Orange și Vodafone au primit amenzi de 40.000, respectiv 15.000 de euro de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Companiile Orange și Vodafone au fost amendate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat Orange cu 40.000 de euro, în vreme ce Vodafone a primit o sancțiune de 15.000 de euro, conform reprezentanților ANSPDCP.

„Autoritatea a finalizat, în luna decembrie 2024, o investigație la operatorul Orange România SA și a constatat încălcarea dispozițiilor art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679, precum și ale art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sancționat cu două amenzi în cuantum total de 199.020 lei, echivalentul a 40.000 EURO, după cum urmează:
• amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000 EURO), pentru încălcarea dispozițiilor art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679;
• amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000  EURO), pentru încălcarea dispozițiilor art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.

Investigația s-a declanșat pentru verificarea modului de soluționare a exercitării dreptului de ștergere.
În cadrul investigației s-a constatat că, după încercarea nereușită de abonare la serviciile de telefonie mobilă oferite de operator, s-a solicitat ștergerea tuturor datelor personale. Pe parcursul corespondenței purtate, operatorul a solicitat mai multe date personale și nu s-au oferit răspunsuri complete și adecvate la solicitările primite.

În cursul investigației, a rezultat că Orange Romania SA nu a gestionat în mod corespunzător cererile de ștergere a datelor personale, fiind astfel încălcate prevederile art. 12 alin. (3) și (4), coroborate cu art. 17 din Regulamentul (UE) 2016/679.

În același timp, s-a constatat că operatorul a colectat și stocat excesiv inclusiv copii scanate ale unor documente, deși datele personale nu mai erau necesare scopului de identificare aferent încheierii unui contract de abonament. Ca atare, au fost încălcate prevederile art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679“, a detaliat ANSPDCP.

În același timp, în cadrul investigației, operatorului i s-au aplicat și următoarele măsuri corective:
• de a transmite un răspuns complet la cererea de ștergere a datelor sale personale, conform dispozițiilor legale aplicabile;
• de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să analizeze, să soluționeze în mod corect și să răspundă în mod corespunzător la cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din Regulamentul (UE) 2016/679, cu informarea clară, transparentă și accesibilă a persoanelor vizate în privința mecanismelor de exercitare a drepturilor;
• de a elimina din baza de date datele personale și documentele de identitate ale persoanei afectate, colectate în cursul procedurii eșuate de abonare la serviciile oferite;
• de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, astfel încât operatorul să stabilească cu claritate temeiul legal al colectării datelor personale prin raportare la fiecare scop al prelucrării, în cadrul demersurilor ce preced încheierea unui contract de abonament la serviciile sale, astfel încât să nu fie colectate și ulterior stocate în mod excesiv și ilegal date personale și documente de identitate decât cu respectarea legislației aplicabile, cu asigurarea informării clare, transparente și accesibile a persoanelor vizate, conform dispozițiilor art. 5-7, respectiv, art. 12-14 din Regulamentul (UE) 2016/679.

Situația în cazul Vodafone

Autoritatea a finalizat, tot în luna decembrie 2024, mai multe investigații la operatorul Vodafone Romania S.A. și a constatat încălcarea dispozițiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b din Regulamentul (UE) 2016/679.
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 74.526 Lei (echivalentul sumei de 15.000 Euro).

Investigațiile au fost demarate ca urmare a transmiterii de către operator a mai multor notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679, dar și ca urmare a unor sesizări.
În cadrul investigațiilor a rezultat că, în mod repetat, operatorul Vodafone Romania S.A. nu a asigurat confidențialitatea datelor apartinând mai multor persoane vizate, clienți ai companiei (nume, prenume, adrese de e-mail, CNP, Cod client și adresa client), ca urmare a nerespectării politicilor și procedurilor de lucru în ceea ce privește prelucrarea datelor cu caracter personal de către angajații sau persoanele împuternicite ale acestuia.

Încălcărea securității datelor a fost determinată de situații precum:
• transmiterea neautorizată a unei poze cu detaliile facturii unei persoane vizate către o persoană terță;
• neascunderea adreselor de e-mail ale destinatarilor și neselectarea opțiunii      “ BCC” (blind carbon copy) cu ocazia informării unor persoane vizate asupra unor modificări cu privire la  managerul de cont al acestora;
• transmiterea prin WhatsApp de către angajatul unui împuternicit al operatorului, a unei fotografii conținând o captura de ecran cu date afișate în interfața aplicației operatorului;
• transmiterea în mod eronat a unei facturi aparținând unei persoane vizate către un terț.
Incidentele produse au condus la divulgarea și accesul neautorizat la datele cu caracter personal ale mai multor persoane vizate.

Astfel, s-a constatat ca operatorul nu a luat măsuri tehnice și organizatorice adecvate pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la datele cu caracter personal, nu le prelucrează decât la cererea sa și nici nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării datelor incluzând capacitatea de a asigura confidențialitatea și integritatea acestora.

Pentru aceaste fapte, operatorul a fost sancționat cu amendă pentru încălcarea dispozițiilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679.
Operatorul a achitat amenda contravențională stabilită.