Operator – Vodafone Romania SA (mai 2023)
Valoare amenda –  1.000 euro
Motiv amenda – Sanctiunea a fost aplicata ca urmare a unei plangeri prin care se reclama faptul ca operatorul i-a incalcat petentului dreptul de acces, refuzand sa-i comunice anumite inregistrari ale convorbirilor cu call-center-ul companiei. De asemenea, ANSPDCP a constatat ca operatorul nu a facut dovada ca a transmis un raspuns petentului la cererea sa de exercitare a dreptului de acces in termen de 30 de zile, incalcand astfel prevederile art. 15 alin. (3) din RGPD.

Operator – Dante International SA (mai 2023)
Valoare amenda –  40.000 euro
Motiv amenda – Autoritatea Nationala de Supraveghere a fost sesizata de autoritatea pentru protectia datelor (DPA) din Ungaria cu privire la plangerile formulate de trei persoane fizice din acest stat impotriva Dante International SA. In cursul investigatiilor efectuate de Autoritatea Nationala de Supraveghere pentru solutionarea celor 3 cazuri semnalate, au fost constatate urmatoarele aspecte:

1. In primul caz, un petent a solicitat stergerea contului creat pe emag.hu. Acestuia i s-a solicitat sa trimita o cerere datata si semnata (scanata sau fotografiata). In cursul investigatiei efectuate pentru solutionarea acestei plangeri, Autoritatea Nationala de Supraveghere a constatat lipsa unei instruiri regulate si adecvate de catre Dante International SA a angajatilor din grup, cu privire la procedura care trebuie urmata in vederea solutionarii cererilor persoanelor vizate.
2. In cel de-al doilea caz, un alt petent a solicitat stergerea datelor sale catre mai multe adrese de e-mail ale operatorului si prin intermediul formularului de contact existent pe site-ul acestuia, insa acest lucru nu a fost posibil, intrucat serverele eMAG au respins cererea sa ca provenind de la o adresa ce nu prezinta incredere. In privinta respingerii automate a cererilor petentului, operatorul a sustinut ca serverele sale folosesc liste publice furnizate de o terta parte, asupra careia nu detine controlul, iar situatia respectiva a fost una posibil generata de reputatia slaba/proasta a serviciului @freemail.hu de la momentul in care petentul a trimis respectivele cereri catre operator. Situatia constatata in acest caz, a dovedit faptul ca stabilirea unui canal unic si exclusiv de comunicare pe care il pot folosi persoanele vizate, cat si lipsa unei informari adecvate cu privire la anumite limitari din punct de vedere tehnic, pot conduce la restrictionarea neintemeiata a drepturilor acestora.
3. Un alt petent a reclamat faptul ca una dintre adresele sale de e-mail era in continuare prelucrat de Dante, desi solicitase inlocuirea acesteia cu o alta adresa de e-mail. In cursul investigatiei efectuate, s-a constatat faptul ca, desi cererea de rectificare a fost initial solutionat? pozitiv, cand operatorul a confirmat petentului rectificarea adresei sale de e-mail, adresa respectiva a continuat sa fie prelucrata de Dante, in contextul unei corespondente mai indelungate purtate cu petentul.

Operator – BRD – Group Societe Generale SA (mai 2023)
Valoare amenda –  2.000 euro
Motiv amenda – In cadrul investigatiei s-a constatat ca operatorul a divulgat ilegal date personale si financiare ale unui client al bancii si ale altor persoane, date care au fost transmise catre o instanta de judecata, fara a exista o solicitare a acesteia si fara a fi luate, in prealabil, masuri prin care sa fie verificate legitimitatea unei astfel de dezvaluiri a datelor personale.

Operator – Artima SA (mai 2023)
Valoare amenda –  8.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a unei notificari de incalcarea a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat ca anumiti angajati ai operatorului au accesat sistemul de supraveghere video si au filmat cu telefonul mobil personal monitorul pe care se derulau inregistrarile sistemului. Ulterior, unul dintre angajati a transmis imaginile unei terte persoane, iar imaginile respective au fost postate de catre aceasta persoana pe Facebook. Astfel, au fost dezvaluite imaginea unei persoane fizice, numarul de inmatriculare, culoarea si marca autovehiculului acesteia, ceea ce a condus la pierdere confidentialitatii datelor cu caracter personal.

Operator – SC Apollo Salon SRL (mai 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata care a reclamat faptul ca operatorul ii trimitea mesaje nesolicitate prin SMS, desi acesta, in repetate randuri, si-a exercitat dreptul de stergere, conform Regulamentului (UE) 2016/679.

Operator – Global Baby Brands SRL (mai 2023)
Valoare amenda –  1.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a unei plangeri prin care s-a reclamat faptul ca operatorul a transmis petentului mai multe mesaje comerciale SMS, fara consimtamantul acestuia.

Operator – Automobile Bavaria SRL (mai 2023)
Valoare amenda –  18.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare securitatii datelor cu caracter personal. Incalcarea securitatii s-a produs ca urmare a divulgarii neautorizate a datelor cu caracter personal (nume, prenume, oras, adresa de e-mail, numar de telefon, model autoturism curent, an fabricatie autoturism curent, optiune buy-back etc.) pentru un numar de 290 clienti/potentiali clienti ai operatorului, in perioada iulie 2022-04.08.2022, aceste date fiind accesibile public pe pagina web a operatorului.

Operator – NN Pensii Societate de Administrare a unui Fond de Pensii Administrat Privat S.A. si NN Asigurari de Viata S.A. (aprilie 2023)
Valoare amenda –  1.500, respectiv 1.000 euro
Motiv amenda – Ambii operatori au fost sanctionati in urma efectuarii unor modificari la configuratia echipamentului care asigura stocarea temporara a paginilor web ale aplicatiei NN Direct, puse la dispozitia clientilor, fiind activata optiunea de a pastra paginile web in memoria acesteia. Astfel, a fost permisa vizualizarea, pentru o perioada de timp, de catre unii utilizatori ai aplicatiei, a datelor personale care nu le apartineau. Aceasta situatie a condus la accesul neautorizat si pierderea confidentialitatii datelor cu caracter personal (nume/prenume, CNP, adresa din cartea de identitate etc.), fiind afectate doua persoane vizate. De asemenea, modificarile de configuratie respective nu au fost supuse unui proces de testare la nivelul operatorului.

Operator – Compania Nationala Posta Romana S.A. (aprilie 2023)
Valoare amenda –  5.000 euro
Motiv amenda – Sanctiunea a fost aplicata in urma unor sesizari referitoare la completarea Formularului 230 de catre operator, cu date cu caracter personal ale propriilor angajati, in vederea redirectionarii procentului de 3,5% din impozitul anual pe venit al acestora catre o fundatie apartinand aceluiasi angajator. In cadrul investigatiei efectuate s-a constatat faptul ca operatorul a completat partial Formularul 230 cu date ale angajatilor (nume/prenume si CNP), fara sa existe o obligatie legala a acestuia in acest sens si fara sa faca dovada indeplinirii conditiilor prevazute in Regulamentul (UE) 2016/679.

Operator – Libra Internet Bank SA (martie 2023)
Valoare amenda –  11.000 euro
Motiv amenda – Investigatia a fost demarata in urma transmiterii unei plangeri prin care s-a reclamat refuzul operatorului de a da curs integral cererii de exercitare a dreptului de acces al persoanei vizate, precum si omisiunea de a ii furniza acesteia anumite informatii. Cererea persoanei respective viza accesul la copii ale inregistrarilor video prelucrate de catre operator ce o privesc. In cadrul investigatiei s-a constatat faptul ca operatorul nu a prezentat dovezi din care sa rezulta ca a transmis un raspuns complet la cererea persoanei vizate. Totodata, raspunsul trimit persoanei vizate prin e-mail nu continea informatii cu privire la posibilitatea sa de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac juridica pentru refuzul de a i se comunica informatiile solicitate.

Operator – Tensa Art Design SA (martie 2023)
Valoare amenda –  1.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul i-a transmis mesaje comerciale nesolicitate, desi acesta isi exercizase dreptul de opozitie, solicitand anterior dezabonarea de la serviciul de newsletter.

Operator – Partidul Uniunea Salvati Romania (martie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Sanctiunea a fost aplicata ca urmare a unor sesizari, redirectionate de institutia Avocatul Poporului, prin care se reclama faptul ca pe site-ul Partidului Uniunea Salvati Romania au fost postate date cu caracter personal apartinand unor persoane cu grade diferite de dizabilitate. In cadrul investigatiei desfasurate s-a constatat faptul ca operatorul a preluat date cu caracter personal ale unor persoane vizate (nume/prenume, CNP, adresa, numar certificat de expertiza medicala, grad de handicap etc.) din documentele oficiale ale autoritatilor si institutiilor publice. Acestea au fost publicate ulterior pe site-ul partidului, in cadrul unui proiect al USR, cu incalcarea principiilor de prelucrare, fara a avea un temei legal pentru aceasta prelucrare.

Operator – Regency Company SRL (martie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a transmiterii unei sesizari de catre o persoana fizica, ce a semnalat faptul ca angajatii si colaboratorii societatii sunt supravegheati audio/video la locul de munca, fara acordul acestora. In cadrul investigatiei s-a constatat ca operatorul, prin intermediul sistemului de supraveghere instalat in birouri si sala de mese, prelucra date cu caracter personal cu nerespectarea principiilor de prelucrare, in lipsa unui temei legal de prelucrare care sa justifice o asemenea intruziune.

Operator – Banca Transilvania SA (martie 2023)
Valoare amenda –  2.000 euro
Motiv amenda – Conform petitiei transmise de catre o persoana fizica, client al operatorului, acesta a solicitat Bancii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesarii de catre acesta doar a contului in EURO. La momentul ridicarii cardului, clientul si persoana care avea drept de operare pe contul respectiv utilizau o aplicatie de Mobile Banking a operatorului, care permitea restrictionarea vizualizarii unor conturi. In urma cererii de actualizare date (Achizitie produse/servicii bancare) pentru o noua aplicatie mobila destinata prestarii de servicii, si a activarii serviciului de Mobile Banking, ruda petentului a putut accesa neautorizat toate conturile titularului, nu doar pe cel in euro, conform cererii acestuia.

Operator – Tensa Art Design SRL (martie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a transmiterii unei plangeri, prin care se reclama faptul ca petentii au primit mesaje comerciale pe numarul de telefon, respectiv adresa de e-mail, desi acestia isi exprimasera optiunea de a nu mai fi contactati prin aceste modalitati. Astfel, ANSPDCP a constatat faptul ca operatorul nu a luat in considerare opozitia petentilor cu privire la primirea mesajelor comerciale prin SMS/e-mail, si a prelucrat datele cu caracter personal ale acestora in scop de marketing direct, incalcand astfel prevederile art. 21 alin (3) din RGPD.

Operator – Persoana fizica (martie 2023)
Valoare amenda –  450 euro
Motiv amenda – Investigatia a fost demarata in urma transmiterii unei sesizari prin care se reclama faptul ca operatorul a postat prin intermediul unei retele de socializare datele cu caracter personal a numeroase persoane fizice. Astfel, persoana fizica respectiva a dezvaluit fatele cu caracter personal (nume/prenume, localitatea de domiciliu) ale mai multor persoane vizate prin intermediul unei retele de socializare, fara consimtamantul acestora.

Operator – Tehnoplus Industry SRL (februarie 2023)
Valoare amenda –  5.000 euro
Motiv amenda – Investigatia a avut loc ca urmare a unei plangeri prin care se reclama faptul ca operatorul prelucra datele cu caracter personal ale petentului prin intermediul sistemului GPS instalat pe masina de serviciu, fara sa fi fost informat cu privire la monitorizarea autovehiculului, scopul si temeiul legal al prelucrarii, si durata de stocare a datelor colectate. Petentul a reclamat si faptul ca informatiile preluate din sistemul GPS erau utilizate de operator in alt scop, decat acela al monitorizarii masinii de serviciu. Investigatia a relevat faptul ca operatorul a prelucrat in mod excesiv, in afara orelor de serviciu, datele de localizare ale petentului, angajat al operatorului. Totodata, s-a constatat ca operatorul a stocat datele respective dupa expirarea duratei de stocare, fara sa prezinte dovezi din care sa rezulta ca depasirea termenului a fost bazata pe motive justificate.

Operator – Med Life S.A. (februarie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Investigatia a fost demarata in urma unei sesizari, prin care s-a reclamat faptul ca un pacient a primit, prin e-mail, pe langa buletinul de investigatie propriu, si o serie de fisiere care contineau rezultatele unor investigatii ce apartineau alort cinci pacienti. Documentele atasate contineau numele/prenumele, data nasterii, data examinarii, motivul examinarii, rezultatul investigatiilor medicale, diagnosticul, precum si concluziile rezultate in urma examinarii medicale ale pacientilor respectivi.

Operator – Centrul Medical dr. Furtuna Dan (februarie 2023)
Valoare amenda –  1.000 euro
Motiv amenda – In cadrul investigatiei desfasurate, Autoritatea Nationala de Supraveghere a constatat faptul ca operatorul a transmis pe numarul de telefon al unei persoane fizice, prin intermediul aplicatiei WhatsApp, un mesaj ce continea date medicale ce apartineau altor doua persoane vizate. Acest incident a condus la incalcarea confidentialitatii datelor prelucrate de catre operator, prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal, precum: nume/prenume, CNP, numar de telefon, rezultate ale unor teste medicale.

Operator – Alianta pentru Unirea Romanilor (februarie 2023)
Valoare amenda –  10.000 euro
Motiv amenda – Sanctiunea a fost aplicata ca urmare a unor sesizari conform carora operatorul colecteaza date cu caracter personal prin intermediul unui site, fara a realiza informarea persoanelor vizate si fara indeplinirea conditiilor privind legalitatea prelucrarii. In cadrul investigatiei s-a constatat faptul ca anumite date cu caracter personal (nume/prenume, adresa, seria si numarul cartii de identitate, CNP, numar de telefon, semnatura) erau colectate de catre operator. Colectare a fost efectuata prin completarea si semnarea unui formular online de pe site-ul respectiv, prin transmiterea acestuia descarcat, completat si semnat prin posta, precum si prin completarea si semnarea formularului la centrele speciale organizate de AUR.

Operator – Partidul Uniunea Salvati Romania (februarie 2023)
Valoare amenda –  4.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. Incalcarea securitatii s-a propus ca urmare a pierderii confidentialitatii si integritatii datelor stocate intr-un server al operatorului, in urma unui atac cibernetic de tip phishing.

Operator – Modaone SRL (ianuarie 2023)
Valoare amenda –  2.000 euro
Motiv amenda – Investigatia a fost demarata in urma transmiterii de catre o persoana vizata a unei plangeri conform careia i s-au transmis mesaje comerciale de pe www.kalapod.net (site detinut de operator) pe adresa de e-mail, desi i se comunicase anterior ca nu va mai primi astfel de mesaje.

Operator – Tinmar Energy SA (februarie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – In cadrul investigatiei efectuate s-a constatat incalcarea securitatii prelucrarii datelor prin accesarea neautorizata a serverului de e-mail al operatorului. Acest lucru a condus la accesul la anumite date cu caracter personal, precum: nume/prenume, e-mail, CNP, numar de telefon si adrese de domiciliu.

Operator – Integral Collection SRL (februarie 2023)
Valoare amenda –  3.000 euro
Motiv amenda – Similar investigatiei anterioare, securitatea datelor cu caracter personal a fost afectat in urma unui atac de tip ransomware, rezultand in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal colectate de catre operator.

Operator – Finopro IFN SA (februarie 2023)
Valoare amenda –  2.250 euro
Motiv amenda – Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei s-a constatat faptul ca incalcarea securitatii datelor s-a produs ca urmare a unui atac de tip ransomware, situatie ce a rezultat in accesul neautorizat si pierderea integritatii si disponibilitatii datelor cu caracter personal (date de identificare, date din carti de identitate, adrese, numere de telefon, extrase de cont).

Operator – Medijobs Platform SRL (ianuarie 2023)
Valoare amenda –  5.000 euro
Motiv amenda – Operatorul a transmis catre Autoritatea Nationala de Supraveghere o notificare de incalcare a securitatii datelor cu caracter personal. In cadrul investigatiei demarate s-a constatat faptul ca infrastructura IT gestionata de operator a fost accesata neautorizat, facand posibila descarcarea si stergerea anumitor date cu caracter personal. Aceasta situatie a condus la divulgarea neautorizata/accesul neautorizata la date cu caracter personal din CV-urile candidatilor, precum: nume/prenume, e-mail, telefon, istoric profesional/educational etc.

Operator – Tensa Art Design SA (ianuarie 2023)
Valoare amenda –  1.000 euro
Motiv amenda – Investigatia a fost demarata in urma unei sesizari transmise de o persoana vizata, care a reclamat faptul ca operatorul ii trimitea constant mesaje nesolicitate. In cadrul investigatiei s-a constatat faptul ca operatorul a transmis persoanei vizate prin intermediul postei electronice, in repetate randuri, mesaje comerciale nesolicitate, desi acesta solicitase anterior dezabonarea de la serviciul de newsletter al operatorului.

Operatori – Dent Estet Clinic SA & medic stomatolog, colaborator al operatorului (decembrie 2022)
Valori amenzi –  1.000 euro,respectiv 1.000 euro
Motiv amenzi – Investigatiile au fost demarate in urma unei plangeri transmise de catre o persoana vizata, prin care s-a reclamat faptul ca operatorii Dent Estet Clinic SA si medicul colaborator i-au divulgat datele de sanatate in mediul online. In cadrul investigatiilor s-a constatat ca cei doi operatori au divulgat informatii medical referitoare la tratamentul ortodontic al petitionarului, prin publicarea unui articol pe un blog de specialitate a unui set de fotografii si radiografii care se puteau corela cu numele persoanei. Totodata, Autoritatea de Supraveghere a constatat ca medicul stomatolog colaborator a prelucrat datele personale privind starea de sanatate a persoanei vizate, in cadrul unui articol postat pe blogul personal, fara sa prezinte dovezi privind obtinerea consimtamantului expres al persoanei vizate, si fara informarea sa prealabila.

Operator – Dante International SA (decembrie 2022)
Valoare amenda –  1.000 euro
Motiv amenda – Investigatia a fost demarata ca urmare a unei sesizari transmise de o persoana vizata, conform careia operatorul Dante International SA, detinatoare emag.ro, a incalcat dreptul la stergerea datelor cu caracter personal. Mai exact, operatorul a transmis catre numarul de telefon al petentului un SMS de informare cu privire la ofertele comerciale ale societatii, desi acesta solicitase anterior stergerea contului si a datelor nerelevante.

Operator – BRISTOL LOGISTICS SA (decembrie 2022)
Valoare amenda –  2.000 euro
Motiv amenda – Incidentul de incalcare a securitatii a constat in sustragere unui biblioraft continand dosarele de personal a 12 angajati ai operatorului, conducand astfel la accesarea de date personale de catre persoane neautorizate. Datele cu caracter personal care au fost accesate neautorizat au inclus: date de contact/identificare, pregatirea academica si profesionala, detalii de angajare, informatii referitoare la deduceri de taxe si persoane aflate in intretinere, calificative de medicina muncii.

Operator – Apa Canal Ilfov SA (decembrie 2022)
Valoare amenda –  3.000 euro
Motiv amenda – Investigatia a fost demarata in urma transmiterii de catre operator a unei notificari de incalcare a securitatii datelor. Mai exact, pentru a transmite un mesaj electronic catre utilizatorii inregistrati pe portalul online al societatii, operatorul a introdus eronat adresele de e-mail la sectiunea “To”, in loc de “BCC”. Aceasta incalcare a condus la divulgarea neautorizata/accesul neautorizat la date cu caracter personal (adresa de e-mail), fiind afectat un numar semnificativ de persoane fizice.

Operator – Asociatie de proprietari din Iasi (noiembrie 2022)
Valoare amenda –  500 euro
Motiv amenda – Operatorul a afisat listele de plata ce contineau numele/prenumele fiecarui membru al Asociatiei de proprietari. Petentul plangerii initiale a reclamat si afisarea unui inscris cu caracter defaimator in care erau mentionate datele sale personale. Pe langa amenda, operatorului i s-a aplicat si masura corectiva de a lua masurile necesare astfel incat sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile RGPD si sa evita prelucrarea (inclusiv dezvaluirea) datelor cu caracter personal fara consimtamantul persoanelor vizate si fara existenta unei alte situatii in care consimtamantul nu este necesar.