Comunicat de Presă
În perioada septembrie - octombrie 2016, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a desfăşurat mai multe investigaţii din oficiu sau pe baza plângerilor şi sesizărilor primite, în urma cărora a aplicat sancţiuni contravenţionale.
Dintre acestea, prezentăm în continuare situaţii în care s-au aplicat amenzi contravenţionale de minim 5000 lei.
1. ERB Retail Services IFN S.A.
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât ERB RETAIL SERVICES IFN S.A. a transmis date negative la Biroul de Credit SA, fără realizarea informării prealabile a unor persoane fizice, cu nerespectarea art. 8 și art. 9 din Decizia ANSPDCP nr. 105/2007 și art. 12 alin. (1) din Legea nr. 677/2001.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, cu nesocotirea dreptului prevăzut de art. 14 alin. (1) și (3) din Legea nr. 677/2001, întrucât SC ERB Retail Services IFN SA nu a dat curs cererii mai multor persoane fizice, prin care acestea și-au exercitat dreptul de intervenție în sensul de ștergere a datelor negative transmise la Biroul de Credit fără informarea lor prealabilă.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 7.000 lei.
2. Credit Europe Bank SA
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât CREDIT EUROPE BANK (ROMANIA) S.A. a transmis date negative la Biroul de Credit SA, în cazul mai multor persoane fizice, fără a efectua informarea prealabilă a acestora.
- Prelucrarea nelegală a datelor cu caracter, personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât CREDIT EUROPE BANK (ROMANIA) S.A., în cazul mai multor persoane fizice, a transmis de mai multe ori în aceeaşi lună date negative la Biroul de Credit, pentru aceeași restanță fără a se respecta termenul de 30 de zile de la data scadenței, contrar dispozițiilor art. 5 alin. (1) din Decizia ANSPDCP 105/2007, prin încălcarea prevederilor art. 4 alin. (1) lit. a) și c) din Legea nr. 677/2001.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 23.000 lei.
3. Essy Asset Management
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Easy Asset Management IFN S.A. a transmis date negative ale mai multor persoane fizice la Biroul de Credit, fără să facă dovada informării prealabile a acestora, cu încălcarea prevederilor art. 8 alin. (2) din Decizia ANSPDCP nr. 105/2007, art. 9 alin.(1) din Decizia ANSPDCP nr. 105/2007 și art. 12 alin. (1) din Legea nr. 677/2001, coroborat cu art. 12 din Decizia ANSPDCP nr. 105/2007.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Easy Asset Management IFN S.A., în cazul mai multor persoane fizice, a transmis date negative ale acestora la Biroul de Credit, înainte de împlinirea termenului de 30 de zile de la data scadenței, contrar prevederilor art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007, cu încălcarea art. 4 alin. (1) lit. a) și lit. c) din Legea nr. 677/2001, coroborat cu art. 12 din Decizia ANSPDCP nr. 105/2007.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 25.000 lei.
4. Unicredit Consumer Financing IFN
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât UniCredit Consumer Financing IFN SA a transmis date negative ale mai multor persoane fizice la Biroul de Credit, fără să facă dovada realizării informării prealabile a acestora, cu încălcarea prevederilor art. 8 alin. (2) şi art. 9 alin.(1), art. 12 din Decizia ANSPDCP nr. 105/2007, coroborate cu art. 12 alin. (1) din Legea nr. 677/2001. În cazul unor persoane fizice transmiterea acestor date negative la Biroul de Credit s-a efectuat fără respectarea termenul de 30 de zile de la data scadentei, precum şi cu transmiterea de mai multe ori în aceeaşi lună de date negative la Biroul de Credit, contrar prevederilor art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007şi cu încălcarea art. 4 alin. (1) lit. a) și lit. c) din Legea nr. 677/2001.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât UniCredit Consumer Financing IFN SA, în cazul mai multor persoane fizice, la care s-au transmis SMS-uri de înştiinţare a restanţelor, nu a transmis şi informațiile prevăzute de art.12 alin. (1) din Legea 677/2001, coroborate cu prevederile art. 9 alin. (1) din Decizia ANSPDC nr. 105/2007.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 25.000 lei.
5. SC Bancpost SA
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, contravenţie prevăzută de art. 32 din Legea nr. 677/2001, întrucât Bancpost SA, în cazul mai multor persoane fizice, a transmis date negative la Biroul de Credit SA, fără a realiza informarea prealabilă a persoanelor vizate, încălcând astfel dispozițiile art. 8 alin. (2), art. 9 alin. (1) din Decizia nr. 105/2007 şi art. 12 din Legea nr. 677/2001. De asemenea, s-au transmis date negative fără respectarea termenului de 30 de zile de la data scadenţei, contrar dispoziţiilor art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007 şi art. 4 lit. a) şi c) din Legea nr. 677/2001.
Pentru aceste fapte s-au aplicat amendă contravențională în cuantum total de 20.000 lei.
6. Garanti Bank SA
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, contravenţie prevăzută de art. 32 din Legea nr. 677/2001, întrucât Garanti Bank SA, în cazul mai multor persoane fizice, a transmis date negative la Biroul de Credit SA, fără a realiza informarea prealabilă a persoanelor vizate, contrar dispozițiilor art. 8 alin. (2), art. 9 alin. (1) din Decizia nr. 105/2007 şi art. 12 din Legea nr. 677/2001. De asemenea, s-au transmis date negative fără respectarea termenului de 30 de zile de la data scadenţei, contrar dispoziţiilor art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007 şi art. 4 lit. a) şi c) din Legea nr. 677/2001.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 20.000 lei.
7. Unicredit Bank SA
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Unicredit Bank SA a transmis datele negative ale mai multor persoane fizice la Biroul de Credit, fără să le furnizeze în prealabil informaţiile prevăzute de art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007 și art. 12 alin. (1) din Legea nr. 677/2001.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Unicredit Bank SA a transmis date negative la Biroul de Credit, în cazul mai multor persoane fizice, înainte de împlinirea termenului de 30 de zile de la data scadenței, contrar prevederilor art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007, cu încălcarea art. 4 alin. (1) lit. a) și lit. c) din Legea nr. 677/2001.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 9.000 lei.
8. SC RCS & RDS SA
S-a constatat săvârşirea următoarelor fapte:
- Neîndeplinirea obligației de asigurare a securității prelucrărilor de date cu caracter personal, prevăzute la art. 3 din Legea nr. 506/2004, precum și neîndeplinirea obligației de notificare a ANSPDCP prevăzute la art. 3 alin. (6) din Legea nr. 506/2004
Astfel, s-a constatat că SC RCS & RDS SA nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal și al unui nivel de securitate proporțional cu riscul existent, care să garanteze că datele cu caracter personal ale titularilor contractelor încheiate cu SC RCS & RDS SA pot fi accesate numai de persoane autorizate, inclusiv pentru a preîntâmpina crearea și/sau accesarea unui cont de utilizator de către o altă persoană decât titularul contului.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, cu nesocotirea dreptului de intervenție, întrucât SC RCS & RDS SA nu a transmis un răspuns în scris, în termen de 15 zile, la plângerea persoanei vizate, prin care acesta a semnalat încălcarea drepturilor sale prevăzute de Legea nr. 677/2001, deși avea această obligație.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 11.000 lei.
9. SC Aramis Invest SRL
S-a constatat săvârşirea următoarelor fapte:
- Nerespectarea prevederilor art. 12 din Legea nr. 506/2004 referitoare obținerea consimțământului în cazul transmiterii de comunicări nesolicitat, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004
Astfel, s-a constatat că SC Aramis Invest SRL a transmis un mesaj comercial nesolicitat prin poşta electronică unei persoane fizice, fără să dovedească existenţa consimţământului expres al acesteia în vederea primirii de asemenea comunicări pe adresa sa de email.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, cu încălcarea art. 15 alin. (4) din aceeaşi lege, întrucât SC Aramis Invest SRL nu a făcut dovada transmiterii unui răspuns, în scris, persoanei vizate, potrivit prevederilor art. 15 alin. (4) din Legea nr. 677/2001, deși avea această obligație.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 6.000 lei.
10. Simplu Credit IFN SA
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Simplu Credit IFN SA a transmis datele negative ale unei persoane vizate, la Biroul de Credit, fără să facă dovada informării prealabile în condiţiile prevăzute de art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007 și art. 12 alin. (1) din Legea nr. 677/2001, precum şi cu transmiterea de date inexacte, incorecte şi înainte de 30 de zile de la data scadenţei, contrar dispoziţiilor art. 4 alin. (2), art. 5 alin. (1) din Decizia ANSPDCP nr. 105/2007, coroborat cu prevederile art. 4 lit. a) şi c) din Legea nr. 677/2001.
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, cu nesocotirea dreptului prevăzut de art. 14 alin. (1) din Legea nr. 677/2001, întrucât Simplu Credit IFN SA, nu a dat curs cererii unei persoane fizice prin care aceasta și-a exercitat dreptul de intervenție, în sensul de a fi adoptate măsuri de ștergere a datelor negative transmise la Biroul de Credit, fără informarea prealabilă a acestora.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 5.000 lei.
11. SC Toro TeleMarketing SRL
S-a constatat săvârşirea următoarelor fapte:
- Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât SC Toro Telemarketing SRL a prelucrat, începând cu luna iulie 2016, date biometrice (amprente) ale angajaților în scopul pontării timpului de lucru, prelucrare excesivă raportat la scopul prelucrării, deoarece putea fi utilizate alte mijloace pentru atingerea acestui scop, mai puțin intruzive, încălcându-se astfel art. 4 alin. (1) lit. c) din Legea nr. 677/2001.
- Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate, prevăzută de art. 33 din Legea nr. 677/2001, întrucât SC Toro Telemarketing SRL nu a adoptat suficiente măsuri de confidențialitate și securitate a datelor prelucrate, date biometrice ale angajaților, conform art. 19 și art. 20 din Legea nr. 677/2001, sub aspectul elaborării unei politici de securitate şi a stabilirii unor instrucțiuni precise de prelucrare a acestora.
Pentru aceste fapte s-a aplicat amendă contravențională în cuantum total de 5.000 lei.
Biroul Juridic și Comunicare