Consultanta

Firma amendata cu 40.000 euro pentru incalcarea GDPR: Probleme la stergerea datelor personale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în decembrie 2024 o investigație asupra Orange România S.A., constatând încălcarea dispozițiilor Regulamentului (UE) 2016/679 (GDPR), inclusiv articolele 12, 17, 5, 6 și 7.

În urma constatărilor, operatorul a fost sancționat cu două amenzi ce însumează 199.020 lei (aproximativ 40.000 EURO), structurate astfel:

99.510 lei (20.000 EURO) pentru încălcarea art. 12 alin. (3) și (4), coroborat cu art. 17 din GDPR;
 99.510 lei (20.000 EURO) pentru încălcarea art. 5, 6 și 7 din GDPR.

Motivele sancțiunii

Investigația a fost inițiată pentru a verifica modul în care operatorul a gestionat solicitările de ștergere a datelor personale. În urma cercetărilor, s-au identificat multiple deficiențe:

📌 După o încercare eșuată de abonare la serviciile de telefonie, o persoană vizată a solicitat ștergerea tuturor datelor sale personale. Operatorul a cerut însă informații suplimentare și nu a furnizat răspunsuri complete și adecvate la cererile primite.

📌 Orange România S.A. nu a gestionat corespunzător cererile de ștergere a datelor, încălcând astfel art. 12 și 17 din GDPR.

📌 Operatorul a colectat și stocat excesiv date personale, inclusiv copii scanate ale unor documente de identitate, chiar dacă acestea nu mai erau necesare pentru identificare și încheierea unui contract. Astfel, s-au încălcat prevederile art. 5, 6 și 7 din GDPR.

Măsuri corective impuse de ANSPDCP

Pe lângă amenzile aplicate, ANSPDCP a dispus următoarele măsuri corective pentru Orange România:

Răspuns complet la cererea de ștergere a datelor personale, conform dispozițiilor legale aplicabile;
 Asigurarea conformității cu GDPR prin implementarea de măsuri tehnice și organizatorice, inclusiv instruirea personalului responsabil cu gestionarea cererilor de ștergere a datelor;
 Eliminarea din baza de date a informațiilor personale și a documentelor de identitate colectate în procesul eșuat de abonare;
 Stabilirea clară a temeiului legal pentru colectarea datelor personale înainte de încheierea unui contract de abonament, pentru a preveni colectarea și stocarea excesivă a datelor personale, conform art. 5-7 și 12-14 din GDPR.

Această sancțiune subliniază importanța respectării drepturilor utilizatorilor privind datele lor personale și necesitatea transparenței în procesarea acestora.