SC Travel Planner SRL, amendată cu 5.000 de euro pentru încălcarea RGPD. Datele turiștilor publicate pe Facebook în cadrul unei tombole

În aprilie 2025, SC Travel Planner SRL a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma unei investigații privind prelucrarea necorespunzătoare a datelor personale. Compania a publicat pe Facebook un tabel cu informații sensibile ale turiștilor, fără măsuri adecvate de securitate, primind o amendă de 5.000 euro. A omis, de asemenea, notificarea breșei de Securitate și nu a răspuns complet cererilor persoanelor vizate. Totul a pornit de la o tombolă neglijent organizată.
 

„Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna aprilie 2025, o investigație la operatorul SC Travel Planner SRL și a constatat încălcarea dispozițiilor art. 32 și art. 33 și art. 15 raportat la art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679.
 
Ca atare, operatorul a fost sancționat contravențional: cu amendă în cuantum de 24.886 lei (echivalentul a 5.000 EURO), pentru încălcarea art. 32 din Regulamentul (UE) 2016/679; cu amendă în cuantum de 4.977,20 lei (echivalentul a 1.000 EURO), pentru încălcarea art. 33 din Regulamentul (UE) 2016/679; cu avertisment pentru încălcarea 15 din Regulamentul (UE) 2016/679, raportat la prevederile art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679., a precizat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

„În cadrul investigației a rezultat că operatorul, în vederea organizării unei tombole pentru recompensarea clienților săi, a publicat, pe pagina de Facebook, un tabel care conținea date personale ale turiștilor, precum: numele, prenumele, numerele de identificare ale rezervărilor, hotelul ori locația la care au făcut rezervarea și perioada sejurului. Astfel, operatorul nu a adoptat suficiente măsuri tehnice și organizatorice de securitate. Această situație a condus la a condus la dezvăluirea neautorizată a datelor persoanelor vizate, fiind încălcate dispozițiile art. 32 din Regulamentul (UE) 2016/679. Prin urmare, operatorul a fost sancționat cu amendă în cuantum de 5.000 Euro.
 
De asemenea, s-a constatat că operatorul nu a notificat această încălcare a securității datelor, fapt ce contravine dispozițiilor art. 33 din Regulamentul (UE) 2016/679, fiind astfel aplicată sancțiunea cu amendă în cuantum de 1.000 Euro.
 
Totodată, în cursul investigației, a reieșit faptul că nu au fost prezentate dovezi cu privire la comunicarea către petenți a unui răspuns complet la cererea acestora prin care și-au exercitat dreptul de acces, fiind astfel încălcate dispozițiile art. 15, raportat la prevederile art. 12 alin. (3) și (4) din Regulamentul (UE) 2016/679. Operatorul a fost sancționat pentru această faptă cu avertisment.”, a mai comunicat sursa citată.

• de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, al instruirii persoanelor care prelucrează date sub autoritatea operatorului, al verificării regulate a respectării instrucțiunilor transmise acestora;
• de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin adoptarea unor măsuri interne necesare pentru detectarea rapidă, gestionarea și raportarea unor situații de încălcare a securității datelor personale, indiferent că ar necesita sau nu notificarea autorității de supraveghere și/sau a persoanelor vizate, precum și instruirea corespunzătoare și regulată a persoanelor care prelucrează date sub autoritatea operatorului, în acest context;
• de a comunica petenților un răspuns la cererea de exercitare a dreptului de acces.