Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Orange Romania cu 40.000 euro, cu argumentul de încălcare a unor prevederi ale Regulamentului UE privind protecția datelor personale (GDPR).
Orange a fost amendată cu argumentul că nu a gestionat corespunzător cererile de ștergere a datelor personale și a colectat excesiv copii ale unor documente, potrivit instituției de control a statului.
Autoritatea de protecție a datelor personale sancționat operatorul cu două amenzi în valoare totală de 199.020 lei, echivalentul a 40.000 EUR, astfel:
- amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000 EURO), pentru încălcarea dispozițiilor art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679;
- amendă în cuantum de 99.510 lei (echivalentul sumei de 20.000 EURO), pentru încălcarea dispozițiilor art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.
În cadrul investigației s-a constatat că, după încercarea nereușită de abonare la serviciile de telefonie mobilă oferite de operator, s-a solicitat ștergerea tuturor datelor personale. Pe parcursul corespondenței purtate, operatorul a solicitat mai multe date personale și nu s-au oferit răspunsuri complete și adecvate la solicitările primite, este arătat.
În cursul investigației, a rezultat că Orange Romania SA nu a gestionat în mod corespunzător cererile de ștergere a datelor personale, fiind astfel încălcate prevederile art. 12 alin. (3) și (4), coroborate cu art. 17 din Regulamentul (UE) 2016/679.
În același timp, s-a constatat că operatorul a colectat și stocat excesiv inclusiv copii scanate ale unor documente, deși datele personale nu mai erau necesare scopului de identificare aferent încheierii unui contract de abonament. Ca atare, au fost încălcate prevederile art. 5, art. 6 și art. 7 din Regulamentul (UE) 2016/679.
În același timp, în cadrul investigației, operatorului i s-au aplicat și următoarele măsuri corective:
- de a transmite un răspuns complet la cererea de ștergere a datelor sale personale, conform dispozițiilor legale aplicabile;
- de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să analizeze, să soluționeze în mod corect și să răspundă în mod corespunzător la cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din Regulamentul (UE) 2016/679, cu informarea clară, transparentă și accesibilă a persoanelor vizate în privința mecanismelor de exercitare a drepturilor;
- de a elimina din baza de date datele personale și documentele de identitate ale persoanei afectate, colectate în cursul procedurii eșuate de abonare la serviciile oferite;
- de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, astfel încât operatorul să stabilească cu claritate temeiul legal al colectării datelor personale prin raportare la fiecare scop al prelucrării, în cadrul demersurilor ce preced încheierea unui contract de abonament la serviciile sale, astfel încât să nu fie colectate și ulterior stocate în mod excesiv și ilegal date personale și documente de identitate decât cu respectarea legislației aplicabile, cu asigurarea informării clare, transparente și accesibile a persoanelor vizate, conform dispozițiilor art. 5-7, respectiv, art. 12-14 din Regulamentul (UE) 2016/679.
