Un client a reclamat că firma i-ar fi prelucrat fără consimțământ datele personale, respectiv adresele de e-mail asociate contului pe care îl avea pe una dintre cele două platforme operate de Dante International, conform Autorității pentru protecția datelor personale (ANSPDCP).
„În cadrul investigației, s-a constatat că, deși operatorul i-a confirmat petentului prin mai multe răspunsuri că adresele de e-mail asociate contului său de client au fost șterse ca urmare a solicitărilor sale, petentul a primit în continuare pe adresele respective, un mesaj de tip opinie/părere evaluativă (”feedback”).
În același timp, s-a constatat că anumiți colaboratori ai operatorului aveau posibilitatea să vizualizeze/utilizeze adresa de e-mail a petentului”, susține ANSPDCP.
Firma nu ar fi gestionat în mod corespunzător solicitările de ștergere a adreselor de e-mail trimise de client în mod repetat și nu ar fi furnizat în răspunsurile trimise acestuia „informații clare în mod transparent și inteligibil cu privire la utilizarea în continuare a adreselor respective de e-mail”, mai spune Autoritatea pentru protecția datelor personale.
Drept urmare, Dante International SA a fost sancționată cu amendă în cuantum de 49.770 lei, echivalentul a 10.000 euro.
Măsuri corective obligatorii
Pe lângă sancțiunea financiară, ANSPDCP a impus și măsuri corective obligatorii pentru Dante International.
„S-au dispus față de operator următoarele măsuri corective:
- de a transmite un răspuns scris la cererile petentului, potrivit art. 17 din RGPD și care să respecte condițiile de transparență, claritate și inteligibilitate prevăzute de art. 12 din RGPD;
- de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să primească, să analizeze, să soluționeze în mod corect și să răspundă la toate cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din RGPD, inclusiv sub aspectul condițiilor legate de transparență, claritate și inteligibilitate a informațiilor și comunicărilor pe care operatorul le transmite persoanelor vizate în urma exercitării drepturilor;
- măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât, în cazul admiterii cererilor de ștergere sau rectificare a unor date personale din conturile deschise pe platforma sa online, aceste operațiuni să devină efective imediat („fără întârzieri nejustificate”) și să fie notificate destinatarilor, potrivit art. 16, art. 17 și art. 19 din RGPD, luând în considerare și respectarea principiilor statuate de art. 5 din RGPD, în speță, a celui prevăzut de art. 5 alin. (1) lit. d) din RGPD“, a transmis ANSPDCP.
