Consultanta

Amenda GDPR pentru nerespectarea dreptului de acces la date personale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în aprilie 2025 o investigație privind respectarea prevederilor Regulamentului General privind Protecția Datelor (Regulamentul (UE) 2016/679 – GDPR) de către operatorul Xiting ROM SRL.

În urma investigației, s-a constatat că Xiting ROM SRL a încălcat prevederile art. 12 alin. (3)-(4) și art. 15 alin. (1)-(3) din GDPR, referitoare la dreptul persoanei vizate de a accesa datele sale personale. Astfel, compania a fost sancționată cu o amendă contravențională în valoare de 4.977 lei (echivalentul a 1.000 euro).

Detalii despre investigație

Acțiunea de control a fost declanșată ca urmare a unei plângeri depuse de o persoană fizică, care a semnalat faptul că nu i-a fost respectat dreptul de acces la datele cu caracter personal.

Pe parcursul investigației, ANSPDCP a constatat că operatorul nu a oferit un răspuns complet și în termenul legal la solicitarea petentei, care viza informații legate de prelucrarea datelor sale personale și o copie electronică a acestora.

Măsuri corective impuse de ANSPDCP

Pe lângă sancțiunea financiară, autoritatea a dispus, în temeiul art. 58 alin. (2) lit. b) din GDPR, următoarele măsuri corective:

  • Transmiterea unui răspuns complet către persoana vizată, la adresa de e-mail indicată, incluzând toate documentele și înregistrările care conțin datele personale ce mai sunt disponibile în baza de date a companiei;
  • În cazul în care anumite date nu pot fi puse la dispoziție, operatorul are obligația de a justifica refuzul în conformitate cu art. 12 alin. (4) și art. 15 alin. (3)-(4) din GDPR;
  • Adoptarea de măsuri tehnice și organizatorice adecvate pentru a asigura conformitatea cu GDPR în ceea ce privește prelucrarea datelor cu caracter personal;
  • Instruirea corespunzătoare a personalului desemnat, astfel încât să poată analiza și soluționa în mod corect cererile prin care persoanele vizate își exercită drepturile, respectând termenele și condițiile stabilite de art. 12-23 din GDPR.

Această sancțiune subliniază importanța respectării obligațiilor legale privind drepturile persoanelor vizate, în special a dreptului de acces la date, și necesitatea implementării unor proceduri clare și eficiente de răspuns la solicitările clienților sau angajaților cu privire la datele lor personale.