat la efectuarea unor operatiuni de prescoring pentru clienti sau potentiali clienti, fara ca documentatia aferenta interogarii sa fie semnata de solicitantii respectivi; 2) Un alt incident a constat in transmiterea prin e-mail a unor date confidentiale catre o alta persoana decat persoana vizata; 3) Un incident similar s-a produs ca urmare a faptului ca doi clienti ai operatorului au depus sesizari asemanatoare, iar in momentul pregatirii e-mailului de raspuns la sesizarea primului client, operatorului a anexat in emailul transmis acestuia documente cu date personale apartinand celuilalt client; 4) Un alt incident a privit o situatie ce implica si suspiciuni de frauda interna in creditare si a constat in efectuarea de operatiuni specifice acordarii unui credit pentru un client persoana fizica, fara prezenta solicitantului la sediul agentiei, si solicitarea de facilitati de tip Card de Credit si actualizarea datelor persoanelor vizate prin modificarea numarului de telefon al acesteia cu numarul de telefon al angajatului bancii si introducerea unei adrese de e-mail fictive; 5) Alt incident similar a constat in prelucrarea de date in legatura cu acordarea a trei facilitati de credit, in numele unei persoane fizice, client al bancii, fara ca aceasta sa fi solicitat in realitate acele credite; 6) O alta incalcare a vizat divulgarea neautorizata a datelor cu caracter personal ale unor clienti catre alti clienti ai operatorului.
Operator - SC Das Sense Society SRL (octombrie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Conform plangerii formulate catre Autoritatea de Supraveghere, la punctul de lucru al operatorului erau instalate camere de supraveghere care surprindeau imagini atat de pe domeniul public (trotuar si strada), cat si de pe domeniul privat (rampa si scarile de acces ale unui complex de locuinte, accesul intr-un supermarket).
Operator - SC Prestige Media PHG SRL (octombrie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmarea unei sesizari, conform careia pe site-ul operatorului au fost publicate documente confidentiale, printre care si decizii de incetare a contractelor individuale de munca ale unor angajati ai unei alte societati. In cadrul investigatiei s-a constatat ca pe site-ul respectiv erau afisate 23 de astfel de decizii ce contineau date cu caracter personal (nume/prenume, functie, nr. contract de munca, abateri disciplinare) ale mai multor persoane fizice care nu aveau niciun fel de raportui juridice cu SC Prestige Media PHG SRL.
Operator - Compania Nationala Posta Romana SA (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul, in calitate de imputernicit, a pierdut anumite trimiteri postale care contineau decizii de stabilire a drepturilor de pensie, carnete de munca si certificate de deces, fiind afectate 35 de persoane fizice.
Operator - Persoana fizica (octombrie 2022)
Valoare amenda - 150 euro
Motiv amenda - In calitate de operator, o persoana fizica care a avut acces la anumite date divulgate accidental, a folosit neautorizat datele respective, fara consimtamantul persoanei careia ii apartineau datele.
Operator - SC Materiale Constructii Online SRL (octombrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca reprezentatii site-ului www.depozit-online.ro nu au dat curs solicitarii sale de stergere a contului.
Operator - Persoana fizica (septembrie 2022)
Valoare amenda - 150 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat o posibila incalcare a securitatii prelucrarii de catre site-ul https://centralpoint.ro. In urma investigatiei Autoritatea Nationala de Supraveghere a constatat ca persoana fizica respectiva, detinatorul site-ului, a publicat pe acest site o serie de date cu caracter personal, precum: CNP, numarul de telefon, seria si numarul actului de identitate, detalii bancare (achizitii de imobile), stare civila. In urma dezvaluirii neautorizate a acestor date au fost afectate 383 de persoane fizice.
Nume operator - Banca Comerciala Romana SA (septembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Potrivit formularului de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a unei erori tehnice a unei aplicatii IT a operatorului. In cadrul investigatiei s-a constatat ca au fost trimise e-mailuri continand datele cu caracter personal ale unor clienti catre alti clienti. Acest lucru a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, adresa de domiciliu, numar de telefon, adresa de e-mail, alaturi de informatii financiare generate eronat privind castigul cumulat, pierderea cumulata, castigul net, pierderea neta etc. In urma acestui incident au fost afectate 564 de persoane fizice vizate, clienti ai bancii.
Nume operator - Vodafone Romania SA (septembrie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata in urma transmiterii de catre operator a doua notificari de incalcarea a securitatii datelor. In cadrul investigatiei s-a constatat ca operatorul nu a verificat respectarea procedurii de identificare a persoanei apelante de catre imputernicitii sai, ceea ce a permis unor terte persoane sa achizitioneze in mod fraudulos telefoane noi in numele unor clienti ai operatorului. Totodata, aceste terte persoane au avut acces la datele din contractele incheiate de clienti cu operatorul si a datelor din conturile personale My Vodafone, precum: nume/prenume, adresa, CNP, numarul de telefon de contact, codul PUK, numarul de contact al titularului contului, seria SIM a cartelei initiale, valoarea ultimei facturi neplatite si traficul de date.
Nume operator - Bitfactor SRL (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Incalcarea securitatii datelor s-a produs ca urmare a functionarii defectuase a unei aplicatii a operatorului care trimitea comunicari de marketing utilizatorilor site-ului acestuia, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal a unui numar de 1.757 de persoane vizate, utilizatori ai site-ului operatorului.
Nume operator - Curtea Veche Publishing SRL (august 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demara in urma unei notificari de incalcare a securitatii datelor transmisa de catre operator. Una dintre incalcari s-a produs ca urmare a postarii pe un forum public a unui fisier care continea baza de date a clientilor operatorului din perioada 2019-2021. Ca urmare, datele personale (nume/prenume, numar de telefon, e-mail, adresa IP) a 10.739 de clienti ai operatorului au fost divulgate. Cea de-a doua incalcare a securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii anumitor date cu caracter personal a aproximativ 100 de persoane vizate (angajati si colaboratori ai operatorului).
Nume operator - SC Raiffeisen Bank SA (august 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de un petent care a reclamat faptul ca un operator ii transmite pe numarul sau de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani catre anumite persoane, transferuri pe care petentul nu le-a efectuat. In cadrul investigatiei efectuate s-a constatat ca la nivelul SC Raiffeisen Bank SA, in calitate de imputernicit, s-a introdus in mod eronat numarul de telefon al petentului in cadrul aplicatiei pusa la dispozitie de operator prin care se initiau tranzactii la solicitarea clientilor. De asemenea, s-a retinut faptul ca petentul nu a fost client al SC Raiffeisen Bank SA si nu a solicitat initierea unor tranzactii prin intermediul aplicatiei operatorului.
Nume operator - Realmedia Network SA (imobiliare.ro) (august 2022)
Valoare amenda - 8.000 euro
Motiv amenda - In urma unor informatii din mediul on-line, Autoritatea de Supraveghere s-a autosesizat cu privire la o posibila bresa de securitate a datelor cu caracter personal aparuta la Realmedia Network SA. In cadrul investigatiei efectuate s-a constatat faptul ca incalcarea securitatii prelucrarii datelor s-a produs la nivelul unui serviciu utilizat de operator pentru operarea platformei imobiliare.ro. Aceasta situatie a condus la divulgarea neautorizata sau accesul neautorizat la urmatoarele date cu caracter personal: nume, prenume, numar de telefon, adresa de e-mail, adresa postala, cod numeric personal, semnatura, copii ale cartilor de identitate, inclusiv coduri de identificare, functie/calitate, date bancare, informatii incluse in extrase de carte funciara/schite cadastrale, titluri de proprietate, imagini de profil ale utilizatorilor, ceea ce a condus la afectarea unui numar de 194.309 persoane fizice vizate.
Nume operator - Alpha Bank Romania SA (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor care a fost transmisa de Alpha Bank Romania SA, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor. Astfel, potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor s-a produs ca urmare a faptului ca s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicatiei de Whatsapp. In cadrul efectuarii investigatiei a rezultat ca aceasta incalcare a condus la divulgarea neautorizata sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele si prenumele, CNP, functia si semnatura, tipul de credit, numarul si data semnarii contractului, perioada de creditare si data ultimei scadente, fiind afectate de incident un numar de 4 persoane fizice vizate.
Nume operator - Enel Energie Muntenia S.A. (iulie 2022)
Valoare amenda - 10.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca, dupa o solicitare telefonica catre Enel Energie Muntenia S.A., a primit pe adresa sa de e-mail de la adresa contacteem.ro@enel.com un raspuns adresat altui client, persoana fizica, insotit de anumite documente ce se puteau vizualiza. In cadrul investigatiei efectuate, s-a retinut faptul ca operatorul Enel Energie Muntenia S.A. nu a prezentat informatii clare cu privire la motivele pentru care un angajat al sau a trimis raspunsul din greseala petentului Autoritatii nationale de supraveghere. De asemenea, operatorul nu a prezentat dovezi din care sa rezulte ca a luat masuri de remediere in scopul reducerii riscului la care i-au fost supuse datele personale si pentru a preveni pe viitor dezvaluirea sau accesarea ilegala a datelor personale. Operatorul nu a prezentat dovezi privind notificarea acestui incident la Autoritatea nationala de supraveghere. Or, avand in vedere circumstantele acestui caz, mai sus descrise, incidentul de securitate ar fi trebuit notificat in baza art. 33 din RGPD, in termen de cel mult 72 de ore de la data la care operatorul Enel Energie Muntenia S.A. a luat cunostinta de acesta.
Nume operator - CDI Transport Intern si International SRL (iulie 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care a fost semnalat faptul ca pe site-ul societatii nu se regasesc informatii privind modalitatea de colectare a datelor cu caracter personal, privind drepturile prevazute la art. 15-22 din Regulamentul General privind Protectia Datelor de care beneficiaza persoanele vizate, privind modul de exercitare a acestor drepturi si nici cu privire la faptul ca operatorul are obligatia de a informa persoanele vizate in situatia unei incalcari a securitatii datelor cu caracter personal. In cadrul investigatiei efectuate, ca urmare a faptului ca operatorul nu a furnizat informatiile solicitate de institutia noastra, in termenul legal, s-a constatat incalcarea prevederilor art. 58 alin. (1) lit. (a) si (e) din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca operatorul nu a asigurat o informare clara, completa si corecta a persoanelor vizate ale caror date cu caracter personal se prelucreaza de catre societate intrucat nu a oferit toate informatiile prevazute de dispozitiile art. 12-22 din Regulamentul General privind Protectia Datelor, cum ar fi cele referitoare la scopul prelucrarii si temeiul juridic, identitatea si datele de contact ale operatorului, perioada pentru care vor fi stocate datele sau criteriile utilizate pentru a stabili aceasta perioada, conditiile de exercitare a drepturilor. Ca atare, s-a constatat incalcarea prevederile art. 12 alin. (1) din Regulamentul General privind Protectia Datelor
Nume operator - SC Wabag Water Services SRL (iulie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unor plangeri din partea unei petente care reclama faptul ca datele sale cu caracter personal au fost utilizate de propriul angajator (SC Wabag Water Services SRL), fara consimtamantul sau, in vederea inscrierii si programarii sale pe platforma nationala de vaccinare pentru efectuarea vaccinului impotriva Covid-19. In cadrul investigatiei s-a retinut ca operatorul operatorul a utilizat datele cu caracter personal ale petentei (angajata a operatorului) in scopul inscrierii si programarii acesteia pe platforma nationala de programare pentru vaccinarea impotriva Covid-19, in anul 2021, fara a face dovada existentei consimtamantului petentei si fara existenta unei alte situatii in care consimtamantul nu este necesar, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a) si alin. (2) si ale art. 6 din Regulamentul (UE) 2016/679.
Nume operator - Denmar Nacrut SRL ( iulie 2022)
Valoare amenda - 2.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana fizica a semnalat faptul ca persoane vizate, clienti ai SC Denmar Nacrut SRL, erau supravegheate video in timpul prestarii unor servicii cosmetice. In cadrul investigatiei efectuate, s-a constatat ca operatorul detine un sistem de supraveghere video montat atat in interiorul, cat si in exteriorul spatiului unde isi desfasoara activitatea operatorul, care monitorizeaza atat angajatii cat si clientii. De asemenea, s-a retinut faptul ca operatorul nu a facut dovada realizarii unei informari clare, complete si corecte a angajatilor sai si a persoanelor vizate ale caror date cu caracter personal (respectiv imaginea) se prelucreaza prin intermediul camerelor video de supraveghere, prin comunicarea tuturor informatiilor prevazute de art. 13 din Regulamentul General privind Protectia Datelor si in conditiile de transparenta din art. 12 din acelasi regulament.
Totodata, a rezultat ca operatorul nu a facut dovada unor incidente existente anterior care sa justifice interesul sau legitim care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate. Astfel, s-a constatat ca operatorul a prelucrat in mod excesiv datele (imaginile) clientilor si angajatilor sai, prin intermediul camerei video instalate in incinta unde se efectuau tratamente cosmetice. Datele astfel prelucrate nu au fost adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care erau prelucrate (“reducerea la minimum a datelor”). Scopul declarat de operator putea fi realizat prin mijloace mai putin intruzive pentru viata privata a clientilor si angajatilor sai.
Nume operator - Sephora Cosmetics Romania S.A. ( iulie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri din partea unei petente care reclama faptul ca a primit pe numarul sau de telefon mesaje comerciale tip SMS, din partea Sephora Cosmetics Romania SA. Totodata aceasta sustinea ca in urma solicitarilor sale repetate, transmise la finalul anului 2020, de a nu-i mai fi utilizate datele in scop de marketing, Sephora a informat-o la inceputul anului 2021 ca datele sale nu vor mai fi prelucrate in scop de marketing. Cu toate acestea, ulterior, in cursul anului 2021, petenta a primit mesaje comerciale nesolicitate, de tip SMS, din partea Sephora Cosmetics Romania SA.
In cadrul investigatiei efectuate s-a constatat ca Sephora Cosmetics Romania SA a transmis petentei, pe numarul sau de telefon, in mai multe randuri, in cursul anului 2021, mesaje comerciale in scop de marketing, desi aceasta, prin cererile transmise operatorului in anul 2020, isi exercitase dreptul de opozitie cu privirea la utilizarea numarului propriu de telefon in scop de marketing.
Nume operator - S.C. Delivery Solutions S.A. (Sameday) ( iunie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor sesizari depuse de o persoana fizica ce a semnalat faptul ca baza de date a S.C. Delivery Solutions S.A. (Sameday) este la vanzare pe site-ul https://raidforums.com/Thread-SELLING-=ae-SAMEDAY-RO-Romanian-Postal-Service. In cadrul investigatiei efectuate, s-a retinut faptul ca S.C. Delivery Solutions S.A. (Sameday) este persoana imputernicita a doua societati pentru prelucrarea datelor cu caracter personal, fiind obligata sa ia toate masurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, asa cum prevede art. 28 alin. (3) lit. c) din RGPD, inclusiv impotriva divulgarii si/sau accesului neautorizat la date. De asemenea, s-a constatat ca date cu caracter personal apartinand unui numar de 26566 persoane fizice vizate (numar si data AWB – documentul de transport ce insoteste obligatoriu expedierea oricarui colet, indicative curieri, nume expeditor, nume si prenume destinatar, numar de telefon, adresa, status livrare, tipul serviciului, greutate colet, suma de incasat, intervalul de livrare) erau disponibile spre vanzare pe forumul RaidForums si puteau fi accesate utilizand link-ul https://raidforums.com/Thread-SELLING-=æ-SAMEDAY-RO-Romanian-Postal-Service.
Nume operator - E Software Concept SRL (iunie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - In cadrul investigatiei s-a constatat faptul ca, pe site-ul operatorului, la anumite link-uri, erau disponibile public anumite documente (cum ar fi facturile emise de E SOFTWARE CONCEPT SRL catre clientii sai, persoane fizice si juridice, si AWB-urile - documente de transport ce insotesc obligatoriu expedierea coletelor, emise de solicitantii serviciilor de curierat) prin care s-au dezvaluit urmatoarele date cu caracter personal: nume, prenume, adresa expeditor si destinatar, numar de telefon, username si parola, adrese de e-mail. Aceasta situatie a condus la pierderea confidentialitatii datelor cu caracter personal ale clientilor operatorului (persoane fizice si juridice). Astfel, societatea E SOFTWARE CONCEPT SRL a fost sanctionata cu amenda pentru incalcarea prevederilor art. 32 alin. (1) lit. b) si alin. (2) din Regulamentul General privind Protectia Datelor, intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul a fost sanctionat cu amenda intrucat nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale.
Nume operator - Continental Automotive Romania SRL (iunie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator in cursul anului 2022, in temeiul dispozitiilor Regulamentului General privind Protectia Datelor, a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a retinut ca operatorul a descoperit la sediul sau din Timisoara, in afara sistemului oficial de camere, un numar de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate in mijlocul zonei de productie.
Nume operator - SC Interactions Marketing SRL (mai 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unor plangeri formulate de o persoana vizata care a reclamat faptul ca un operator a transmis prin e-mail un mesaj comercial catre mai multe persoane dezvaluind astfel adresele de e-mail ale acestora. In cadrul investigatiei efectuate s-a constatat ca SC Interactions Marketing SRL, in calitate de imputernicit, a derulat o campanie pentru operatorul reclamat, in cadrul careia a transmis un mesaj comercial catre adresele de posta electronica apartinand unui numar de 27 de persoane, fara ascunderea acestora, permitand astfel divulgarea neautorizata a adreselor de e-mail catre ceilalti destinatari.
Nume operator - Asociatia de Proprietari Aviatiei Park (mai 2022)
Valoare amenda - 7.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari, prin care se semnala o posibila incalcare a dispozitiilor RGPD, intrucat reprezentantii societatii de paza colectau si prelucrau datele cu caracter personal in scopul accesului persoanelor la intrarea in complexul rezidential, sens in care solicitau o serie de date persoanelor care intrau in complex si le notau intr-un registru intern.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor. In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.
Nume operator - Kaufland Romania SCS (mai 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator, in cursul anului 2022, a doua notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentului General privind Protectia Datelor. Una dintre incalcarile securitatii datelor a constat in accesul neautorizat al unor angajati ai operatorului la datele cu caracter personal ale clientilor Kaufland. Astfel, angajatul operatorului care a preluat plangerea unei petente nu a respectat procedura interna de solutionare a unei reclamatii si a permis vizualizarea documentului de catre agentul de paza care ulterior a utilizat necorespunzator respectivele date, situatie ce a condus la incalcarea confidentialitatii datelor personale ale petentei. In cadrul investigatiei s-a constatat ca operatorul nu a asigurat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la datele cu caracter personal nu le prelucreaza decat la cererea operatorului, incalcandu-se prevederile art. 29 si art. 32 din Regulamentul General privind Protectia Datelor. Cea de-a doua incalcare a securitatii datelor a constat in transmiterea eronata catre un alt destinatar a unei foi de comanda a unui client prin intermediul unor platforme de livrare. Aceasta situatie a condus la divulgarea si accesul neautorizat la datele cu caracter personal (nume, prenume, adresa de e-mail, numar de telefon) ale clientului Kaufland ca urmare a nerespectarii la nivelul operatorului a procedurii de lucru in cazul livrarilor prin intermediul platformelor partenere.
Nume operator - Wens Experience SRL (mai 2022)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operatorul implicat a unei notificari de incalcare a securitatii datelor cu caracter personal de catre imputernicitul sau in temeiul Regulamentului General privind Protectia Datelor. In cadrul investigatiei s-a constatat ca imputernicitul Wens Experience SRL a recrutat o alta persoana imputernicita pentru prelucrarea datelor angajatilor operatorului fara a primi in prealabil o autorizatie scrisa, specifica sau generala din partea operatorului, incalcandu-se prevederile art. 28 alin. (2) din RGPD.
Nume operator - S.C. Wine Point S.R.L. (mai 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care o persoana vizata a semnalat faptul ca a primit din partea operatorului, prin e-mail, un mesaj comercial, care era adresat si altor persoane, adresele acestora de e-mail fiind vizibile tuturor celor 810 de destinatari. In cadrul investigatiei efectuate, s-a constatat ca operatorul nu a implementat suficiente masuri tehnice si organizatorice in vederea asigurarii confidentialitatii datelor personale prelucrate prin transmiterea de la adresa de posta electronica a operatorului a unui mesaj comercial promotional catre adresele de e-mail ale mai multor persoane vizate.
Nume operator - MEDLIFE S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata in urma unei sesizari cu privire la o posibila incalcare a dispozitiilor RGPD, ca urmare a identificarii de catre o persoana fizica, a unor documente care contineau date cu caracter personal, inclusiv date sensibile, aruncate la un cos de gunoi al unei unitati administrativ-teritoriale. Documentele atasate sesizarii contineau date cu caracter personal ale unor clienti/pacienti ai MEDLIFE S.A.
In cadrul investigatiei s-a constatat ca operatorul MEDLIFE S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de confidentialitate si securitate corespunzator riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicita a datelor cu caracter personal ale clientilor proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicala efectuata, suma achitata, cont bancar) si ale angajatilor sai (salariu avans), in perioada iulie 2020 – august 2020. Desi operatorul avea obligatia de a lua masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, s-a constatat ca nu a luat masurile necesare, incalcand astfel prevederile art. 32 alin. (1) lit. b), alin. (2) si alin. (4) din Regulamentul (UE) 2016/679.
Nume operator - Kredyt Inkaso Investments RO S.A. (aprilie 2022)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca operatorul a dezvaluit datele sale personale si ale copilului sau minor catre anumite unitati medicale.
In cadrul investigatiei efectuate, s-a constatat ca operatorul a dezvaluit datele petentei (adresa de domiciliu, cod numeric personal, functia detinuta, date privind contractul de munca, date din certificatele de concediu medical) catre anumiti medici si anumite unitati medicale cu care aceasta nu avea niciun fel de raporturi juridice. De asemenea, s-a constatat ca prelucrarea datelor privind starea de sanatate ale petentei nu putea fi efectuata in temeiul interesului legitim intrucat acesta nu se regaseste printre conditiile de prelucrare prevazute de art. 9 din RGPD.
Asadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvaluirea ilegala si excesiva a acestora, inclusiv a datelor privind starea de sanatate, cu incalcarea principiilor de prelucrare pevazute de art. 5 alin. (1) lit. a), c), alin. (2) si a conditiilor de legalitate prevazute de art. 6 si art. 9 din RGPD. Totodata, s-a constatat ca operatorul nu a respectat termenele pentru notificarea incidentului de securitate produs in momentul dezvaluirii datelor petentei catre un medic cu care petenta nu avea raporturi juridice, incalcandu-se astfel prevederile art. 33 din RGPD.
Nume operator - MAYR MELNHOF PACKAGING ROMANIA S.R.L. (aprilie 2022)
Valoare amenda - 1.500 euro
Motiv amenda - In cadrul investigatiei efectuate, s-a constatat ca operatorul MAYR MELNHOF PACKAGING ROMANIA S.R.L. avea montat un sistem de camere de supraveghere, iar unele dintre aceste camere supravegheau inclusiv sala de mese si locul de fumat. Astfel, a rezultat ca operatorul monitorizeaza excesiv salariatii in sala de mese si spatiile destinate fumatului, raportat la scopul invocat de a asigura sanatatea si securitatea salariatilor si al securitatii bunurilor. In acest context, s-a constatat ca imaginile nu au fost prelucrate intr-un mod adecvat, relevant si limitat la ceea ce este necesar in raport cu scopurile in care sunt prelucrate (principiul reducerii la minimum a datelor), ceea ce constituie o incalcarea a dispozitiilor art. 5 alin. (1) lit. b) si c), alin. (2) si art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - LORIS FUEL SHOP SRL (aprilie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama publicarea pe Facebook a unor imagini in care acesta era surprins si care proveneau de pe monitorul apartinand unui sistem de supraveghere video instalat intr-o statie de alimentare cu carburant din judetul Harghita.
In cadrul investigatiei s-a constatat ca operatorul LORIS FUEL SHOP SRL, in calitate de persoana imputernicita, nu a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate cu privire la imaginile inregistrate prin intermediul sistemului de televiziune instalat in statiile folosite, in special sub aspectul instruirii persoanelor care prelucreaza date sub autoritatea sa (angajati). Aceasta a condus la vizualizarea si filmarea de catre terte persoane neautorizate a imaginilor camerelor video din punctul de lucru din judetul Harghita, ulterior fiind dezvaluite pe o retea de socializare, incalcandu-se astfel prevederile art. 29 si 32 alin. (4) din Regulamentul (UE) 2016/679.
Nume operator - Concordia Capital IFN S.A. (aprilie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari prin care se reclama faptul ca operatorul a instalat camere audio-video in birourile angajatilor sai cu incalcarea prevederilor legale in materia protectiei datelor personale.In cadrul investigatiei demarate de Autoritatea de supraveghere, s-au constatat urmatoarele
- ca operatorul nu a facut dovada ca scopul invocat in regulamentul sau intern (asigurarea protectiei persoanelor, bunurilor si valorilor angajatorului si ale angajatilor) este unul justificat si ca au fost folosite alte mijloace mai putin intruzive pentru atingerea acestuia care nu si-au dovedit eficienta, anterior adoptarii deciziei luate in anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca;
- ca operatorul nu a prezentat dovezi cu privire la respectarea principiilor de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) si alin. (2) si a conditiilor de legalitate prevazute de art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - Megareduceri TV S.R.L. (martie 2022)
Valoare amenda - 4.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a plangerilor mai multor petenti care ne-au sesizat cu privire la faptul ca au primit prin sms mesaje comerciale care promoveaza serviciile de pe site-ul www.reducerazi.ro, fara sa isi fi exprimat consimtamantul pentru a primi astfel de mesaje, pe numerele personale de telefon.
Nume operator - Asociatia de Proprietari din Str. Soporului 17 (martie 2022)
Valoare amenda - 500 euro
Motiv amenda - Investigatia s-a desfasurat ca urmare a unei plangeri formulate de o persoana vizata prin care se reclama faptul ca operatorul a dezvaluit pe grupul de Facebook al blocului in care domiciliaza imagini cu persoana sa din sistemul de supraveghere video gestionat de asociatie. Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda. De asemenea, s-a dispus sa se transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Condor SA (martie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari prin care s-a reclamat faptul ca operatorul Condor SA a divulgat date personale de natura salariala ale angajatilor ori fostilor angajati ai acestui operator catre persoane neautorizate. In cadrul investigatiei efectuate, s-a constatat ca a avut loc un acces neautorizat la unele documente neparolate care contineau o serie de date personale ale angajatilor ori fostilor angajati, cum ar fi: locul de munca, numele, prenumele, functia, salariul de incadrare, suma pentru avans, contul bancar, codurile numerice personale. In consecinta, Autoritatea Nationala de Supraveghere a constatat ca operatorul Condor SA nu a prezentat dovezi din care sa rezulte ca a adoptat suficiente masuri tehnice si organizatorice adecvate in vederea asigurarii confidentialitatii datelor personale prelucrate ale angajatilor ori fostilor sai angajati.
Nume operator - Kaufland Romania SCS (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri, iar in cadrul investigatiei efectuate, s-a constatat ca operatorul Kaufland nu i-a furnizat petentului o copie a tuturor inregistrarilor din sistemul de supraveghere video, ceea ce constituie o incalcare a art. 15 alin. (3) din Regulamentul General privind Protectia Datelor. Astfel, s-a constatat ca operatorul nu a transmis, la cererea persoanei vizate, o copie integrala a inregistrarilor ce o privesc, din incinta magazinului, desi acestea erau disponibile la momentul solicitat de aceasta.
Nume operator - Briza Land S.R.L. (februarie 2022)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care petentul reclama faptul ca nu este multumit de raspunsul primit din partea operatorului la cererea sa de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor. In cadrul investigatiei, s-a constatat ca operatorul nu a comunicat petentului toate informatiile cu privire la prelucrarea datelor sale personale (cum ar fi datele cu caracter personal prelucrate, sursa datelor, destinatarii datelor), incalcandu-se astfel prevederile art. 15 din RGPD.
Nume operator - Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” (februarie 2022)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat divulgarea de catre operator a datelor personale ale unui petent (client al operatorului) fara acordul si informarea sa prealabila, prin postarea unei adrese primite de acesta de la o institutie publica pe un grup de WhatsApp folosit de avocatii unui barou. In cadrul investigatiei s-a constatat ca Societatea Civila Profesionala de Avocati „Sabou, Burz & Cuc” a dezvaluit datele personale ale persoanei vizate (nume, prenume, adresa de domiciliu, informatii referitoare la un dosar aflat pe rolul unei instante) pe un grup de WhatsApp format din 247 de membri, fara temei legal, in mod excesiv si incompatibil cu scopul initial al colectarii lor, precum si fara adoptarea unor masuri tehnice si organizatorice pentru pastrarea confidentialitii acestor date, incalcandu-se astfel prevederile art. 5 alin. (1) lit. a), b), c), f) si alin. (2), precum si ale art. 6 din Regulamentul General privind Protectia Datelor.
Nume operator - IAMSAT Muntenia SA (februarie 2022)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata care a reclamat faptul ca IAMSAT Muntenia SA a continuat sa prelucreze datele sale personale dupa desfacerea contractului de munca, in anul 2020. Printr-o cerere, aceasta persoana a adus la cunostinta operatorului ca nu isi da consimtamantul pentru utilizarea adresei sale de e-mail si ca se opune prelucrarii datelor sale personale de catre IAMSAT Muntenia SA sau/si de terti persoane fizice sau juridice, dupa incetarea contractului de munca. In cadrul investigatiei efectuate, s-a retinut ca IAMSAT Muntenia SA nu a prezentat dovezi cu privire la informarea prealabila si completa a angajatilor sai, inclusiv a persoanei vizate, inainte de a incepe prelucrarea datelor personale ale acestor persoane prin mijloacele de supraveghere video instalate la locul lor de munca, puse in functiune de la jumatatea anului 2020, desi operatorul avea obligatia informarii salariatilor potrivit art. 12-13 din Regulamentul General privind Protectia Datelor. Totodata, s-a retinut ca IAMSAT Muntenia SA nu a solutionat cererea persoanei vizate si nu i-a comunicat un raspuns privind masurile adoptate in urma exercitarii dreptului de opozitie in cadrul termenelor legale, in conformitate cu dispozitiile art. 12 alin. (3), raportate la art. 21 din Regulamentul General privind Protectia Datelor.
Nume operator - S.C. Nobiotic Pharma SRL (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Operatorul a fost sanctionat contraventional pentru incalcarea art. 58 alin. (1) din Regulamentul General privind Protectia Datelor, referitoare la obligatia operatorului de a furniza informatiile necesare Autoritatii Nationale de Supraveghere. Investigatia s-a desfasurat ca urmare a unor plangeri prin care petentul reclama faptul ca operatorul i-a transmis mesaje comerciale nesolicitate de tip SMS fara a avea consimtamantul sau. Intrucat operatorul nu a dat curs solicitarii de informatii adresate de Autoritatea Nationala de Supraveghere in exercitarea competentelor sale, acesta a fost sanctionat cu amenda.
Nume operator - Societatea Civila Medicala Policlinica Tommed (noiembrie 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri prin care se reclama faptul ca operatorul a dezvaluit anumite date personale, inclusiv de sanatate, ale unei persoane fizice catre un alt operator. In cadrul efectuarii investigatiei s-a constatat ca operatorul a dezvaluit respectivele date cu caracter personal fara respectarea principiilor de prelucrare si fara respectarea conditiilor legale de prelucrare ale datelor personale, inclusiv a celor de sanatate, si fara informarea prealabila a persoanei implicate (pacient al operatorului).
Nume operator - Telekom Romania Communications SA (noiembrie 2021)
Valoare amenda - 6.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei plangeri formulate de o persoana vizata prin care a reclamat primirea, din partea operatorului, pe adresa sa de e-mail, a unor facturi si mesaje de notificare cu privire la restantele acumulate de o alta persoana, abonat al aceleiasi societati. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat ca operatorul a colectat si prelucrat in mod eronat anumite date cu caracter personal inexacte, ceea ce a condus si la dezvaluirea ilegala a unor date personale catre o alta persoana fizica.
Nume operator - Valoris Center S.R.L. (octombire 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei notificari de incalcare a securitatii datelor cu caracter personal care a fost transmisa de un operator, in baza dispozitiilor art. 33 din Regulamentul General privind Protectia Datelor.
Potrivit celor mentionate in formularul de notificare, incalcarea securitatii prelucrarii datelor cu caracter personal s-a produs ca urmare a faptului ca un angajat call center al Valoris Center S.R.L. (persoana imputernicita de operator) a atasat, dintr-o eroare, catre un client al operatorului, un fisier excel continand datele clientilor respectivului operator care au serviciul de Internet Banking. In incident au fost afectate datele a 11/160 persoane.
Nume operator - Vodafone Romania​ (octombire 2021)
Valoare amenda - 1.500 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal in temeiul Regulamentul General privind Protectia Datelor sau al Regulamentului (UE) nr. 611/2013. Aceasta situatie a condus la divulgarea neautorizata si/sau accesul neautorizat la datele cu caracter personal ale unui numar de 6 persoane fizice, in perioada 16 noiembrie 2020 – 18 mai 2021 (transmiterea unor contracte de servicii la adrese eronate de e-mail, accesul neautorizat al angajatilor operatorului la datele cu caracter personal ale clientilor Vodafone fara a exista solicitari din partea acestora). Astfel, operatorul a prelucrat datele cu caracter personal a 64 persoane fizice prin accesarea neautorizata a datelor acestora de catre angajatii operatorului in perioada 04 noiembrie 2020 – 22 iunie 2021.
Nume operator - S.P.E.E.H. Hidroelectrica S.A.​ (octombire 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de catre operator a mai multor notificari de incalcare a securitatii datelor cu caracter personal. Autoritatea nationala de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare. Aceasta situatie a condus la accesarea ori divulgarea ilicita catre destinatari eronati, a datelor cu caracter personal ale unui numar de 325 persoane fizice.
Nume operator - IKEA Romania SA (septembrie 2021)
Valoare amenda - 1.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a transmiterii de IKEA ROMANIA SA catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a unei notificari de incalcare a securitatii datelor cu caracter personal. Astfel, conform mentiunilor din formularul de notificare, IKEA ROMANIA SA a organizat un concurs de desene la care au participat copiii membrilor IKEA Family. Participantii au incarcat in platforma on-line dedicata membrilor desenele proprii, impreuna cu formularele de participare, care contineau date lor cu caracter personal dar si ale parintilor/tutorilor legali, inclusiv consimtamantul acestora. In vederea votarii celui mai bun desen, pe platforma on-line au fost publicate, din eroare, desenele copiilor, impreuna cu datele cu caracter personal cuprinse in formularele de participare.
Nume operator - Glove Technology SRL (septembrie 2021)
Valoare amenda - 5.000 euro
Motiv amenda - Sanctiunea a fost acordata intrucat s-a constatat faptul ca operatorul a prelucrat date cu caracter personal ale angajatilor sai prin utilizarea unui sistem audio-video (imagine si voce), fara a face dovada respectarii temeiurilor legale prevazute de art. 6 alin. (1) din RGPD, respectiv obtinerea consimtamantului persoanelor vizate, indeplinirea unei obligatii legale sau prevalenta interesului sau legitim asupra intereselor, drepturilor si libertatilor persoanelor vizate. De asemenea, s-a constatat faptul ca operatorul a luat masura monitorizarii angajatilor la locul de munca prin sisteme de supraveghere audio-video fara a respecta primul principiu statuat de art. 5 alin. (1) lit. a) din RGPD, potrivit caruia operatorul are obligatia de a prelucra datele in mod legal, echitabil si transparent fata de persoana vizata.
Nume operator - Asociatia Asistentei Rutiere A-Car (august 2021)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a unei sesizari cu privire la faptul ca Asociatia Asistentei Rutiere A-Car prelucreaza date cu caracter personal ale minorilor (imagine), prin intermediul site-ului. Intrucat in cadrul investigatiei declansate operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost mai intai sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679, in temeiul art. 13 din Legea nr. 190/2018. De asemenea, Autoritatea nationala de supraveghere a emis Planul de remediere prevazut de art. 13 alin. (1) din Legea 190/2018, cu masura de a furniza toate informatiile solicitate de institutia noastra in termen de 5 zile lucratoare de la data comunicarii procesului-verbal. Asociatia Asistentei Rutiere A-Car nu a adus la indeplinire masurile prevazute in planul de remediere comunicat de Autoritatea nationala de supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
Nume operator - Actamedica SRL (august 2021)
Valoare amenda - 3.000 euro
Motiv amenda - Investigatia a fost demarata ca urmare a primirii unei plangeri prin care s-a reclamat faptul ca Actamedica SRL a transmis o informare unei persoane fizice in legatura cu pierderea probelor sale biologice si a unei sume de bani trimise prin intermediul unei firme de curierat, coletul ajungand deteriorat la destinatar. La solicitarea de a i se comunica ce date personale i-au fost expuse cu aceasta ocazie si daca ANSPDCP a fost notificata in legatura cu acest incident, in raspunsul trimis operatorul a indicat persoanei fizice datele de contact ale avocatului societatii si o adresa de e-mail de la firma de curierat catre care sa isi exprime ”doleantele”. In cursul investigatiei demarate Autoritatea de Nationala de Supraveghere a constatat ca Actamedica SRL nu a adoptat suficiente masuri de securitate, conform art. 28 alin. (1) si 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrarii, fapt care a condus la producerea unui incident de securitate. In acest context, s-a constatat ca nu au fost respectate prevederile art. 28 alin. (1) si art. 32 din Regulamentul General privind Protectia Datelor. De asemenea, Autoritatea de Nationala de Supraveghere a constatat ca operatorul nu a notificat la Autoritatea Nationala de Supraveghere incidentul de securitate sus mentionat, incalcand astfel prevederile art. 33 din Regulamentul General privind Protectia Datelor. Cu aceeasi ocazie, Autoritatea de Nationala de Supraveghere a retinut ca Actamedica SRL nu a prezentat dovezi din care sa rezulte ca a comunicat un raspuns pe adresa postala a persoanei fizice vizate cu privire la categoriile de date personale ce i-au fost expuse cu ocazia incidentului respectiv, raportat la cererea expresa transmisa. Prin urmare, s-a constatat ca nu au fost respectate prevederile art. 12 alin. (3) si 15 alin. (1) din Regulamentul General privind Protectia Datelor.
Nume operator - Amenda data unei persoane fizice (iulie 2021)
Valoare amenda - 200 euro
Motiv amenda - Operatorul a fost reclamat cu privire la faptul ca, prin distribuirea unor materiale in cadrul gospodariilor din comuna si prin postarea pe contul personal de Facebook a dezvaluit date cu caracter personal, pe de o parte, ale unei persoane fizice prin difuzarea unei fotografii a fluturasului de salariu ce apartinea acesteia si, pe de alta parte, a dezvaluit date cu caracter personal ale fiului minor al unei alte persoane vizate, continute de o fotografie a unei file din Registrul de evidenta a copiilor inscrisi la Gradinita cu Program Normal din comuna respectiva.
Nume operator - La Santrade S.R.L. (iunie 2021)
Valoare amenda - 2.000 euro
Nume operator - S.C. Dreamtime Call S.R.L (mai 2021)
Valoare amenda - 2.000 euro
Nume operator - Vodafone Romania S.A. (mai 2021)
Valoare amenda - 1.000 euro
Nume operator - Asociatie de Proprietari din municipiul Iasi (mai 2021)
Valoare amenda - 500 euro
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, desi a confirmat primirea lor, acesta a fost sanctionat cu amenda.
De asemenea, Asociatiei de proprietari i s-a dispus sa transmita autoritatii de supraveghere toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Banca Comerciala Romana S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Petentul a reclamat, asadar, folosirea fara consimtamant a datelor sale personale, in alte scopuri decat cele autorizate de dumnealui, precum si utilizarea unei adrese care nu mai era de actualitate si pentru care petentul a considerat ca banca a accesat ilegal o baza de date. De asemenea, a reclamat lipsa informarii cu privire la sursa de colectare a acestor informatii conform art. 14 din RGPD, precum si lipsa primirii unui raspuns cu privire la mai multe cereri adresate de acesta BCR S.A. In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. a prelucrat datele personale ale petentului fara temei legal, prin atribuirea eronata a calitatii de garant in 2019, extragerea unor date neactualizate, utilizarea si dezvaluirea datelor sale personale, in cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecatoresc, care priveau restantele la un contract de credit acumulate de o societate comerciala, clienta a bancii, cu care petentul nu avea niciun fel de relatie, cu incalcarea art. 5 alin. (1) lit. a) si d) si art. 5 alin. (2), precum si a art. 6 din RGPD.
Nume operator - Persoana fizica (aprilie 2021)
Valoare amenda - 200 euro
Nume operator - Telekom Romania Communications SA (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - World Class Romania S.A. (aprilie 2021)
Valoare amenda - 2.000 euro
Nume operator - Lugera & Makler Broker S.R.L (martie 2021)
Valoare amenda - 1.500 euro
Nume operator - S.C. TIP TOP FOOD INDUSTRY S.R.L. (martie 2021)
Valoare amenda - 5.000 euro
s-a retinut faptul ca nu a putut fi considerat liber exprimat consimtamantul persoanei vizate si nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputand face dovada respectarii principiilor de prelucrare, prin raportare si la art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.
Nume operator - TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. (februarie 2021)
Valoare amenda - 13.000 euro
De asemenea, s-a constatat ca operatorul nu a luat masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, de natura sa protejeze datele cu caracter personal stocate sau transmise impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nasterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraoptiuni active pe cont; istoricul facturilor simple) ale unui numar de 413 persoane vizate/clienti Telekom Romania. Subliniem ca, operatorul avea obligatia de a garanta ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile mentionate de lege, incalcandu-se astfel prevederile art. 3 alin. (1) si alin. (3) lit. a) si b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, modificata si completata.
Nume operator - S.C. Medicover S.R.L. (februarie 2021)
Valoare amenda - 2.000 euro
În urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.
Nume operator - ING Bank N.V. Amsterdam, Sucursala Bucuresti (februarie 2021)
Valoare amenda - 1.000 euro
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (februarie 2021)
Valoare amenda - 2.000 euro
In urma investigatiei s-a constatat ca operatorul nu a facut dovada existentei consimtamantului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificata si completata, desi petenta isi exercitase anterior, in repetate randuri, dreptul de opozitie fata de prelucrarea datelor sale in scop de marketing.
Nume operator - Amenda data unei persoane fizice (februarie 2021)
Valoare amenda - 500 euro
Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.
Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (ianuarie 2021)
Valoare amenda - 1.000 euro
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (decembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Qualitance QBS SA (decembrie 2020)
Valoare amenda - 1.000 euro
Nume operator - S.C. C&V Water Control S.A. (noiembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Banca Transilvania SA (noiembrie 2020)
Valoare amenda - 100.000 euro
Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
Nume operator - DADA CREATION S.R.L. (noiembrie 2020)
Valoare amenda - 5.000 euro
Nume operator - Vodafone Romania S.A. (noiembrie 2020)
Valoare amenda - 4.000 euro
Nume operator - S.C. Marsorom S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Asociația de proprietari Militari R (septembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Megareduceri TV S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Sanatatea Press Group S.R.L. (august 2020)
Valoare amenda - 2.000 euro
Nume operator - Asociatie de proprietari (august 2020)
Valoare amenda - 500 euro
Nume operator - Compania Nationala Posta Romana (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - S.C. Viva Credit IFN S.A (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - SC CNTAR TAROM SA (iulie 2020)
Valoare amenda - 5.000 euro
Nume operator - Proleasing Motors SRL (iunie 2020)
Valoare amenda - 15.000 euro
Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
Nume operator - Enel Energie Muntenia SA (mai 2020)
Valoare amenda - 4.000 euro
Nume operator - Telekom Romania Communications SA (aprilie 2020)
Valoare amenda - 3.000 euro
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.
Nume operator - Estee Lauder Romania SRL (aprilie 2020)
Valoare amenda - 3.000 euro
Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
Valoare amenda - 5.000 euro
Nume operator - Enel Energie Muntenia S.A (februarie 2020)
Valoare amenda - 3.000 euro
Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
Valoare amenda - 20.000 euro
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
Nume operator - Asociatia "SOS Infertilitatea"
Valoare amenda - 2.000 euro
Nume operator - Dante International S.A (februarie 2020)
Valoare amenda - 3.000 euro
De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.
Nume operator - Vodafone Romania S.A. (februarie 2020)
Valoare amenda - 3.000 euro
Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.
Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
Valoare amenda - 10.000 euro
De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
- masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
Nume operator - Hora Credit IFN S.A. (decembrie 2019)
Valoare amenda - 14.000 euro
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Nume operator - Asociatie de proprietari (noiembrie 2019)
Valoare amenda - 500 euro
Valoare amenda - 2.000 euro
In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.
Nume operator - Globus Score SRL (noiembrie 2019)
Valoare amenda - 2.000 euro
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Modern Barber SRL (noiembrie 2019)
Valoare amenda - 3.000 euro
Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Valoare amenda - 2.000 euro
Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Nume operator - Royal President S.R.L. (noiembrie 2019)
Valoare amenda - 2.500 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Royal President S.R.L. a refuzat solutionarea unei cereri de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor, precum si faptul ca acesta a dezvaluit date cu caracter personal fara acordul persoanei vizate.
In cadrul investigatiei, operatorul Royal President S.R.L. nu a putut face dovada solutionarii cererii de exercitare a dreptului de acces in termenul prevazut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat ca datele cu caracter personal colectate prin intermediul fisei de cazare nu au fost prelucrate intr-un mod care sa asigure securitatea lor, prin luarea de masuri tehnice sau organizatorice corepunzatoare, pentru a se putea evita orice dezvaluire neautorizata incalcandu-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) si ale art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Nume operator - SC CNTAR TAROM SA (noiembrie 2019)
Valoare amenda - 20.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
Aceasta situatie a condus la accesarea neautorizata, de catre un angajat propriu, a aplicatiei de rezervari si fotografierea unei liste continand datele cu caracter personal a 22 pasageri/clienti TAROM si la divulgarea neautorizata in mediul on-line a acestei liste.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (noiembrie 2019)
Valoare amenda - 80.000 euro
Motiv amenda - In acest sens, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.
Nume operator - Fan Courier Express SRL (octombrie 2019)
Valoare amenda - 11.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.) (noiembrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit.
In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.
Nume operator - Vodafone Romania S.A. (octombrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.
In acest context, s-a recomandat societatii sa respecte solicitarea petentului de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor.
Nume operator - Integlio Media S.A.
Valoare amenda - 9.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul conÈ›inut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro».
Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.
Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.
In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.
Nume operator - Elefant Online S.A.
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Vreau Credit S.R.L.
Valoare amenda - 20.000 euro
Motiv amenda - In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.
Nume operator - Raiffeisen Bank S.A.
Valoare amenda - 150.000 euro
Motiv amenda - In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.
Nume operator - Artmark Holding
Valoare amenda - 2.100 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat acesta nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Uttis Industries SRL
Valoare amenda - 2.500 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.
Nume operator - Legal Company&Tax Hub SRL
Valoare amenda - 3.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
Nume operator - World Trade Center Bucharest S.A.
Valoare amenda - 15.000 euro
Motiv amenda - Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
Nume operator - Unicredit BANK S.A
Valoare amenda - 130.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
Sursa: dataprotection.ro
Un produs marca 