Acționarul majoritar al clubului de fotbal Dinamo București a primit o amendă GDPR în valoare de 5.000 EUR de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Firma Red&White 2022 Management S.A., care deține pachetul majoritar de acțiuni la SC Dinamo 1948, a transmis un email cu privire la posibilitatea finanțării echipei de către suporterii acesteia, „către o bază de date formată dintr-un număr foarte mare de email-uri ale unor persoane vizate care cumpăraseră bilete la meciurile echipei”, susține ANSPDCP.
Emailul a fost transmis prin intermediul unei persoane împuternicite a firmei, iar baza de date utilizată conținea date cu caracter personal (nume, prenume, adresă de email) atât ale susținătorilor clubului (suporteri), cât și ale altor persoane fizice, mai arată Autoritatea de protecție a datelor personale, arată StartUp Cafe.
„În acest context, operatorul nu a făcut dovada elaborării unor instrucțiuni documentate pentru împuternicitul său, cu privire la categoria (suporteri) de persoane vizate din baza de date utilizată, către care persoana împuternicită a transmis email-ul, conceput și aprobat de operator, despre campania de finanțare”, conform ANSPDCP.
Astfel, firma a fost sancționată cu amendă în valoare de 24.854,50 lei, echivalentul a 5.000 EUR.
Investigația a pornit „ca urmare a unor aspecte sesizate Autorității de către un împuternicit al operatorului, cu privire la o posibilă încălcare a prevederilor Regulmentului (UE) 2016/679 în contextul derulării unei campanii de crowdfunding (microfinanțare din partea unor persoane fizice)”, spune Autoritatea de protecție a datelor personale.
Regulamentul (UE) 2016/679 prevede în art. 28 alin. (3) că „Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. (...)”.
În plus, în articolul reglementează, printre altele, faptul că respectivul contract sau act juridic prevede în special că persoană împuternicită de operator prelucrează datele cu caracter personal numai pe baza unor „instrucțiuni documentate din partea operatorului”.
