Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus două amenzi de câte 20.000 de euro fiecare, totalizând 199.020 lei (echivalentul a 40.000 euro).
Prima sancțiune a fost aplicată pentru nerespectarea art. 12 alin. (3) și (4), coroborat cu art. 17 din Regulamentul (UE) 2016/679, iar a doua pentru încălcarea art. 5, art. 6 și art. 7 din același regulament.
Investigația ANSPDCP a fost declanșată în urma unei plângeri depuse de o persoană care a dorit să încheie un contract de abonament cu Orange. După ce procesul de abonare nu a fost finalizat, persoana respectivă a solicitat ștergerea tuturor datelor sale personale. Operatorul nu a oferit un răspuns adecvat la cerere și, mai mult, a solicitat informații suplimentare fără justificare legală.
De asemenea, ANSPDCP a constatat că Orange România a colectat și stocat în mod excesiv copii scanate ale unor documente, deși acestea nu mai erau necesare pentru scopul inițial al prelucrării.
Pe lângă amenzile aplicate, ANSPDCP a impus operatorului de telecomunicații următoarele măsuri corective:
- Transmiterea unui răspuns complet și adecvat la cererea de ștergere a datelor personale;
- Adoptarea unor măsuri tehnice și organizatorice pentru respectarea GDPR, inclusiv instruirea personalului responsabil;
- Eliminarea din baza de date a documentelor de identitate colectate fără un temei legal clar;
- Asigurarea conformității procesului de colectare a datelor personale cu Regulamentul (UE) 2016/679, prin stabilirea unui temei juridic clar și informarea transparentă a clienților.
Aceasta nu este prima amendă aplicată unui operator de telecomunicații din România pentru încălcarea regulamentului GDPR. Anul trecut am scris și noi aici despre o astfel de sancțiune aplicată Vodafone.