O agenție de turism din România a fost sancționată cu amenzi GDPR în valoare totală de 6.000 EUR, după ce a organizat o tombolă cu premii pentru clienții săi și a publicat, pe pagina sa de Facebook, un tabel cu datele personale ale celor înscriși, spune, vineri, Autoritatea pentru protecția datelor personale (ANSPDCP).
Investigația, care s-a încheiat în aprilie 2025, a vizat firma SC Travel Planner SRL și a pornit după mai multe sesizări primite de ANSPDCP în care a fost semnalată o posibilă prelucrare nelegală a datelor personale.
„În cadrul investigației a rezultat că operatorul, în vederea organizării unei tombole pentru recompensarea clienților săi, a publicat, pe pagina de Facebook, un tabel care conținea date personale ale turiștilor, precum: numele, prenumele, numerele de identificare ale rezervărilor, hotelul ori locația la care au făcut rezervarea și perioada sejurului. Astfel, operatorul nu a adoptat suficiente măsuri tehnice și organizatorice de securitate. Această situație a condus la a condus la dezvăluirea neautorizată a datelor persoanelor vizate, fiind încălcate dispozițiile art. 32 din Regulamentul (UE) 2016/679”, spune ANSPDCP.
Drept urmare, firma a fost sancționată cu amendă în cuantum de 24.886 lei, echivalentul a 5.000 EUR.
Autoritatea pentru protecția datelor personale spune că firma nu a notificat această încălcare a securității datelor, „fapt ce contravine dispozițiilor art. 33 din Regulamentul (UE) 2016/679”. fiind astfel aplicată sancțiunea cu amendă în cuantum de 4.977 lei, echivalentul a 1.000 EUR.
În plus, firma nu ar fi prezentat dovezi cu privire la comunicarea către clienți a unui răspuns complet la cererea acestora prin care și-au exercitat dreptul de acces, fiind astfel încălcate dispozițiile art. 15, raportat la prevederile art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679. Operatorul a fost sancționat pentru această faptă cu avertisment.
Printre altele, SC Travel Planner SRL va mai trebui să asigura conformitatea cu Regulamentul GDPR a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, al instruirii persoanelor care prelucrează date sub autoritatea operatorului, al verificării regulate a respectării instrucțiunilor transmise acestora. Firma trebuie să comunice clienților un răspuns la cererea de exercitare a dreptului de acces.