Consultanta

Operator amendat cu 10.000 euro pentru incalcarea prevederilor GDPR privind stergerea datelor personale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna aprilie 2025, o investigație privind protecția datelor personale la operatorul Dante International SA, în urma unei plângeri primite de la un client. În urma verificărilor, s-au constatat încălcări ale Regulamentului (UE) 2016/679 (GDPR), mai exact ale art. 12 alin. (1), prin raportare la art. 17 și art. 19.

Pentru neconformitatea identificată, operatorul a fost sancționat cu o amendă contravențională de 49.770 lei (echivalentul a 10.000 euro).

Ce a declanșat investigația ANSPDCP?

Investigația a fost demarată în urma unei plângeri formulate de un client, care a reclamat faptul că Dante International SA i-a prelucrat datele cu caracter personal (adrese de e-mail asociate contului de client) fără consimțământul său explicit, deși solicitase ștergerea acestora din baza de date a platformei online operate de companie.

Deși operatorul i-a confirmat în mai multe rânduri că datele au fost șterse, petentul a continuat să primească mesaje de tip feedback pe adresele respective. Mai mult, anumite persoane din cadrul echipei de colaboratori ai companiei aveau în continuare acces la aceste date, ceea ce a ridicat semne de întrebare cu privire la gestionarea solicitărilor de ștergere a datelor.

Ce nereguli au fost constatate?

În cadrul investigației, ANSPDCP a stabilit următoarele aspecte:

  • Operatorul nu a gestionat în mod corect solicitările repetate de ștergere transmise de persoana vizată.
  • Răspunsurile oferite clientului nu au fost clare, transparente și inteligibile, așa cum cere articolul 12 din GDPR.
  • Colaboratorii operatorului aveau acces neautorizat la datele personale (e-mailuri) ale clientului.
  • Ștergerea efectivă a datelor nu s-a realizat fără întârziere nejustificată, ceea ce contravine obligațiilor prevăzute de articolele 17 și 19 din GDPR.

Măsuri corective impuse de ANSPDCP

În plus față de sancțiunea financiară, Dante International SA are obligația de a implementa mai multe măsuri corective pentru a se alinia la cerințele GDPR:

  1. Transmiterea unui răspuns scris, clar și transparent la solicitările persoanei vizate, în conformitate cu art. 12 și art. 17 din GDPR.
  2. Revizuirea și actualizarea procedurilor interne privind gestionarea solicitărilor de exercitare a drepturilor persoanelor vizate.
  3. Instruirea corespunzătoare a angajaților și colaboratorilor care au acces la datele personale.
  4. Implementarea de măsuri tehnice și organizatorice care să asigure că orice cerere de ștergere sau rectificare a datelor este soluționată fără întârzieri nejustificate și notificată destinatarilor, conform art. 16, 17 și 19 din GDPR.

Concluzie

Această sancțiune reamintește tuturor operatorilor de date personale din România importanța respectării obligațiilor legale privind protecția datelor. Nerespectarea cererilor persoanelor vizate și lipsa de transparență pot conduce la amenzi semnificative și măsuri corective obligatorii din partea ANSPDCP.