Amenzi GDPR
Valoare amenda - 1.000 euro
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (decembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Qualitance QBS SA (decembrie 2020)
Valoare amenda - 1.000 euro
Nume operator - S.C. C&V Water Control S.A. (noiembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Banca Transilvania SA (noiembrie 2020)
Valoare amenda - 100.000 euro
Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
Valoare amenda - 5.000 euro
Nume operator - Vodafone Romania S.A. (noiembrie 2020)
Valoare amenda - 4.000 euro
Nume operator - S.C. Marsorom S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Asociația de proprietari Militari R (septembrie 2020)
Valoare amenda - 2.000 euro
Nume operator - Megareduceri TV S.R.L. (septembrie 2020)
Valoare amenda - 3.000 euro
Nume operator - Sanatatea Press Group S.R.L. (august 2020)
Valoare amenda - 2.000 euro
Nume operator - Asociatie de proprietari (august 2020)
Valoare amenda - 500 euro
Nume operator - Compania Nationala Posta Romana (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - S.C. Viva Credit IFN S.A (iulie 2020)
Valoare amenda - 2.000 euro
Nume operator - SC CNTAR TAROM SA (iulie 2020)
Valoare amenda - 5.000 euro
Nume operator - Proleasing Motors SRL (iunie 2020)
Valoare amenda - 15.000 euro
Incalcarea securitatii a constat in faptul ca, pe pagina de Facebook pe care operatorul a desfasurat un concurs online de atragere a clientilor participanti in service-ul auto, a fost postat un document cu o captura din codul sursa al website-ului in care era inclusa si parola de acces la formularele completate de participantii la concurs.
Nume operator - Enel Energie Muntenia SA (mai 2020)
Valoare amenda - 4.000 euro
Nume operator - Telekom Romania Communications SA (aprilie 2020)
Valoare amenda - 3.000 euro
In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul nu a implementat suficiente masuri de securitate care sa includa verificarea exactitatii datelor personale colectate telefonic (la distanta) in scopul incheierii contractelor.
Nume operator - Estee Lauder Romania SRL (aprilie 2020)
Valoare amenda - 3.000 euro
Nume operator - Banca Comerciala Romana S.A. (aprilie 2020)
Valoare amenda - 5.000 euro
Nume operator - Enel Energie Muntenia S.A (februarie 2020)
Valoare amenda - 3.000 euro
Operatorul Enel Energie Muntenia SA a fost sanctionat deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal.
Autoritatea Nationala de Supraveghere a efectuat investigatia ca urmare a unei sesizari transmise de un client al operatorului, aceasta fiind insotita de dovezi concludente cu privire la cele sesizate.
Valoare amenda - 20.000 euro
Astfel, o petenta a Autoritatii a sustinut ca a solicitat o oferta pe telefon, prin intermediul site-ului operatorului Vodafone Romania SA si ca, ulterior, a primit pe adresa sa de e-mail, un contract incheiat de operator cu o alta persoana fizica, petenta avand suspiciuni ca datele sale cu caracter personal ar fi putut fi dezvaluite acestei persoane.
Ca urmare a investigatiei efectuate la operator, Autoritatea a constatat ca Vodafone Romania SA nu a respectat dispozitiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, potrivit carora furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal, ca acestea trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri si sa respecte cel putin urmatoarele conditii:
a) sa garanteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
De asemenea, s-a constatat faptul ca nu au fost respectate dispozitiile art. 3 alin. (6) din Legea nr. 506/2004, cu modificarile si completarile ulterioare, conform carora ”In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare.”
Nume operator - Asociatia "SOS Infertilitatea"
Valoare amenda - 2.000 euro
Nume operator - Dante International S.A (februarie 2020)
Valoare amenda - 3.000 euro
De asemenea, operatorul a primit si doua masuri corective in temeiul prevederilor art. 58 alin. (2) lit. c) si lit. d) din Regulament.
Nume operator - Vodafone Romania S.A. (februarie 2020)
Valoare amenda - 3.000 euro
Totodata, operatorului Vodafone Romania SA i s-a aplicat si o masura corectiva, in temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protectia Datelor.
Nume operator - Entirely Shipping & Trading S.R.L. (decembrie 2019)
Valoare amenda - 10.000 euro
De asemenea, s-a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Totodata, operatorului i s-au aplicat si urmatoarele masuri corective:
- masura corectiva de a asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
- masura corectiva de a asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
Nume operator - Hora Credit IFN S.A. (decembrie 2019)
Valoare amenda - 14.000 euro
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (5) lit. a) din RGPD - amenda in cuantum de 14.336,1 lei, echivalentul a 3000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amenda in cuantum de 47.787 lei, echivalentul a 10.000 euro;
- pentru contraventia constatata potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozitiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amenda in cuantum de 4.778,7 lei, echivalentul a 1000 euro.
Desi respectiva eroare a fost sesizata atat operatorului, cat si call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmitand in continuare mesaje pe adresa de e-mail.
In urma investigatiei s-a constatat ca Hora Credit IFN SA a prelucrat datele fara sa dovedeasca aplicarea unor mecanisme eficiente de verificare si validare a exactitatii datelor colectate si ulterior prelucrate, respectiv, de pastrare a confidentialitatii acestora, conform principiilor prevazute la art. 5 din RGPD.
De asemenea, s-a constatat ca operatorul nu a luat suficiente masuri de securitate a datelor personale, potrivit art. 25 si 32 din RGPD, astfel incat sa evite dezvaluirea neautorizata si accesibila a datelor persoale catre terti.
Totodata, Hora Credit IFN SA nu a notificat Autoritatii de supraveghere incidentul de securitate ce i-a fost adus la cunostinta, potrivit art. 33 din RGPD, in termen de 72 de ore de la data la care a luat cunostinta de acesta.
Nume operator - Asociatie de proprietari (noiembrie 2019)
Valoare amenda - 500 euro
Valoare amenda - 2.000 euro
In cadrul investigatiei, Telekom Romania Mobile Communications SA nu a putut face dovada exactitatii datelor prelucrate, fapt ce a condus la incalcarea principiului de baza pentru prelucrarea datelor prevazut de art. 5 alin. (1) lit. d) din RGPD.
Nume operator - Globus Score SRL (noiembrie 2019)
Valoare amenda - 2.000 euro
Intrucat operatorul nu a raspuns solicitarilor institutiei noastre, acesta a fost initial sanctionat cu avertisment pentru incalcarea art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) 2016/679.
De asemenea, operatorului i-a fost aplicata masura corectiva de a transmite autoritatii de supraveghere, in scris, toate informatiile solicitate, in termen de 5 zile lucratoare de la comunicarea procesului-verbal.
Nume operator - Modern Barber SRL (noiembrie 2019)
Valoare amenda - 3.000 euro
Astfel, Modern Barber S.R.L nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcandu-se astfel prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
Prin urmare, s-a aplicat operatorului sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate, in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Valoare amenda - 2.000 euro
Astfel, Nicola Medical Team 17 SRL nu a furnizat informatiile solicitate de Autoritatea Nationala de Supraveghere, incalcand prevederile art. 58 alin. (1) lit. a) si lit. e) din Regulamentul (UE) nr. 679/2016.
A fost aplicata sanctiunea avertismentului si a fost dispusa masura corectiva constand in obligarea operatorului de a transmite catre Autoritate, in scris, toate informatiile solicitate in termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Nume operator - Royal President S.R.L. (noiembrie 2019)
Valoare amenda - 2.500 euro
Motiv amenda - Sanctiunile au fost aplicate ca urmare a unei plangeri prin care se reclama faptul ca Royal President S.R.L. a refuzat solutionarea unei cereri de exercitare a dreptului de acces prevazut de art. 15 din Regulamentul General privind Protectia Datelor, precum si faptul ca acesta a dezvaluit date cu caracter personal fara acordul persoanei vizate.
In cadrul investigatiei, operatorul Royal President S.R.L. nu a putut face dovada solutionarii cererii de exercitare a dreptului de acces in termenul prevazut de art. 12 alin. (3) din Regulamentul (UE) 2016/679.
De asemenea, s-a constatat ca datele cu caracter personal colectate prin intermediul fisei de cazare nu au fost prelucrate intr-un mod care sa asigure securitatea lor, prin luarea de masuri tehnice sau organizatorice corepunzatoare, pentru a se putea evita orice dezvaluire neautorizata incalcandu-se prevederile art. 5 alin. (1) lit. f), ale art. 32 alin. (1) lit. b) si ale art. 32 alin. (2) din Regulamentul (UE) 2016/679.
Nume operator - SC CNTAR TAROM SA (noiembrie 2019)
Valoare amenda - 20.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
Aceasta situatie a condus la accesarea neautorizata, de catre un angajat propriu, a aplicatiei de rezervari si fotografierea unei liste continand datele cu caracter personal a 22 pasageri/clienti TAROM si la divulgarea neautorizata in mediul on-line a acestei liste.
Nume operator - ING Bank N.V. Amsterdam – Sucursala Bucuresti (noiembrie 2019)
Valoare amenda - 80.000 euro
Motiv amenda - In acest sens, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD.
Nume operator - Fan Courier Express SRL (octombrie 2019)
Valoare amenda - 11.000 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1.100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal potrivit dispozitiilor art. 5 alin. (1) lit. f din RGPD.
Nume operator - BNP Paribas Personal Finance SA Paris Sucursala Bucuresti (CETELEM IFN S.A.) (noiembrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Investigatia s-a demarat ca urmare a unor plangeri prin care se reclama faptul ca operatorul nu a raspuns petentului in termenul prevazut de art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, desi acesta solicitase stergerea anumitor date personale raportate in sistemul de evidenta al Biroului de Credit.
In conformitate cu art. 12 alin. (3) din Regulamentul General privind Protectia Datelor, operatorul are obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.
Nume operator - Vodafone Romania S.A. (octombrie 2019)
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a luat in considerare optiunea unui petent de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor, optiune adusa la cunostinta operatorului. Desi ulterior solicitarii sale i s-a confirmat dezabonarea de la comunicarile comerciale trimise de operator, acesta a primit pe adresa sa de posta electronica un alt mesaj nesolicitat din partea Vodafone Romania S.A., incalcandu-se astfel dispozitiile art. 12 alin. (1) din Legea nr. 506/2004 referitoare la comunicarile nesolicitate.
In acest context, s-a recomandat societatii sa respecte solicitarea petentului de a nu mai primi mesaje cu promotii, concursuri si orice alte mesaje in afara celor ce privesc costurile si securitatea convorbirilor.
Nume operator - Integlio Media S.A.
Valoare amenda - 9.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul conținut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro».
Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare.
Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator.
In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal.
Nume operator - Elefant Online S.A.
Valoare amenda - 2.000 euro
Motiv amenda - Sanctiunea a fost aplicata intrucat operatorul nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Vreau Credit S.R.L.
Valoare amenda - 20.000 euro
Motiv amenda - In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.
Nume operator - Raiffeisen Bank S.A.
Valoare amenda - 150.000 euro
Motiv amenda - In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.
Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.
De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.
Nume operator - Artmark Holding
Valoare amenda - 2.100 euro
Motiv amenda - Sanctiunea a fost aplicata operatorului intrucat acesta nu a facut dovada obtinerii consimtamantului prealabil expres si neechivoc pentru transmiterea de mesaje comerciale prin e-mail incalcandu-se dispozitiile referitoare la comunicarile nesolicitate prevazute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
In acest context, s-a recomandat societatii luarea masurilor necesare respectarii prevederilor art. 12 din Legea nr. 506/2004, in vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronica numai cu consimtamantul expres prealabil al destinatarilor.
Nume operator - Uttis Industries SRL
Valoare amenda - 2.500 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unor sesizari din data de 21.03.2019 prin care se semnala faptul ca UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fara a efectua informarea legala privind supravegherea video, precum si faptul ca acesta a dezvaluit in mod ilegal numele si CNP-ul salariatilor, prin afisarea acestor date personale la avizierul societatii.
Potrivit art. 12 din GDPR, operatorul avea obligatia de a lua masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la art. 13 si 14.
Nume operator - Legal Company&Tax Hub SRL
Valoare amenda - 3.000 euro
Motiv amenda - Autoritatea Nationala de Supraveghere a aplicat sanctiunea ca urmare a unei sesizari din data de 10.12.2018 prin care se semnala faptul ca un set de fisiere cu privire la detaliile tranzactiilor receptionate de site-ul avocatoo.ro, ce continea nume, prenume, adresa de corespondenta, email, telefon, loc de munca si detalii tranzactii efectuate, era accesibil public prin intermediul a doua link-uri.
Potrivit art. 5 alin. 1 lit. f) din GDPR, operatorul avea obligatia de a prelucra date intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare (”integritate si confidentialitate”).
Nume operator - World Trade Center Bucharest S.A.
Valoare amenda - 15.000 euro
Motiv amenda - Incalcarea securitatii datelor cu caracter personal a constat in faptul ca o lista printata pe suport de hartie, utilizata pentru verificarea clientilor care serveau micul dejun si care continea date cu caracter personal ale unui numar de 46 de clienti, cazati la unitatea hoteliera apartinand WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiata de catre persoane neautorizate din afara societatii, ceea ce a condus la dezvaluirea in mediul on-line a datelor cu caracter personal ale unor clienti, prin publicare.
Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii.
Nume operator - Unicredit BANK S.A
Valoare amenda - 130.000 euro
Motiv amenda - Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din GDPR (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
Sursa: dataprotection.ro