Consultanta

Amenda GDPR in cuantum de 5.000 euro pentru utilizarea neconforma a datelor suporterilor

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în decembrie 2024, o investigație asupra RED&WHITE 2022 MANAGEMENT S.A., constatând încălcarea art. 28 alin. (3) lit. a) din Regulamentul (UE) 2016/679 (GDPR).

În urma acestei constatări, operatorul a fost sancționat cu o amendă de 24.854,50 lei (echivalentul a 5.000 EURO).

Motivele sancțiunii

Investigația a fost declanșată în urma unei sesizări transmise de către operator și de către o persoană împuternicită, referitoare la o posibilă încălcare a GDPR în contextul unei campanii de crowdfunding pentru finanțarea unei echipe de fotbal.

📌 Operatorul, în calitate de acționar majoritar al echipei, a trimis un e-mail către o bază extinsă de contacte, formată din persoane care achiziționaseră bilete la meciuri. Acest e-mail conținea informații despre posibilitatea finanțării echipei de către suporteri.

📌 Baza de date utilizată includea date personale (nume, prenume, e-mail) ale suporterilor clubului, dar și ale altor persoane fizice.

📌 Mesajul a fost transmis prin intermediul unei persoane împuternicite, însă operatorul nu a furnizat instrucțiuni documentate cu privire la gestionarea datelor și categoriile de persoane vizate.

Încălcarea GDPR și obligațiile operatorului

Conform art. 28 alin. (3) din GDPR, prelucrarea datelor de către o persoană împuternicită trebuie să fie reglementată printr-un contract sau un act juridic obligatoriu. Acest document trebuie să stabilească scopul, durata și categoriile de date prelucrate, precum și obligațiile operatorului și ale persoanei împuternicite.

De asemenea, regulamentul impune ca însărcinarea unei persoane împuternicite să fie făcută doar pe baza unor instrucțiuni documentate, lucru care nu s-a realizat în acest caz.

Concluzie

Această sancțiune subliniază importanța respectării prevederilor GDPR în activitățile de marketing și comunicare, în special atunci când se implică terți în procesarea datelor. Operatorii sunt obligați să asigure transparență și conformitate cu legislația europeană pentru a evita sancțiuni și posibile prejudicii de imagine.