Consultanta

ANSPDCP sanctioneaza incalcari GDPR privind accesul la date si lipsa unui temei legal pentru prelucrare

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat în luna aprilie 2025 o investigație ce a vizat compania Data Diggers Market Research SRL, constatând multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR).

Rezultatul investigației GDPR: amenzi în valoare totală de 12.000 Euro

În urma investigației, ANSPDCP a aplicat următoarele sancțiuni:

-Amendă de 24.886 Lei (aproximativ 5.000 Euro) pentru încălcarea art. 15 din GDPR, referitor la dreptul de acces al persoanei vizate, raportat la art. 12 alin. (1) privind transparența informațiilor;

-Amendă de 9.954,40 Lei (aproximativ 2.000 Euro) pentru nerespectarea art. 14 privind informarea persoanei vizate în cazul în care datele nu sunt obținute direct, raportat la art. 12 alin. (1);

-Amendă de 24.886 Lei (aproximativ 5.000 Euro) pentru încălcarea art. 6 alin. (1) din GDPR, care reglementează temeiurile legale pentru prelucrarea datelor cu caracter personal.

Contextul declanșării investigației GDPR

Controlul a fost inițiat ca urmare a unor plângeri transmise de autoritățile naționale de protecție a datelor din două state membre UE. Reclamațiile proveneau de la două persoane fizice care au semnalat posibile nereguli în prelucrarea datelor de către Data Diggers Market Research SRL.

Având în vedere că operatorul are sediul principal în România, ANSPDCP a acționat în calitate de autoritate principală de supraveghere, conform art. 56 și art. 61 din GDPR, în cadrul unei prelucrări transfrontaliere.

Principalele neconformități constatate

1.Încălcarea dreptului de acces – Operatorul nu a furnizat informații complete persoanelor vizate, încălcând prevederile art. 15, raportat la art. 12 alin. (1) din GDPR.

2.Lipsa informării inițiale – Nu au fost comunicate informațiile obligatorii la prima interacțiune cu persoanele vizate, în conformitate cu art. 14 alin. (1) și (2), raportat la art. 12 alin. (1).

3.Lipsa unui temei legal pentru prelucrare – Operatorul nu a putut demonstra existența unui temei juridic valabil pentru prelucrarea datelor, contrar cerințelor art. 6 alin. (1).

Măsuri corective impuse de ANSPDCP

Pe lângă sancțiunile financiare, Autoritatea a impus și o măsură corectivă, în temeiul art. 58 alin. (2) lit. d) din GDPR:

Instruirea periodică a personalului societății privind procedurile de soluționare a cererilor persoanelor vizate și respectarea condițiilor legale pentru prelucrarea datelor personale.

Concluzie

Această acțiune a ANSPDCP subliniază importanța respectării obligațiilor privind transparența, informarea și legalitatea prelucrării datelor personale. Operatorii economici trebuie să își evalueze constant conformitatea cu Regulamentul general privind protecția datelor (GDPR) pentru a evita sancțiuni și daune de imagine.