Dezvoltatorul român de imobiliare One United Properties tocmai a fost sancționat cu amendă GDPR în valoare totală de 2.000 EUR pentru că a trimis unei persoane mesaje comerciale nesolicitate.
Autoritatea pentru protecția datelor personale (ANSPDCP) a anunțat, joi, că a finalizat o investigație la firma One United Properties SA în luna februarie 2025.
„În cursul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că operatorul a transmis persoanei vizate, pe o anumită perioadă de timp, mesaje comerciale nesolicitate. În acest context, operatorul nu a făcut dovada existenței consimțământului obținut de la persoana vizată pentru prelucrarea datelor personale ale acesteia în scop de marketing, fiind astfel încălcate prevederile art. 6 din Regulamentul (UE) 2016/679”, spune ANSPDCP.
Persoana vizată a făcut mai multe solicitări pentru a primi confirmarea dacă datele sale personale sunt sau nu prelucrate de firmă și dacă acestea au fost șterse, având în vedere că primea mesaje comerciale nesolicitate.
ANSPDCP susține că firma nu a făcut dovada transmiterii unui răspuns în termenul legal de cel mult o lună la cererile de exercitare a drepturilor de acces și de ștergere din partea persoanei vizate.
„Prin urmare, au fost încălcate dispozițiile art. 12 alin. (3), art. 15 și art. 17 din Regulamentul (UE) 679/2016”, se arată într-un comunicat al Autorității pentru protecția datelor personale.
Pentru aceste situații, One United Properties SA a fost sancționată astfel:
- cu amendă în cuantum de 4.977 lei (echivalentul a 1.000 EUR ), pentru încălcarea art. 6 din Regulamentul (UE) 2016/679;
- cu amendă în cuantum de 4.977 lei (echivalentul a 1.000 EUR), pentru încălcarea dispozițiilor art. 12 alin. (3), art. 15 și art. 17 din Regulamentul (UE) 2016/679.
One United Properties SA va trebui, de asemenea, să:
- ia măsurile necesare astfel încât, pe viitor, să se asigure conformitatea operațiunilor de prelucrare cu dispozițiile Regulamentului (UE) 2016/679, respectiv să se evite prelucrarea datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența altui temei legal pentru prelucrarea datelor persoanelor vizate, inclusiv în scop de marketing, prin raportare la prevederile art. 6 din Regulamentul (UE) 2016/679;
- adopte proceduri interne privind modul de soluționare a cererilor depuse de persoanele vizate în temeiul dispozițiilor art. 12-22 din Regulamentul (UE) 2016/679, respectarea în toate cazurile a dispozițiilor aplicabile privind analizarea și soluționarea acestor cereri și comunicarea unor răspunsuri către persoanele vizate în cadrul termenelor legale, precum și instruirea regulată a personalului operatorului în acest sens;
- transmită un răspuns persoanei vizate la cererile de exercitare a dreptului de acces și a dreptului de ștergere.