O firmă prezentă în România, care se ocupă cu fabricarea și comercializarea de mobilier pentru casă, tocmai a fost amendată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu 2.000 EUR, în baza Regulamentului GDPR, după ce a trimis unui client SMS-uri comerciale nesolicitate.
ANSPDCP transmite luni că a finalizat în luna octombrie 2025,o investigație la firma Whitedecor SRL.
„Investigația a fost demarată ca urmare a unei plângeri prin care o persoană fizică a reclamat că au fost încălcate dispozițiile Regulamentului (UE) 2016/679, referitoare la drepturile persoanelor vizate și consimțământul obținut din partea acestora”, spune Autoritatea pentru protecția datelor personale.
Potrivit comunicatului, un client a primit în mod repetat, în urma unei achiziții pe care a făcut-o, mesaje comerciale nesolicitate pe numărul său de telefon.
Firma „nu a făcut dovada existenței consimțământului obținut de la persoana vizată pentru prelucrarea datelor personale ale acesteia în scop de marketing, fiind astfel încălcate prevederile art. 6 alin. (1) lit. a), art. 7 și art. 21 alin. (3) din Regulamentul (UE) 2016/679”, spune ANSPDCP.
Ca atare, firma a fost sancționată contravențional:
- cu amendă în cuantum de 5.082 lei (echivalentul a 1.000 EUR), pentru încălcarea dispozițiilor art. 6 alin. (1) lit. a), art. 7, art. 21 alin. (3) din Regulamentul (UE) 2016/679;
- cu amendă în cuantum de 5.082 lei (echivalentul a 1.000 EUR), pentru încălcarea art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 2016/679;
Clientul a cerut operatorului să îi confirme dacă datele sale personale sunt prelucrate sau nu. Totodată, acesta a solicitat o copie a datelor care îl privesc și a transmis clar că nu dorește ca informațiile sale să fie utilizate în scopuri de marketing. De asemenea, a cerut ca datele sale personale să fie șterse din întreaga bază de date deținută de operator.
„În cadrul investigației, a rezultat că operatorul nu a făcut dovada transmiterii unui răspuns în termenul legal de cel mult o lună la cererea de exercitare a drepturilor de acces, opoziție și de ștergere din partea persoanei vizate. Prin urmare, au fost încălcate dispozițiile art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 679/2016”, spune Autoritatea pentru protecția datelor.
Printre altele, firma va trebui să adopte proceduri interne privind modul de soluționare a cererilor depuse de persoanele vizate, să respecte în toate cazurile dispozițiile aplicabile privind analizarea și soluționarea fără întârziere a acestor cereri și comunicarea unor răspunsuri către persoanele vizate în cadrul termenelor legale, precum și instruirea regulată a personalului operatorului în acest sens.
Totodată, va trebui să adopte proceduri interne privind modul de prelucrarea a datelor cu caracter personal ale persoanelor vizate în scop de marketing direct, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil și informat al persoanelor vizate.