În perioada 1.06.2019-30.09.

2019, în cadrul investigațiilor efectuate, au fost dispuse unele măsuri corective

în sarcina operatorilor, astfel:

Data
Nr. constatării
crt.
OPERATOR încălcării DESCRIERE MASURA CORECTIVĂ

Avertisment - pentru încălcarea art. 32 alin. 1 lit. b) și d) raportat la art. 32

alin.(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și
organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor
1. Vola.RO SRL 4.06.2019 fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societății
către mai mulți destinatari, aspect ce a dus la divulgarea neautorizată a acestor
date către persoane neautorizate și compromiterea confidențialității.

Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) raportat la art. 32

alin.(4) și art. 33 alin. (1) din RGPD întrucât operatorul nu a implementat măsuri
tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor
fizice, prin transmiterea prin e-mail în data de la o anumită dată către o
persoană neautorizată a datelor cu caracter personal ale angajaților societății
SAM DEVELOPMENT INVESTMENT & CONSTRUCTIONS SRL prelucrate prin
Sam Development Revisal, ceea ce a condus la divulgarea neautorizată a acestor date către
2. Investment & 5.06.2019 persoane neautorizate și compromiterea confidențialității.
Constructions SRL
De asemenea, s-a constatat că SAM DEVELOPMENT INVESTMENT &
CONSTRUCTIONS SRL a încălcat prevederile art. 33 alin. (1) din RGPD,
notificând tardiv și lacunar ANSPDCP despre încălcarea securității datelor cu
caracter personal.

Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) raportat la art. 32

alin.(4) și art. 33 alin. (1) din RGPD, întrucât operatorul nu a implementat
măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de
securitate corespunzător riscului prelucrării pentru drepturile și libertățile
persoanelor fizice, prin transmiterea prin e-mail către o persoană neautorizată a
datelor cu caracter personal ale angajaților societății SAM URBANIC CONSTRUCT
Sam Urbanic SRL prelucrate prin Revisal, ceea ce a condus la divulgarea neautorizată a
3. 5.06.2019 acestor date către persoane neautorizate și compromiterea confidențialității.
Construct SRL

De asemenea, s-a constatat că SAM URBANIC CONSTRUCT SRL a încălcat

prevederile art. 33 alin. (1) din RGPD, întrucât nu a respectat termenul de 72 de
ore de la data la care a luat la cunoștință de incidentul produs și notificarea nu a
fost însoțită de o explicație motivată pentru întârziere, notificând tardiv
ANSPDCP despre încălcarea securității datelor cu caracter personal.

1. Avertisment - pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din

Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu
4. Altex România SRL 5.06.2019 art. 7 din O.G. nr. 2/2001 privind regimul juridic al contravenţiilor, întrucât Altex
România SRL a transmis unui petent mesaje comerciale promoționale
nesolicitate prin email, fără a dovedi existența consimțământului expres prealabil
al acestuia, încălcându-se astfel prevederile art. 12 din Legea nr. 506/2004
 referitoare la comunicările nesolicitate;

2. S-a recomandat societății să reanalizeze și să nu mai transmită mesaje

comerciale prin mijloace de comunicare electronică în cazurile în care nu poate
face dovada obținerii consimțământului expres prealabil al clienților pentru a
primi asemenea comunicări, conform prevederilor art. 12 din Legea nr.
506/2004.

Avertisment -pentru săvârşirea contravenţiei prevăzută la art. 13, alin. 1 lit. a)

din Legea nr. 506/2004, întrucât operatorul nu a luat suficiente măsuri tehnice şi
organizatorice adecvate în vederea garantării că datele cu caracter personal pot
fi accesate numai de persoane autorizate, în scopurile autorizate de lege, ceea
5. Vodafone România 6.06.2019 ce a condus la faptul că datele cu caracter personal cuprinse în facturile detaliate
a uor abonați Vodafone România SA, persoane fizice, au fost vizualizate de
angajați cu drept de accesare într-o aplicatie specifica deținută de operator, în
scop neautorizat, în mod individual și în scop personal, cu depășirea atribuțiilor
din fișa postului.

6. 12.06.2019
Centrul Medical
Unirea SRL

1. Să ia măsurile tehnice și organizatorice necesare astfel încât, pe

viitor, să fie evitate situații de prelucrare a unor date cu caracter
personal inexacte, urmând să fie respectate art. 5 alin. (1) lit. d) din
Regulamentul (UE) 679/2016.

7.
Să comunice un răspuns complet la cererea petentei, care să conțină
Orange Romania SA 12.06.2019
toate informațiile solicitate de petentă, potrivit art. 15 din RGPD.

1. Să ia măsurile necesare astfel încât, pe viitor, să fie evitate

prelucrările nelegale ale datelor cu caracter personal, fără existența
unui temei legal clar determinat, cu respectarea principiilor și a condițiilor de
SC RD Office legalitate prevăzute de RGPD;
Solutions SRL
8. 12.06.2019 2. Să dea curs solicitării petentului și să îi transmită un răspuns
petentului la cererea sa prin care și-a exercitat dreptul de ștergere a datelor
cu caracter personal.

1. Să ia toate măsurile de securitate tehnice și organizatorice

necesare, astfel încât să asigure un nivel corespunzător de securitate, inclusiv
Dante International confidenţialitatea datelor, în scopul prevenirii accesului neautorizat la datele cu
SA caracter personal pe care le prelucrează;
9. 13.06. 2019
2.Să ia toate măsurile necesare asigurării securității conturilor create
pe platforma e-Mag și implicit a datelor cu caracter personal aferente clienților
săi,

3. Să respecte Procedura de lucru Customer Care Identificarea

 clientului persoană fizică;

4. Să instruiască operatorii telefonici în legătură cu respectarea Procedurii.

Efectuarea unei evaluări a riscurilor incidente prelucrărilor preconizate

potrivit art. 35 alin. (3) din Legea nr. 363/2018, și punerea în aplicare de măsuri
tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător, în vederea menţinerii securităţii şi a prevenirii prelucrărilor care
10. IPJ Dambovita 18.06.2019 încalcă Legea nr. 363/2018, cum ar fi criptarea dispozitivelor mobile cu spațiu de
stocare.

11.
1.Punerea în aplicare a unor măsuri tehnice și organizatorice adecvate
în vederea asigurării unui nivel de securitate corespunzător, în vederea
Directia pentru menţinerii securităţii şi a prevenirii prelucrărilor care încalcă RGPD, pentru a
Evidenta Persoanelor identifica accesările neautorizate;
si Administrarea 18.06.2019
Bazelor de Date
(DPABD) 2. Instruirea personalului cu priviri la măsurile luate de operator, astfel
ca utilizatorii să aibă acces numai la datele cu caracter personal pentru
îndeplinirea atribuțiilor de serviciu.

1. Avertisment- pentru încălcarea art. 12 alin. (1), (3) și (4) din Regulamentul
(UE) 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE)
679/2016, corelat cu art. 14 alin. (11), art. 15 alin. (1) și (3) și art. 16 alin. (5)
din Legea nr. 102/2005, republicată, precum și cu art. 12 alin. (1), (2) și (4) din
Legea nr. 190/2018, coroborat cu art. 7 din O.G. nr. 2/2001, deoarece nu a făcut
dovada că a comunicat un răspuns referitor la cererile prin care petenții și-au
exercitat dreptul la ștergerea datelor și dreptul de opoziție;
S.C. Easy Asset
12. Management IFN 19.06.2019 2. Să întocmească și să transmită autorităţii de supraveghere o
S.A. procedură distinctă, clară și completă, referitoare la modalitatea
concretă de exercitare a drepturilor persoanelor vizate, precum și
informații referitoare la aducerea ei la cunoștința acestora, în temeiul art. 58
alin. (2) lit. c) și d) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (4)
din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (3) și art. 16 alin. (5) din
Legea nr. 102/2005, republicată, raportat la art. 12 alin. (1), (3) și (4) din
Regulamentul (UE) 679/2016, pentru fapta prevăzută de art. 83 alin. (5) lit. b)
din RGPD.

1.Avertisment -pentru încălcarea art. 12 din RGPD, deoarece Asociația de

Proprietari Bl. 35 a transmis un răspuns petentului cu depășirea termenului
prevăzut în art. 12 alin. (3) din RGPD;
Asociația de
Proprietari Bl. 35,
13. 20.06.2019 2.Să furnizeze persoanelor vizate informaţii privind acţiunile
întreprinse în urma unor cereri în temeiul articolelor 15-22, fără întârzieri
Municipiul Bucuresti nejustificate.
 Să comunice un răspuns complet la cererea petentei prin care
SC Rovigo SRL
aceasta și-a exercitat dreptul de ștergere.
14. 25.06.2019

Amendă -în cuantum de 130.000 Euro pentru încălcarea art. 25 alin. (1) din
RGPD coroborat cu art. 5 alin. 1 lit. c) din RGPD, deoarece operatorul nu a pus
în aplicare măsuri tehnice şi organizatorice adecvate, atât în momentul stabilirii
mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pentru a îndeplini
cerințele RGPD şi a proteja drepturile persoanelor vizate, ceea ce a condus la
dezvăluirea în documentele ce conțin detaliile tranzacțiilor și care sunt puse on-
15. Unicredit Bank 27.06.2019 line la dispoziția clienților beneficiari ai plăților într-o anumită perioadă, a datelor
privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv a
datelor privind adresa plătitorului, pentru un număr de mare persoane vizate,
deși, potrivit art. 5 alin. 1 lit. c) din RGPD, avea obligația de a prelucra date
limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

1. Avertisment -pentru încălcarea art. 12 alin. (3) și art. 15 din Regulamentul

(UE) 679/2016, întrucât nu a facut dovada că a transmis, până la data procesului
verbal, un răspuns complet adresat petentului, la cererea sa transmisă prin e-
mail, prin care și-a exercitat dreptul de acces;

2. Să transmită un răspuns complet petentului, la cererea sa transmisă

Dante Internațional
16. 1.07.2019 prin e-mail, prin care și-a exercitat dreptul de acces, prevăzut de art. 15 din
SA Regulamentul (UE) 679/2016;

3. Să ia măsuri astfel încât să fie respectate, în toate cazurile,

prevederile art. 12 din Regulamentul (UE) 679/2016.

17. 1. Amendă - în cuantum de 15.000 Euro pentru încălcarea art. 32 alin. (4)
raportat la art. 32 alin. (1) și alin. (2) din RGPD, deoarece operatorul nu a
implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui
nivel de securitate corespunzător riscului prelucrării generat în special, în mod
accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat
la datele cu caracter personal, ceea ce a condus la accesul neautorizat la
datele cu caracter personal ale unui număr mare de clienți, printate pe suport de
World Trade Center 2.07.2019 hârtie din aplicația hotelieră a operatorului, și divulgarea neautorizată a acestor
date, în mediul on-line.

2. Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

implementate ca urmarea a evaluării privind riscul pentru drepturile și
libertățile persoanelor, revizuirea procedurilor de lucru referitoare la protecția
datelor cu caracter personal.

1. Avertisment - în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE)

679/2016, coroborat cu art. 12 alin. (1), (4) și art. 14 alin. 5 lit. e) din Legea nr.
190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr.
18. A-Car Vaslui 2.07.2019 102/2005, republicată, raportat la art. 58 alin. (1) lit. a) și lit. e) din RGPD nr.
679/2016, întrucât operatorul nu a furnizat informaţiile solicitate de ANSPDCP
prin adresele transmise.

2. Plan de remediere - Furnizarea tuturor informațiilor conform celor solicitate

 de ANSPDCP.

1.Avertisment - pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și lit. e) din
RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat
cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15
alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, deoarece nu
a furnizat nicio informaţie solicitată de ANSPDCP;
Globus Score SRL
19. (fosta Instrumental 4.07.2019
2. Să transmită autorităţii de supraveghere răspuns complet la
Theory SRL)
adresele transmise, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE)
679/2016, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11),
art. 15 alin. (3) și art. 16 alin. (5) din Legea nr. 102/2005, republicată;.

Amendă - în cuantum de 3.000 Euro, pentru încălcarea art. 32 alin. (1) și alin.
(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și
20. organizatorice adecvate în vederea asigurarii unui nivel de securitate
corespunzator riscului prelucrării, ceea ce a condus la divulgarea neautorizată și
Legal Company & Tax accesul neautorizat la datele cu caracter personal ale persoanelor care au
5.07.2019 efectuat tranzacții recepționate de site-ul avocatoo.ro, documente accesibile
Hub SRL
publicului pe aceste site, timp de aproape doua luni, deși avea aceasta obligație
potrivit art. 5 alin. (1) lit. f din RGPD.

Luarea măsurilor necesare pentru prelucrarea datelor personale cu

consimțământul expres al persoanelor vizate în conformitate cu art. 6
Asociația Prietenii lui și 7 din RGPD în cazul transmiterii de mesaje prin mijloace de comunicare
21.
Adrian electronică, întrucât Asociația i-a transmis, un email nesolicitat unui petent, de
5.07.2019
pe office@aspla.ro, pe adresa sa personală de email, fără să dovedească
obținerea în prealabil a consimțământului expres și neechivoc al acestuia pentru
prelucrarea datelor cu caracter personal (adresa de e-mail), încălcându-se astfel
prevederile art. 6 și 7 din RGPD;

1. Avertisment - în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE)

679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14
alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005,
republicată, întrucât Asociația de Proprietari Confort Park 1A:

- a instalat un sistem de supraveghere video în incinta imobilului pe care îl

Asociația de administrează fără să facă dovada realizării informării persoanelor vizate
Proprietari Confort încălcându-se prevederile art. 13 din Regulament;
Park 1A,
22. 5.07.2019 - nu a facut dovada asigurării confidențialității datelor cu caracter personal ale
Municipiul Bucuresti persoanelor ale căror date au fost afișate la avizier, astfel încât au fost dezvaluite
numele și prenumele la avizierul asociației, fără consimțământul acestor
persoane și fără existența unei alte situații în care consimțământul nu este
necesar, încălcându-se prevederile art. 5 alin. (1) lit. b) și c) și art. 6 alin. (1) lit.
a) din RGPD;

- solicită proprietarilor date personale excesive și copii după diverse documente,

în vederea completării cărţii de imobil, încălcându-se prevederile art. 5 alin. (1)
lit. a) și c) din RGPD.

2. Să ia măsurile necesare astfel încât, pe viitor, datele cu caracter

 personal să nu fie utilizate și dezvăluite cu încălcarea principiilor de
prelucrare a datelor, respectându-se principiul limitării legate de scop și
reducerea la minimum a datelor;

3. Să realizeze informarea persoanelor vizate prin completarea afișelor de

avertizare cu informațiile prevăzute de art. 13.

1. Avertisment - pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și lit. e)

din RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016,
corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11),
Primăria Orașului art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată,
Ovidiu, întrucât nu a furnizat informaţiile solicitate de ANSPDCP, prin adresele transmise;
23. 8.07.2019
Județul Constanța 2.Transmiterea către ANSPDCP a unui răspuns complet la adresele
instituției.

1.Avertisment - pentru încălcarea prevederilor art. 12 din RGPD, întrucât

operatorul nu a dat curs, în temen, solicitării petentului, prin care acesta și-a
exercitat dreptul de ștergere a unor date cu caracter personal.

2. Să furnizeze persoanelor vizate informaţii privind acţiunile

24. Credit Europe Bank 08.07.2019 întreprinse în urma unor cereri în temeiul articolelor 15-22, fără întârzieri
nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această
perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se
seama de complexitatea şi numărul cererilor.

1.Avertisment - pentru încălcarea art. 21 din Regulamentul (UE) 679/2016,

deoarece nu a luat în considerare opțiunea petentului de a-i fi dezactivată din
baza de date adresa sa de e-mail pentru mesaje de tipul chestinarelor de
Dante Internațional satisfacție, opțiune adusă la cunoștința operatorului printr-o solicitare, astfel
25. 10.07.2019 încât la doua luni mai tarziu a primit un alt mesaj de acest tip.
SA

2. Să ia măsuri astfel încât să fie respectate, în toate cazurile,

prevederile art. 21 din RGPD, inclusiv în cazul petentului.

1. Amendă - în cuantum de 1000 E, pentru încălcarea art. 12 din RGPD,

deoarece operatorul nu a putut face dovada realizării informării persoanelor
vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin
intermediul sistemului de supraveghere video, pe care o realizează începând din
anul 2016, deși avea obligația de a lua măsuri adecvate pentru a furniza
persoanelor vizate orice informații menționate la art. 13 – 14 și orice comunicări
în temeiul art. 15 – 22 și art. 34 referitoare la prelucrare, într-o formă concisă,
26. Uttis Industries 10.07.2019
transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în
special pentru orice informații adresate în mod specific unui copil;

2. Amendă în cuantum de 1500 E, pentru încălcarea art. 5 alin. (1) lit. c) din
RGPD, deoarece prelucrarea/dezvăluirea CNP-ului angajaților prin afișarea unui
referat la avizier, nu era adecvată, relevantă și limitată în raport cu scopul în care
acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă.
Totodată operatorul nu a putut face dovada legalității prelucrării CNP-ului, prin
 dezvăluire la avizier, potrivit art. 6 RGPD;

3. Realizarea informării persoanelor vizate potrivit art. 12 din RGPD,

haracter prin combinarea cu pictograme standardizate în spațiile/locurile
monitorizate video, poziționate la o distanță rezonabilă de locurile unde sunt
amplasate echipamentele de supraveghere, pentru a oferi într-un mod vizibil,
inteligibil și clar, lizibil o imagine de ansamblu semnificativă asupra prelucrării
prin intermediul sistemului de supraveghere video;

4.Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

implementate.

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD
întrucât nu a furnizat toate informațiile solicitate de ANSPDCP, în exercitarea
competențelor sale de investigare, prin adresele transmise, cu privire la
comunicarea unui răspuns la cererea unor petenți;
Asociația de
Proprietari Bloc 713 2. Comunicarea unui răspuns la cererea petenților;
27. 18.07.2019
Municipiul Bucuresti 3. Să întocmească o procedură referitoare la gestionarea cererilor
persoanelor vizate prin care acestea își pot exercita drepturile
prevăzute de Regulamentul (UE) 679/2016, cu aducerea acesteia la
cunoștința persoanelor vizate, conform prevederilor art. 12 din Regulamentul
(UE) 679/2016.

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

Spitalul Clinic
implementate, ca urmarea a evaluării privind riscul pentru drepturile și
Județean De Urgență
28. 23.07.2019 libertățile persoanelor, prin stabilirea și implementarea unor măsuri privind
“Sf. Apostol Andrei”
instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la
Constanța
obligațiile ce le revin conform prevederilor RGPD.

Grupul de Presă SC Să reanalizeze cererea petentului și să îl informeze în legătură cu

Medianet SRL măsurile adoptate în conformitate cu prevederile art. 12 din RGPD .
29. 23.07. 2019

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile
persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel
Gothaer Asigurări
30. 24.07.2019 încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu
Reasigurări SA caracter personal prelucrate.

1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD
deoarece nu a furnizat informaţiile solicitate de ANSPDCP, în exercitarea
competențelor sale de investigare, prin adresele transmise;
Nicola Medical Team
31. 24.07.2019
17 S.R.L.
2. Să transmită către ANSPDCP toate informațiile solicitate, referitor la
conformitatea operațiunilor de prelucrare efectuate în calitate de operator de
date.
32.

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile
Deichmann persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel
Comercializare 31.07.2019 încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu
Încălțăminte SRL caracter personal prelucrate.

1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și e) din RGPD, în

temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art.
Asociația de 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1),
Proprietari bl. B29, (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, raportat la art. 58
33. 31.07. 2019 alin. (1) lit. a) și lit. e) din RGPD întrucât nu a furnizat nicio informaţie solicitată
Municipiul București de ANSPDCP prin adresele transmise;

2. Să transmită ANSPDCP răspuns complet la adresele instituției.

1. Avertisment - pentru încălcarea art. 6 și 7 din RGPD, în temeiul art. 58 alin.

(2) lit. b) din RGPD, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018,
art. 14 alin. (11) , art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005,
republicată, coroborat cu art. 7 din O.G. nr. 2/2001, întrucât nu a putut face
dovada obținerii consimțământului prealabil al persoanelor vizate, inclusiv al
petentului, pentru prelucrarea adreselor lor de e-mail, colectate de pe internet,
în scopul transmiterii de mesaje comerciale.
Olarian Augustin
2. Să nu mai prelucreze datele cu caracter personal ale petentului,
respectiv numele și prenumele său și adresa sa de e-mail, fără respectarea
art. 6 și 7 din RGPD;
34. 31.07.2019
(deținător al 3. Să nu mai prelucreze datele personale fără consimțământul
domeniului persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul
olarian.ro) transmiterii de mesaje comerciale prin mijloace de comunicare electronică, în
temeiul art. 58 alin. (2) lit. d) din RGPD, corelat cu art. 12 alin. (4) din Legea nr.
190/2018, art. 14 alin. (11) , art. 15 alin. (3) și art. 16 alin. (5) din Legea nr.
102/2005, republicată, raportat la art. 12 alin. (1), (3) și (4) din RGPD. Se
recomandă în acest sens utilizarea metodei” dublu opt-in” pentru colectarea
adreselor de e-mail.

35.

Telekom România
1. Să comunice un răspuns complet la cererea petentei, în ceea ce
Mobile 31.07. 2019
privește solicitarea de ștergere a datelor acesteia.
Communications S.A.
 1.Avertisment - prentru contravenția prevăzută de art. 13 alin. (1) lit. q) din
Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu
art. 7 din OG 2/2001 întrucât Graftex Prodcom SRL nu a facut dovada existenței
SC Graftex Prodcom acordului petentului pentru comunicarea de mesaje comerciale nesolicitate,
36. încălcându-se astfel prevederile art. 12 din Legea nr. 506/2004 referitoare la
SRL -
31.07. 2019 comunicările nesolicitate;

2. Luarea măsurilor necesare respectării prevederilor art. 12 din Legea

nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de
comunicare electronică numai cu consimţământul expres prealabil al utilizatorilor
numerelor de telefon.

1. Să comunice petentului, în conformitate cu prevederile art. 15 din RGPD,

Orange Romania SA
un răspuns la cererea sa.
37. 31.07. 2019

1. Avertisment - pentru încălcarea art. 12 alin. (1), (3) și (4) din Regulamentul
(UE) 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE)
679/2016, corelat cu art. 14 alin. (11), art. 15 alin. (1) și (3) și art. 16 alin. (5)
din Legea nr. 102/2005, republicată, precum și cu art. 12 alin. (1), (2) și (4) din
S.C. UniCredit Legea nr. 190/2018, coroborat cu art. 7 din O.G. nr. 2/2001, deoarece nu a făcut
38. Consumer Financing 7.08.2019 dovada comunicării, către petent, a unui răspuns referitor la cererile primite, prin
IFN S.A care acesta și-a exercitat dreptul la ștergerea datelor;

2. Să ia măsuri astfel încât să fie respectate, în toate cazurile,

prevederile art. 12 din Regulamentul (UE) 679/2016.

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din

Regulamentul (UE) 679/2016 deoarece nu a furnizat informaţiile solicitate de
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal, în exercitarea competențelor sale de investigare, prin adresele
39. Modern Barber S.R.L. 7.08.2019 transmise;

2. Să transmită ANSPDCP toate informațiile solicitate prin adresele

transmise, cu privire la aspectele semnalate de petent.

Să transmită ANSPDCP răspuns complet la adresa transmisă, în

40. Dumitru N. Mihai 8.08.2019
conformitate cu prevederile art. 58 din RGPD.

1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în
temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art.
12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1),
(3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat
41. Asociația de Proprietari nicio informaţie solicitată de ANSPDCP, în exercitarea atribuțiilor sale de
Speranța bl. D3
8.08.2019 investigare;
Municipiul Oradea,
Județul Bihor
2.Să transmită ANSPDCP răspuns complet la adresa instituției.

42. 1. Avertisment, pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în
Asociația de
8.08.2019 temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art.
Proprietari Militari R 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1),
(3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat
nicio informaţie solicitată de ANSPDCP, în exercitarea atribuțiilor sale de
 Comuna Chiajna, investigare;

jud. Ilfov 2. Să transmită ANSPDCP răspuns complet la adresa instituției, în termen

de 5 zile lucrătoare de la data procesului verbal.

8.08.2019

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD
679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016,
corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11),
art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată,
43. Cumpata Dent SRL întrucât nu a furnizat nicio informaţie solicitată de ANSPDCP, în exercitarea
atribuțiilor sale de investigare;

2. Să transmită ANSPDCP răspuns complet la adresa instituției.

1. Să ia măsurile necesare astfel încât, pe viitor, datele cu caracter

personal să fie prelucrate numai cu consimțământul expres și
13.08.2019 neechivoc al persoanei vizate, întrucât operatorul nu a facut dovada obținerii
Banca Transilvania consimțământului petentei pentru prelucrarea datelor cu caracter personal,
44.
S.A. încălcându-se prevederile art. 6 și art. 7 din RGPD.

1.Avertisment - pentru încălcarea art. 12 din RGPD întrucât Banca Comercială

Română S.A. nu a dat curs cererii petentei.
Banca Comercială
Română S.A. 2. S-a recomandat Băncii Comerciale Române să dea curs cererii
45. 13.08.2019 petentei, având în vedere solicitarea acesteia de a i se comunica răspunsul la
cererea sa.

13.08.2019
Termocasa Ambient
SRL 1. Să ia măsurile necesare, cu respectarea art. 5 și art. 6 din RGPD, astfel
46. încât, pe viitor, să fie evitate prelucrările nelegale ale datelor cu
caracter personal, prin dezvăluirea lor fără consimțământul persoanei vizate.

1. Avertisment - pentru încălcarea art. 12 și 15 din Regulamentul (UE)

Municipiul Iași, 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016,
reprezentat prin corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 13, art. 14 alin.
Primar , 13.08.2019 (11) din Legea nr. 102/2005, republicată, întrucât nu a facut dovada că i-a
47. comunicat un răspuns petentului la cererea acestuia, prin care și-a exercitat
Județul dreptul de acces față de Primăria Iași cu privire la dezvăluirea datelor sale
personale, potrivit art. 15 din RGPD nr. 679/2016;
Iași
2. Să comunice un răspuns complet la cererea petentului;
 3. Pe viitor, să ia măsurile necesare pentru respectarea drepturilor
persoanelor vizate prevăzute în RGPD.

Asociaţia de 1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în
Proprietari nr. 505 temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art.
12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1),
Municipiul Reșița (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat
48. 21.08.2019 nicio informaţie solicitată de ANSPDCP, prin adresa transmisă;
Județul Caraș-
Severin 2. Transmiterea către ANSPDCP a unui răspuns la adresa instituției.

1.Amendă - în cuantum de 10.000 lei pentru contravenția prevăzută de art.

13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din
Legea nr. 506/2004 și cu art. 7 din OG 2/2001, deoarece operatorul nu a făcut
dovada obținerii consimțământului prealabil expres și neechivoc al petentului
pentru transmiterea de mesaje comerciale pe adresa sa de email la o anumită
Societatea Artmark
49. 28.08.2019 dată;
Holding SRL
2.Să ia măsurile necesare respectării prevederilor art. 12 din Legea nr.
506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de
comunicare electronică numai cu consimţământul expres prealabil al
destinatarilor.

1. Avertisment - pentru încălcarea art. 5 alin. (1) lit. a), c), f) și alin. (2) din
Regulamentul (UE) 679/2016 întrucât nu a respectat principiul reducerii la
minimum a datelor care pot fi transmise către alte entități și principiul integrității
și confidențialității;

Direcția Regională a
Finanțelor Publice
Ploiești
50. 4.09.2019 și evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora;
Municipiul Ploiești,
județul Prahova
2. Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) și alin. (2), precum și
ale art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679,
întrucât nu a prezentat dovezi, până la data procesului-verbal, din care să
rezulte că a respectat prevederile art. 32 alin. (1) lit. b) și alin. (2), precum și ale
art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679, cu
privire la adoptarea unor măsuri tehnice şi organizatorice adecvate de securitate
a datelor personale prelucrate de operator, de structurile sale subordonate și de
orice persoană care acționează sub autoritatea sa, astfel încât să se asigure
confidențialitatea datelor personale prelucrate în toate operațiunile de prelucrare
3. Analizarea situațiilor existente și stabilirea măsurilor necesare în
cazul transmiterii/dezvăluirii datelor cu caracter personal ale persoanelor
vizate ale căror date sunt prelucrate de către Direcția Generală Regională a
Finanțelor Publice Ploiești în calitate de operator de date personale (inclusiv de
către structurile sale subordonate), astfel încât să se asigure respectarea cu
responsabilitate a tuturor principiilor de prelucrare a datelor personale, în
special, cel al legalității, echității și transparenței, reducerii la minimum a datelor,
integrității și confidențialității;

4. Stabilirea de măsuri tehnice și organizatorice adecvate, necesare

asigurării securității datelor cu caracter personal prelucrate de către Direcția
Generală Regională a Finanțelor Publice Ploiești în calitate de operator de date
personale (inclusiv de către structurile sale subordonate), astfel încât să se
asigure confidențialitatea datelor personale prelucrate în toate operațiunile de
 prelucrare și evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora.

1. Avertisment - pentru încălcarea art. 5 alin. 1 lit. a) din RGPD și art. 6 din
RGPD, deoarece operatorul nu a informat persoanele vizate ale căror date le-a
prelucrat prin postarea/publicarea/afișarea, divulgarea prin transmitere,
Universitatea de diseminarea sau punerea la dispoziție în orice mod, cu privire la scopul
Medicină și Farmacie prelucrării, fiind afectate persoane vizate - angajați ai UMFCD ale căror date au
”Carol Davila” din fost postate pe site-ul universității și a prelucrat date cu caracter personal cu
51. București 26.09.2018 încălcarea art. 6 din RGPD referitor la legalitatea prelucrării;

2. Instruirea angajaților asupra riscurilor și consecințele pe care le

implică divulgarea datelor personale.

Amendă - în cuantum de 9000 Euro, pentru încălcarea principiilor de bază

pentru prelucrare, inclusiv condițiile privind consimțământul în conformitate cu
art. 5, alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din RGPD, întrucât
operatorul nu a putut face dovada obținerii consimțământului explicit, pentru un
număr de mare de utilizatori cărora le-a prelucrat datele cu caracter personal, pe
o perioadă de 15 luni. De asemenea operatorul a prelucrat date cu caracter
52. Inteligo Media SA 26.09.2019 personal pentru acești utilizatori în baza unui temei legal neadecvat scopului
prelucrării în cauză, respectiv a colectat datele personale ale utilizatorilor
respectivi într-un mod nelegal și netransparent față de persoana vizată, ulterior
fiind prelucrate într-un mod incompatibil cu scopul în care au fost colectate
inițial.

Avertisment- prentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit.

a) din Legea nr. 506/2004, deoarece operatorul nu a luat măsuri tehnice și
organizatorice adecvate în vederea asigurării securității prelucrării datelor cu
caracter personal, ceea ce a condus la transmiterea eronată a unor e-mail-uri
Telekom România
53. 26.09.2019 conținând link-urile aferente facturilor unor clienți, către alți clienți decât titularii
Communications SA facturilor, precum și la accesarea și divulgarea ilicită a unor date cu caracter
personal ale clienților Telekom România.

1. Avertisment - pentru încălcarea art. 32 alin. 1 lit. b) coroborat cu art. 32

alin.(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și
organizatorice adecvate, în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării prin transmiterea, la o anumită dată, a unor
date aferente unor polițe de asigurare locuință emise de către Allianz- Țiriac
Amsterdam Broker Asigurări SA, la solicitarea ING Bank (mandatar al clienților), în urma unei
de Asigurare SRL prelucrări manuale efectuate, prin înlocuirea eronată a unor adrese de e-mail
54. 12.09.2019 aferente clienților asigurați, fiind afectate de incident persoane vizate, aspect ce
a constituit încălcarea confidențialității datelor cu caracter personal;

2. Instruirea angajaților asupra riscurilor și consecințele pe care le

implică divulgarea datelor personale.

55. 13.09.2019 Revizuirea şi actualizarea măsurilor tehnice şi organizatorice

România
implementate, astfel încât să fie evitate incidente similare de dezvăluire
Hypermarche SA neautorizată a datelor cu caracter personal prelucrate, prin implementarea unei
proceduri specifice la nivelul operatorului.