Sunteți pe pagina 1din 13

În perioada 1.06.2019-30.09.2019, în cadrul investigațiilor efectuate, au fost dispuse unele măsuri corective în sarcina operatorilor, astfel:

   

Data

 

Nr.

constatării

crt.

OPERATOR

încălcării

DESCRIERE MASURA CORECTIVĂ

     

Avertisment - pentru încălcarea art. 32 alin. 1 lit. b) și d) raportat la art. 32 alin.(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor

1.

Vola.RO SRL

4.06.2019

fizice, prin transmiterea unei serii de e-mailuri destinate unui client al societății către mai mulți destinatari, aspect ce a dus la divulgarea neautorizată a acestor date către persoane neautorizate și compromiterea confidențialității.

 

Sam Development

 

Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) raportat la art. 32 alin.(4) și art. 33 alin. (1) din RGPD întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, prin transmiterea prin e-mail în data de la o anumită dată către o persoană neautorizată a datelor cu caracter personal ale angajaților societății SAM DEVELOPMENT INVESTMENT & CONSTRUCTIONS SRL prelucrate prin Revisal, ceea ce a condus la divulgarea neautorizată a acestor date către

2.

Investment & Constructions SRL

5.06.2019

persoane neautorizate și compromiterea confidențialității.

De asemenea, s-a constatat că SAM DEVELOPMENT INVESTMENT & CONSTRUCTIONS SRL a încălcat prevederile art. 33 alin. (1) din RGPD, notificând tardiv și lacunar ANSPDCP despre încălcarea securității datelor cu caracter personal.

 

Sam Urbanic

 

Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) raportat la art. 32 alin.(4) și art. 33 alin. (1) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, prin transmiterea prin e-mail către o persoană neautorizată a datelor cu caracter personal ale angajaților societății SAM URBANIC CONSTRUCT SRL prelucrate prin Revisal, ceea ce a condus la divulgarea neautorizată a

3.

Construct SRL

5.06.2019

acestor date către persoane neautorizate și compromiterea confidențialității.

De asemenea, s-a constatat că SAM URBANIC CONSTRUCT SRL a încălcat prevederile art. 33 alin. (1) din RGPD, întrucât nu a respectat termenul de 72 de ore de la data la care a luat la cunoștință de incidentul produs și notificarea nu a fost însoțită de o explicație motivată pentru întârziere, notificând tardiv ANSPDCP despre încălcarea securității datelor cu caracter personal.

     

1. Avertisment - pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu

4.

Altex România SRL

5.06.2019

art. 7 din O.G. nr. 2/2001 privind regimul juridic al contravenţiilor, întrucât Altex România SRL a transmis unui petent mesaje comerciale promoționale nesolicitate prin email, fără a dovedi existența consimțământului expres prealabil al acestuia, încălcându-se astfel prevederile art. 12 din Legea nr. 506/2004

     

referitoare la comunicările nesolicitate;

 

2. S-a recomandat societății să reanalizeze și să nu mai transmită mesaje comerciale prin mijloace de comunicare electronică în cazurile în care nu poate face dovada obținerii consimțământului expres prealabil al clienților pentru a primi asemenea comunicări, conform prevederilor art. 12 din Legea nr.

506/2004.

 
     

Avertisment -pentru săvârşirea contravenţiei prevăzută la art. 13, alin. 1 lit. a) din Legea nr. 506/2004, întrucât operatorul nu a luat suficiente măsuri tehnice şi organizatorice adecvate în vederea garantării că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege, ceea

5.

Vodafone România

6.06.2019

ce a condus la faptul că datele cu caracter personal cuprinse în facturile detaliate a uor abonați Vodafone România SA, persoane fizice, au fost vizualizate de angajați cu drept de accesare într-o aplicatie specifica deținută de operator, în scop neautorizat, în mod individual și în scop personal, cu depășirea atribuțiilor din fișa postului.

6.

Centrul Medical

12.06.2019

 

Unirea SRL

1.

Să ia măsurile tehnice și organizatorice necesare astfel încât, pe

viitor, să fie evitate situații de prelucrare a unor date cu caracter personal inexacte, urmând să fie respectate art. 5 alin. (1) lit. d) din Regulamentul (UE) 679/2016.

7.

Orange Romania SA

12.06.2019

Să comunice un răspuns complet la cererea petentei, care să conțină toate informațiile solicitate de petentă, potrivit art. 15 din RGPD.

 

SC RD Office Solutions SRL

 

1. Să ia măsurile necesare astfel încât, pe viitor, să fie evitate prelucrările nelegale ale datelor cu caracter personal, fără existența unui temei legal clar determinat, cu respectarea principiilor și a condițiilor de legalitate prevăzute de RGPD;

8.

12.06.2019

2.

Să dea curs solicitării petentului și să îi transmită un răspuns

petentului la cererea sa prin care și-a exercitat dreptul de ștergere a datelor cu caracter personal.

 

Dante International SA

 

1. Să ia toate măsurile de securitate tehnice și organizatorice necesare, astfel încât să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea datelor, în scopul prevenirii accesului neautorizat la datele cu caracter personal pe care le prelucrează;

9.

13.06. 2019

2.Să ia toate măsurile necesare asigurării securității conturilor create pe platforma e-Mag și implicit a datelor cu caracter personal aferente clienților săi,

3.

respecte

Procedura

de

lucru

Customer

Care

Identificarea

     

clientului persoană fizică;

4.

Să instruiască operatorii telefonici în legătură cu respectarea Procedurii.

     

Efectuarea unei evaluări a riscurilor incidente prelucrărilor preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018, și punerea în aplicare de măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, în vederea menţinerii securităţii şi a prevenirii prelucrărilor care

10.

IPJ Dambovita

18.06.2019

încalcă Legea nr. 363/2018, cum ar fi criptarea dispozitivelor mobile cu spațiu de stocare.

11.

Directia pentru Evidenta Persoanelor si Administrarea Bazelor de Date (DPABD)

18.06.2019

1.Punerea în aplicare a unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, în vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă RGPD, pentru a identifica accesările neautorizate;

2.

Instruirea personalului cu priviri la măsurile luate de operator, astfel

 

ca utilizatorii să aibă acces numai la datele cu caracter personal pentru îndeplinirea atribuțiilor de serviciu.

     

1. Avertisment- pentru încălcarea art. 12 alin. (1), (3) și (4) din Regulamentul (UE) 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 14 alin. (11), art. 15 alin. (1) și (3) și art. 16 alin. (5) din Legea nr. 102/2005, republicată, precum și cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, coroborat cu art. 7 din O.G. nr. 2/2001, deoarece nu a făcut dovada că a comunicat un răspuns referitor la cererile prin care petenții și-au exercitat dreptul la ștergerea datelor și dreptul de opoziție;

S.C. Easy Asset

12.

Management IFN S.A.

19.06.2019

2. Să întocmească și să transmită autorităţii de supraveghere o procedură distinctă, clară și completă, referitoare la modalitatea concretă de exercitare a drepturilor persoanelor vizate, precum și informații referitoare la aducerea ei la cunoștința acestora, în temeiul art. 58 alin. (2) lit. c) și d) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (3) și art. 16 alin. (5) din Legea nr. 102/2005, republicată, raportat la art. 12 alin. (1), (3) și (4) din Regulamentul (UE) 679/2016, pentru fapta prevăzută de art. 83 alin. (5) lit. b) din RGPD.

     

1.Avertisment -pentru încălcarea art. 12 din RGPD, deoarece Asociația de Proprietari Bl. 35 a transmis un răspuns petentului cu depășirea termenului prevăzut în art. 12 alin. (3) din RGPD;

13.

Asociația de Proprietari Bl. 35,

Municipiul Bucuresti

20.06.2019

2.Să furnizeze persoanelor vizate informaţii privind acţiunile întreprinse în urma unor cereri în temeiul articolelor 15-22, fără întârzieri nejustificate.

14.

SC Rovigo SRL

25.06.2019

Să comunice un răspuns complet la cererea petentei prin care aceasta și-a exercitat dreptul de ștergere.

     

Amendă -în cuantum de 130.000 Euro pentru încălcarea art. 25 alin. (1) din RGPD coroborat cu art. 5 alin. 1 lit. c) din RGPD, deoarece operatorul nu a pus în aplicare măsuri tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate, ceea ce a condus la dezvăluirea în documentele ce conțin detaliile tranzacțiilor și care sunt puse on-

15.

Unicredit Bank

27.06.2019

line la dispoziția clienților beneficiari ai plăților într-o anumită perioadă, a datelor privind CNP-ul și adresa persoanei care a efectuat plata/plătitorului, respectiv a datelor privind adresa plătitorului, pentru un număr de mare persoane vizate, deși, potrivit art. 5 alin. 1 lit. c) din RGPD, avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

     

1.

Avertisment -pentru încălcarea art. 12 alin. (3) și art. 15 din Regulamentul

(UE) 679/2016, întrucât nu a facut dovada că a transmis, până la data procesului verbal, un răspuns complet adresat petentului, la cererea sa transmisă prin e-

mail, prin care și-a exercitat dreptul de acces;

2.

Să transmită un răspuns complet petentului, la cererea sa transmisă

16.

Dante Internațional SA

1.07.2019

prin e-mail, prin care și-a exercitat dreptul de acces, prevăzut de art. 15 din

Regulamentul (UE) 679/2016;

 

3. Să ia măsuri astfel încât să fie respectate, în toate cazurile, prevederile art. 12 din Regulamentul (UE) 679/2016.

17.

   

1.

Amendă - în cuantum de 15.000 Euro pentru încălcarea art. 32 alin. (4)

raportat la art. 32 alin. (1) și alin. (2) din RGPD, deoarece operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, ceea ce a condus la accesul neautorizat la datele cu caracter personal ale unui număr mare de clienți, printate pe suport de

World Trade Center

2.07.2019

hârtie din aplicația hotelieră a operatorului, și divulgarea neautorizată a acestor date, în mediul on-line.

2. Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmarea a evaluării privind riscul pentru drepturile și libertățile persoanelor, revizuirea procedurilor de lucru referitoare la protecția datelor cu caracter personal.

     

1.

Avertisment - în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE)

679/2016, coroborat cu art. 12 alin. (1), (4) și art. 14 alin. 5 lit. e) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr.

18.

A-Car Vaslui

2.07.2019

102/2005, republicată, raportat la art. 58 alin. (1) lit. a) și lit. e) din RGPD nr. 679/2016, întrucât operatorul nu a furnizat informaţiile solicitate de ANSPDCP prin adresele transmise.

2.

Plan de remediere - Furnizarea tuturor informațiilor conform celor solicitate

     

de ANSPDCP.

     

1.Avertisment - pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și lit. e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, deoarece nu a furnizat nicio informaţie solicitată de ANSPDCP;

Globus Score SRL

19.

(fosta Instrumental Theory SRL)

4.07.2019

2. Să transmită autorităţii de supraveghere răspuns complet la adresele transmise, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (3) și art. 16 alin. (5) din Legea nr. 102/2005, republicată;.

20.

   

Amendă - în cuantum de 3.000 Euro, pentru încălcarea art. 32 alin. (1) și alin. (2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării, ceea ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale persoanelor care au

Legal Company & Tax Hub SRL

5.07.2019

efectuat tranzacții recepționate de site-ul avocatoo.ro, documente accesibile publicului pe aceste site, timp de aproape doua luni, deși avea aceasta obligație potrivit art. 5 alin. (1) lit. f din RGPD.

21.

   

Luarea măsurilor necesare pentru prelucrarea datelor personale cu consimțământul expres al persoanelor vizate în conformitate cu art. 6 și 7 din RGPD în cazul transmiterii de mesaje prin mijloace de comunicare

Asociația Prietenii lui Adrian

5.07.2019

electronică, întrucât Asociația i-a transmis, un email nesolicitat unui petent, de pe office@aspla.ro, pe adresa sa personală de email, fără să dovedească obținerea în prealabil a consimțământului expres și neechivoc al acestuia pentru prelucrarea datelor cu caracter personal (adresa de e-mail), încălcându-se astfel prevederile art. 6 și 7 din RGPD;

     

1. Avertisment - în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât Asociația de Proprietari Confort Park 1A:

Asociația de Proprietari Confort Park 1A,

a instalat un sistem de supraveghere video în incinta imobilului pe care îl administrează fără să facă dovada realizării informării persoanelor vizate încălcându-se prevederile art. 13 din Regulament;

-

22.

5.07.2019

-

nu a facut dovada asigurării confidențialității datelor cu caracter personal ale

Municipiul Bucuresti

persoanelor ale căror date au fost afișate la avizier, astfel încât au fost dezvaluite numele și prenumele la avizierul asociației, fără consimțământul acestor persoane și fără existența unei alte situații în care consimțământul nu este necesar, încălcându-se prevederile art. 5 alin. (1) lit. b) și c) și art. 6 alin. (1) lit. a) din RGPD;

-

solicită proprietarilor date personale excesive și copii după diverse documente,

în vederea completării cărţii de imobil, încălcându-se prevederile art. 5 alin. (1)

lit. a) și c) din RGPD.

2. Să ia măsurile necesare astfel încât, pe viitor, datele cu caracter

     

personal să nu fie utilizate și dezvăluite cu încălcarea principiilor de prelucrare a datelor, respectându-se principiul limitării legate de scop și reducerea la minimum a datelor;

3.

Să realizeze informarea persoanelor vizate prin completarea afișelor de

avertizare cu informațiile prevăzute de art. 13.

 

Primăria Orașului

 

1. Avertisment - pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și lit. e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat informaţiile solicitate de ANSPDCP, prin adresele transmise;

23.

Ovidiu,

8.07.2019

Județul Constanța

2.Transmiterea către ANSPDCP a unui răspuns instituției.

complet la adresele

     

1.Avertisment - pentru încălcarea prevederilor art. 12 din RGPD, întrucât operatorul nu a dat curs, în temen, solicitării petentului, prin care acesta și-a exercitat dreptul de ștergere a unor date cu caracter personal.

2. Să furnizeze persoanelor vizate informaţii privind acţiunile

24.

Credit Europe Bank

08.07.2019

întreprinse în urma unor cereri în temeiul articolelor 15-22, fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor.

     

1.Avertisment - pentru încălcarea art. 21 din Regulamentul (UE) 679/2016, deoarece nu a luat în considerare opțiunea petentului de a-i fi dezactivată din baza de date adresa sa de e-mail pentru mesaje de tipul chestinarelor de satisfacție, opțiune adusă la cunoștința operatorului printr-o solicitare, astfel

25.

Dante Internațional SA

10.07.2019

încât la doua luni mai tarziu a primit un alt mesaj de acest tip.

2. Să ia măsuri astfel încât să fie respectate, în toate cazurile, prevederile art. 21 din RGPD, inclusiv în cazul petentului.

     

1.

Amendă - în cuantum de 1000 E, pentru încălcarea art. 12 din RGPD,

deoarece operatorul nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realizează începând din anul 2016, deși avea obligația de a lua măsuri adecvate pentru a furniza persoanelor vizate orice informații menționate la art. 13 – 14 și orice comunicări

26.

Uttis Industries

10.07.2019

în temeiul art. 15 – 22 și art. 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil;

2. Amendă în cuantum de 1500 E, pentru încălcarea art. 5 alin. (1) lit. c) din RGPD, deoarece prelucrarea/dezvăluirea CNP-ului angajaților prin afișarea unui referat la avizier, nu era adecvată, relevantă și limitată în raport cu scopul în care acesta era prelucrat, respectiv preîntâmpinarea oricărui accident de muncă. To todată operatorul nu a putut face dovada legalității prelucrării CNP - ului, prin

     

dezvăluire la avizier, potrivit art. 6 RGPD;

 

3. Realizarea informării persoanelor vizate potrivit art. 12 din RGPD, haracter prin combinarea cu pictograme standardizate în spațiile/locurile monitorizate video, poziționate la o distanță rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, pentru a oferi într-un mod vizibil, inteligibil și clar, lizibil o imagine de ansamblu semnificativă asupra prelucrării prin intermediul sistemului de supraveghere video;

4.Revizuirea

şi

actualizarea

măsurilor

tehnice

şi

organizatorice

implementate.

 
     

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD întrucât nu a furnizat toate informațiile solicitate de ANSPDCP, în exercitarea competențelor sale de investigare, prin adresele transmise, cu privire la comunicarea unui răspuns la cererea unor petenți;

Asociația de Proprietari Bloc 713

2.

Comunicarea unui răspuns la cererea petenților;

 

27.

Municipiul Bucuresti

18.07.2019

3. Să întocmească o procedură referitoare la gestionarea cererilor persoanelor vizate prin care acestea își pot exercita drepturile prevăzute de Regulamentul (UE) 679/2016, cu aducerea acesteia la cunoștința persoanelor vizate, conform prevederilor art. 12 din Regulamentul (UE) 679/2016.

 

Spitalul Clinic

   

28.

Județean De Urgență “Sf. Apostol Andrei” Constanța

23.07.2019

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, ca urmarea a evaluării privind riscul pentru drepturile și

libertățile persoanelor, prin stabilirea și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD.

29.

Grupul de Presă SC Medianet SRL

23.07. 2019

Să reanalizeze cererea petentului și să îl informeze în legătură cu măsurile adoptate în conformitate cu prevederile art. 12 din RGPD .

     

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel

30.

Gothaer Asigurări

Reasigurări SA

24.07.2019

încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu caracter personal prelucrate.

31.

Nicola Medical Team 17 S.R.L.

24.07.2019

1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD deoarece nu a furnizat informaţiile solicitate de ANSPDCP, în exercitarea competențelor sale de investigare, prin adresele transmise;

2.

Să transmită către ANSPDCP toate informațiile solicitate, referitor la

conformitatea operațiunilor de prelucrare efectuate în calitate de operator de date.

32.

Deichmann

 

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel

Comercializare

31.07.2019

Încălțăminte SRL

încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu caracter personal prelucrate.

 

Asociația de Proprietari bl. B29,

 

1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, raportat la art. 58

33.

Municipiul București

31.07.

2019

alin. (1) lit. a) și lit. e) din RGPD întrucât nu a furnizat nicio informaţie solicitată de ANSPDCP prin adresele transmise;

 

2. Să transmită ANSPDCP răspuns complet la adresele instituției.

     

1. Avertisment - pentru încălcarea art. 6 și 7 din RGPD, în temeiul art. 58 alin. (2) lit. b) din RGPD, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, coroborat cu art. 7 din O.G. nr. 2/2001, întrucât nu a putut face dovada obținerii consimțământului prealabil al persoanelor vizate, inclusiv al petentului, pentru prelucrarea adreselor lor de e-mail, colectate de pe internet, în scopul transmiterii de mesaje comerciale.

Olarian Augustin

2.

Să nu mai prelucreze datele cu caracter personal ale petentului,

respectiv numele și prenumele său și adresa sa de e-mail,

fără respectarea

art.

6 și

7 din RGPD;

34.

(deținător al

31.07.2019

3. Să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică, în temeiul art. 58 alin. (2) lit. d) din RGPD, corelat cu art. 12 alin. (4) din Legea nr. 190/2018, art. 14 alin. (11) , art. 15 alin. (3) și art. 16 alin. (5) din Legea nr. 102/2005, republicată, raportat la art. 12 alin. (1), (3) și (4) din RGPD. Se recomandă în acest sens utilizarea metodei” dublu opt-in” pentru colectarea adreselor de e-mail.

domeniului

olarian.ro)

35.

Telekom România Mobile Communications S.A.

 

1.

Să comunice un răspuns complet la cererea petentei, în ceea ce

31.07.

2019

privește solicitarea de ștergere a datelor acesteia.

 

36.

SC Graftex Prodcom SRL -

 

1.Avertisment - prentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 7 din OG 2/2001 întrucât Graftex Prodcom SRL nu a facut dovada existenței acordului petentului pentru comunicarea de mesaje comerciale nesolicitate, încălcându-se astfel prevederile art. 12 din Legea nr. 506/2004 referitoare la

31.07.

2019

comunicările nesolicitate;

 

2.

Luarea măsurilor necesare respectării prevederilor art. 12 din Legea

nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al utilizatorilor

numerelor de telefon.

 

Orange Romania SA

 

1.

Să comunice petentului, în conformitate cu prevederile art. 15 din RGPD,

37.

31.07.

2019

un răspuns la cererea sa.

     

1.

Avertisment - pentru încălcarea art. 12 alin. (1), (3) și (4) din Regulamentul

(UE) 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 14 alin. (11), art. 15 alin. (1) și (3) și art. 16 alin. (5)

S.C. UniCredit

38.

Consumer Financing IFN S.A

7.08.2019

din Legea nr. 102/2005, republicată, precum și cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, coroborat cu art. 7 din O.G. nr. 2/2001, deoarece nu a făcut

dovada comunicării, către petent, a unui răspuns referitor la cererile primite, prin care acesta și-a exercitat dreptul la ștergerea datelor;

2.

Să ia măsuri astfel încât să fie respectate, în toate cazurile,

prevederile art. 12 din Regulamentul (UE) 679/2016.

     

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din Regulamentul (UE) 679/2016 deoarece nu a furnizat informaţiile solicitate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în exercitarea competențelor sale de investigare, prin adresele

39.

Modern Barber S.R.L.

7.08.2019

transmise;

2.

Să transmită ANSPDCP toate informațiile solicitate prin adresele

transmise, cu privire la aspectele semnalate de petent.

40.

Dumitru N. Mihai

8.08.2019

Să transmită ANSPDCP răspuns complet la adresa transmisă, în conformitate cu prevederile art. 58 din RGPD.

     

1.

Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în

41.

Asociația de Proprietari Speranța bl. D3 Municipiul Oradea, Județul Bihor

temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat nicio informaţie solicitată de ANSPDCP, în exercitarea atribuțiilor sale de

8.08.2019

investigare;

2.Să transmită ANSPDCP răspuns complet la adresa instituției.

42.

   

1.

Avertisment, pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în

Asociația de Proprietari Militari R

8.08.2019

temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat nicio informaţie solicitată de ANSPDCP, în exercitarea atribuțiilor sale de

 

Comuna Chiajna,

 

investigare;

jud. Ilfov

2.

Să transmită ANSPDCP răspuns complet la adresa instituției, în termen

de 5 zile lucrătoare de la data procesului verbal.

43.

Cumpata Dent SRL

8.08.2019

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD 679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat nicio informaţie solicitată de ANSPDCP, în exercitarea atribuțiilor sale de investigare;

2. Să transmită ANSPDCP răspuns complet la adresa instituției.

     

1. Să ia măsurile necesare astfel încât, pe viitor, datele cu caracter

personal să fie prelucrate numai cu consimțământul expres și

44.

Banca Transilvania S.A.

13.08.2019

neechivoc al persoanei vizate, întrucât operatorul nu a facut dovada obținerii consimțământului petentei pentru prelucrarea datelor cu caracter personal, încălcându-se prevederile art. 6 și art. 7 din RGPD.

     

1.Avertisment - pentru încălcarea art. 12 din RGPD întrucât Banca Comercială Română S.A. nu a dat curs cererii petentei.

Banca Comercială

Română S.A.

2.

S-a recomandat Băncii Comerciale Române să dea curs cererii

45.

13.08.2019

petentei, având în vedere solicitarea acesteia de a i se comunica răspunsul la

cererea sa.

 

Termocasa Ambient SRL

13.08.2019

1.

Să ia măsurile necesare, cu respectarea art. 5 și art. 6 din RGPD, astfel

46.

încât, pe viitor, să fie evitate prelucrările nelegale ale datelor cu caracter personal, prin dezvăluirea lor fără consimțământul persoanei vizate.

     

1.

Avertisment - pentru încălcarea art. 12 și 15 din Regulamentul (UE)

Municipiul Iași,

679/2016, în temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 13, art. 14 alin.

reprezentat prin

Primar ,

13.08.2019

(11) din Legea nr. 102/2005, republicată, întrucât nu a facut dovada că i-a

47.

Județul

comunicat un răspuns petentului la cererea acestuia, prin care și-a exercitat dreptul de acces față de Primăria Iași cu privire la dezvăluirea datelor sale personale, potrivit art. 15 din RGPD nr. 679/2016;

Iași

2.

Să comunice un răspuns complet la cererea petentului;

     

3.

Pe viitor, să ia măsurile necesare pentru respectarea drepturilor

persoanelor vizate prevăzute în RGPD.

 

Asociaţia de Proprietari nr. 505

 

1.

Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din RGPD, în

temeiul art. 58 alin. (2) lit. b) din Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1),

Municipiul Reșița

(3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată, întrucât nu a furnizat

48.

21.08.2019

nicio informaţie solicitată de ANSPDCP, prin adresa transmisă;

Județul Caraș-

Severin

2. Transmiterea către ANSPDCP a unui răspuns la adresa instituției.

     

1.Amendă - în cuantum de 10.000 lei pentru contravenția prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004, coroborat cu art. 13 alin. (5) din Legea nr. 506/2004 și cu art. 7 din OG 2/2001, deoarece operatorul nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc al petentului pentru transmiterea de mesaje comerciale pe adresa sa de email la o anumită

49.

28.08.2019

 

dată;

Societatea Artmark Holding SRL

2.Să ia măsurile necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor.

     

1.

Avertisment - pentru încălcarea art. 5 alin. (1) lit. a), c), f) și alin. (2) din

Regulamentul (UE) 679/2016 întrucât nu a respectat principiul reducerii la

minimum a datelor care pot fi transmise către alte entități și principiul integrității

și

confidențialității;

2.

Avertisment - pentru încălcarea art. 32 alin. (1) lit. b) și alin. (2), precum și

ale art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679,

întrucât nu a prezentat dovezi, până la data procesului-verbal, din care să rezulte că a respectat prevederile art. 32 alin. (1) lit. b) și alin. (2), precum și ale art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679, cu privire la adoptarea unor măsuri tehnice şi organizatorice adecvate de securitate

Direcția Regională a Finanțelor Publice Ploiești

a

datelor personale prelucrate de operator, de structurile sale subordonate și de

orice persoană care acționează sub autoritatea sa, astfel încât să se asigure confidențialitatea datelor personale prelucrate în toate operațiunile de prelucrare

50.

4.09.2019

și

evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora;

Municipiul Ploiești, județul Prahova

3.

Analizarea situațiilor existente și stabilirea măsurilor necesare în

cazul transmiterii/dezvăluirii datelor cu caracter personal ale persoanelor vizate ale căror date sunt prelucrate de către Direcția Generală Regională a Finanțelor Publice Ploiești în calitate de operator de date personale (inclusiv de către structurile sale subordonate), astfel încât să se asigure respectarea cu responsabilitate a tuturor principiilor de prelucrare a datelor personale, în special, cel al legalității, echității și transparenței, reducerii la minimum a datelor, integrității și confidențialității;

4.

Stabilirea de măsuri tehnice și organizatorice adecvate, necesare

asigurării securității datelor cu caracter personal prelucrate de către Direcția Generală Regională a Finanțelor Publice Ploiești în calitate de operator de date

personale (inclusiv de către structurile sale subordonate), astfel încât să se asigure confidențialitatea datelor personale prelucrate în toate operațiunile de

     

prelucrare și evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora.

 

Universitatea de Medicină și Farmacie ”Carol Davila” din

 

1. Avertisment - pentru încălcarea art. 5 alin. 1 lit. a) din RGPD și art. 6 din RGPD, deoarece operatorul nu a informat persoanele vizate ale căror date le-a prelucrat prin postarea/publicarea/afișarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice mod, cu privire la scopul prelucrării, fiind afectate persoane vizate - angajați ai UMFCD ale căror date au fost postate pe site-ul universității și a prelucrat date cu caracter personal cu

51.

București

26.09.2018

încălcarea art. 6 din RGPD referitor la legalitatea prelucrării;

2.

Instruirea angajaților asupra riscurilor și consecințele pe care le

implică divulgarea datelor personale.

     

Amendă - în cuantum de 9000 Euro, pentru încălcarea principiilor de bază pentru prelucrare, inclusiv condițiile privind consimțământul în conformitate cu art. 5, alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din RGPD, întrucât operatorul nu a putut face dovada obținerii consimțământului explicit, pentru un număr de mare de utilizatori cărora le-a prelucrat datele cu caracter personal, pe o perioadă de 15 luni. De asemenea operatorul a prelucrat date cu caracter

52.

Inteligo Media SA

26.09.2019

personal pentru acești utilizatori în baza unui temei legal neadecvat scopului prelucrării în cauză, respectiv a colectat datele personale ale utilizatorilor respectivi într-un mod nelegal și netransparent față de persoana vizată, ulterior fiind prelucrate într-un mod incompatibil cu scopul în care au fost colectate inițial.

     

Avertisment- prentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004, deoarece operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, ceea ce a condus la transmiterea eronată a unor e-mail-uri

53.

Telekom România Communications SA

26.09.2019

conținând link-urile aferente facturilor unor clienți, către alți clienți decât titularii facturilor, precum și la accesarea și divulgarea ilicită a unor date cu caracter personal ale clienților Telekom România.

 

Amsterdam Broker de Asigurare SRL

 

1. Avertisment - pentru încălcarea art. 32 alin. 1 lit. b) coroborat cu art. 32 alin.(2) din RGPD, întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării prin transmiterea, la o anumită dată, a unor date aferente unor polițe de asigurare locuință emise de către Allianz- Țiriac Asigurări SA, la solicitarea ING Bank (mandatar al clienților), în urma unei prelucrări manuale efectuate, prin înlocuirea eronată a unor adrese de e-mail

54.

12.09.2019

aferente clienților asigurați, fiind afectate de incident persoane vizate, aspect ce a constituit încălcarea confidențialității datelor cu caracter personal;

2.

Instruirea angajaților asupra riscurilor și consecințele pe care le

implică divulgarea datelor personale.

55.

România

13.09.2019

Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, astfel încât să fie evitate incidente similare de dezvăluire

Hypermarche SA neautorizată a datelor cu caracter personal prelucrate, prin implementarea unei proceduri specifice la

Hypermarche SA

Hypermarche SA neautorizată a datelor cu caracter personal prelucrate, prin implementarea unei proceduri specifice la

neautorizată a datelor cu caracter personal prelucrate, prin implementarea unei proceduri specifice la nivelul operatorului.