Sanctiune de 15.000 euro pentru nerespectarea cerintelor GDPR in marketingul digital

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat în luna martie 2025 o investigație privind modul în care operatorul Tensa Art Design S.A., deținătorul site-ului www.lensa.ro, respectă prevederile Regulamentului (UE) 2016/679 (GDPR) privind protecția datelor cu caracter personal.

Încălcările constatate

În urma investigației, ANSPDCP a constatat următoarele nereguli:

– Încălcarea art. 6 alin. (1) lit. a) din GDPR – lipsa unui consimțământ valid pentru prelucrarea datelor personale în scop de marketing direct;

-Încălcarea art. 12 alin. (1)-(4), prin raportare la art. 15 și 17 din GDPR – neconformitate în gestionarea cererilor privind dreptul de acces și dreptul la ștergere ale persoanei vizate.

Sancțiuni aplicate

Ca urmare a acestor încălcări, Tensa Art Design S.A. a fost sancționată contravențional cu:

-Amendă de 49.774 lei (10.000 EURO) pentru prelucrarea datelor fără consimțământ, în scop de marketing direct (art. 6 alin. (1) lit. a));

-Amendă de 24.887 lei (5.000 EURO) pentru gestionarea necorespunzătoare a solicitărilor privind drepturile persoanei vizate (art. 12 alin. (1)-(4), prin raportare la art. 15 și 17).

Contextul investigației

Ancheta ANSPDCP a fost declanșată în urma unei sesizări primite de la un utilizator care a reclamat faptul că datele sale personale (numărul de telefon) au fost prelucrate în scop de marketing, fără consimțământ. Acestuia i-au fost transmise mesaje comerciale de tip SMS, cu oferte ale companiei Lensa.

Operatorul nu a putut furniza dovada consimțământului exprimat în mod clar și explicit de persoana vizată, fapt ce a condus la constatarea încălcării legislației în materie de protecția datelor.

Măsuri corective impuse

Pe lângă sancțiunile financiare, ANSPDCP a dispus următoarele măsuri corective:

1.Asigurarea conformității GDPR pentru toate operațiunile de prelucrare a datelor cu caracter personal, prin:

-implementarea de măsuri tehnice și organizatorice adecvate;

-instruirea personalului privind prelucrarea legală a datelor în scop de marketing;

-obținerea unui consimțământ expres și valabil înainte de transmiterea comunicărilor comerciale prin SMS, e-mail sau telefon.

2.Transmiterea unui răspuns scris complet și conform legislației GDPR la cererile persoanei vizate privind drepturile sale (acces și ștergere).

3.Gestionarea corectă a solicitărilor privind exercitarea drepturilor GDPR, asigurându-se că operatorul este capabil să răspundă în termenele și condițiile prevăzute de art. 12-23 din GDPR.

Concluzie

Această sancțiune reamintește tuturor operatorilor economici din România cât de important este să respecte cu strictețe regulile privind consimțământul pentru prelucrarea datelor, drepturile persoanei vizate și transparența în activitățile de marketing direct.

Pentru conformitate GDPR completă și evitare de amenzi, este esențială consultarea cu specialiști în protecția datelor și implementarea unor politici clare, aliniate la legislația europeană.