25.10.2024
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în luna septembrie 2024 o investigație la operatorul IA BILET SRL și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a) și alin. (2), coroborat cu art. 6 alin. (1), art. 12 alin. (1) prima teză, raportate la art. 21 alin. (2) și (3), și art. 6 alin. (1) lit. a) și art. 7 alin. (1) din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional cu două amenzi în cuantum total de 9.951,4 (echivalentul sumei de 2 000 EURO) și un avertisment, după cum urmează:
1. amendă în cuantum de 4.975,7 lei (echivalentul sumei de 1 000 EURO), pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și alin. (2), coroborat cu art. 6 alin. (1) din Regulamentul (UE) 2016/679;
2. amendă în cuantum de 4.975,7 lei (echivalentul sumei de 1 000 EURO), pentru încălcarea dispozițiilor art. 12 alin. (1) prima teză, raportate la art. 21 alin. (2) și (3) din Regulamentul (UE) 2016/679;
3. avertisment pentru încălcarea dispozițiilor art. 6 alin. (1) lit. a) și a art. 7 alin. (1) din Regulamentul (UE) 2016/679.
Investigația a fost demarată ca urmare a unei plângeri transmise de o persoană fizică prin care a reclamat o posibilă încălcare a dispozițiilor Regulamentului (UE) nr. 2016/679. În acest sens, un client al operatorului a reclamat că operatorul i-a șters în mod nejustificat contul creat pe platforma iabilet.ro și a refuzat reactivarea contului acestuia după exercitarea dreptului său de ștergere, ca urmare a faptului că pe numărul său de telefon a primit mesaje comerciale nesolicitate în scop de marketing.
De asemenea, în cadrul investigației s-a constatat și faptul că în urma exercitării dreptului de opoziție cu privire la dezabonarea de la newsletter al numărului de telefon al persoanei vizate, operatorul a anonimizat (pseudonimizat) toate datele personale din contul clientului (nume, prenume, adresă de e-mail, inclusiv numărul de telefon), astfel că, aceasta nu a mai putut utiliza propriul cont.
Ca atare, în cursul investigației, operatorul nu a prezentat dovezi cu privire la respectarea principiilor și a condițiilor de legalitate a unei astfel de prelucrări a acestor date, fiind încălcate dispozițiile art. 5 alin. (1) lit. a) și alin. (2), coroborat cu art. 6 alin. (1) din Regulamentul (UE) nr. 2016/679.
Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 4.975,7 lei (echivalentul sumei de 1 000 EURO).
Totodată, în cursul investigației, a reieșit că operatorul Ia Bilet SRL, deși i-a comunicat clientului faptul că a efectuat modificări în privința adresei de e-mail pentru a putea fi utilizat contul, contul a rămas inactiv.
Ca atare, s-a constatat încălcarea prevederilor art. 12 alin. (1) prima teză, raportate la art. 21 alin. (2) și (3) din Regulamentul (UE) nr. 2016/679.
Pentru această încălcare operatorul a fost sancționat cu amendă în cuantum de 4.975,7 lei (echivalentul sumei de 1 000 EURO).
În cadrul investigației, Autoritatea Națională de Supraveghere a constatat că, în ceea ce privește transmiterea de mesaje promoționale prin SMS, operatorul nu a făcut dovada că persoana vizată și-a exprimat, în prealabil, consimțământul expres în scopul prelucrării numărului său de telefon pentru a i se transmite comunicări comerciale, fiind încălcate astfel prevederile art. 6 alin. (1) lit. a) și a art. 7 alin. (1) din Regulamentul (UE) nr. 2016/679.
Ca atare, operatorul a fost sancționat cu avertisment.
Totodată, față de operator s-au dispus următoarele măsuri corective:
- de a asigura conformitatea cu Regulamentul (UE) nr. 2016/679 a operațiunilor de prelucrare a datelor personale, inclusiv de pseudonimizare și ștergere a acestora, prin raportare la principiile și condițiile de legalitate prevăzute de art. 5 și 6 din regulament, inclusiv sub aspectul elaborării unor proceduri scrise în sensul art. 24 și 32 din același regulament și al instruirii corespunzătoare și regulate a persoanelor care le vor aplica;
- de a-i comunica persoanei vizate un răspuns adecvat cu privire la prelucrarea datelor sale personale în urma exercitării de către acesta a dreptului de opoziție;
- de a asigura conformitatea cu Regulamentul (UE) nr. 2016/679 a operațiunilor de prelucrare ulterioară a datelor personale, prin informarea transparentă, corectă și completă a tuturor persoanelor vizate ale căror date personale sunt prelucrate de operator, în legătură cu modalitatea de exercitare a drepturilor, în conformitate cu dispozițiile art. 12-23 din regulament, precum și instruirea corespunzătoare și regulată a persoanelor care gestionează cererile persoanelor vizate;
- de a asigura conformitatea cu Regulamentul (UE) nr. 2016/679 a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea corectă și demonstrabilă a procedurii de obținere a consimțământului expres al persoanelor vizate în scopul trimiterii către acestea a unor comunicări comerciale prin mijloace electronice (inclusiv prin telefon și e-mail) și încetarea transmiterii de astfel de comunicări în cazul persoanelor pentru care nu poate fi dovedită respectarea condițiilor de legalitate anterior enunțate.
Direcția juridică și comunicare
A.N.S.P.D.C.P.