avocatnet.ro 
ANSPDCP a amendat o cunoscută platformă de vânzare online a biletelor pentru spectacole și concerte cu suma de 9.951,4 lei (echivalentul a 2.000 de euro) și a emis un avertisment pentru încălcarea regulamentului GDPR (Regulamentul (UE) 2016/679).
Măsura a fost aplicată ca urmare a unei plângeri formulate de un client care susținea că operatorul i-a șters contul după ce acesta s-a dezabonat de la newsletter-ul firmei respective.
Mai mult decât atât, Autoritatea a constatat că platforma în cauză, deși trimitea mesaje promoționale fără consimțământul expres al clientului, a procedat la dezactivarea contului acestuia, fără a-i oferi posibilitatea ulterioară de a-l reactiva.
Platforma de vânzare a biletelor a încălcat, conform unui comunicat al ANSPDCP, mai multe articole din GDPR, incluzând obligația de a respecta principiile de legalitate, echitate și transparență în prelucrarea datelor cu caracter personal.
Astfel, compania a șters contul unui client și a refuzat reactivarea acestuia după ce clientul și-a exercitat dreptul de ștergere, iar ulterior a anonimizat datele personale ale clientului după ce acesta și-a exercitat dreptul de opoziție la primirea newsletter-ului, fără a demonstra temeiul juridic pentru prelucrarea datelor cu caracter personal.
De asemenea, se susține în documentul citat, platforma nu a respectat dreptul clientului la informare și acces la datele sale personale, aceasta deși compania a informat clientul că a modificat adresa de e-mail pentru a putea fi utilizat contul, contul a rămas inactiv.
În plus, conform ANSPDCP, platforma online a prelucrat datele cu caracter personal ale clientului, mai exact numărul de telefon al clientului, în scop de marketing direct prin mesaje SMS, fără a obține consimțământul expres al persoanei vizate.
În urma investigației efectuate, ANSPDCP a dispus o serie de măsuri corective pentru operatorul în cauză, incluzând asigurarea conformității cu GDPR a operațiunilor de prelucrare a datelor personale, inclusiv de pseudonimizare și ștergere a acestora, comunicarea unui răspuns adecvat persoanei vizate cu privire la prelucrarea datelor sale personale în urma exercitării de către acesta a dreptului de opoziție și asigurarea conformității cu GDPR a operațiunilor de prelucrare ulterioară a datelor personale.
De asemenea, firma trebuie să instruiască periodic personalul care gestionează cererile persoanelor vizate și să asigure conformitatea cu GDPR a operațiunilor de colectare și prelucrare ulterioară a datelor personale.
În final, Autoritatea a obligat compania să implementeze corect și demonstrabil procedura de obținere a consimțământului expres al persoanelor vizate înainte de a le trimite comunicări comerciale prin mijloace electronice (inclusiv prin telefon și e-mail) și să înceteze transmiterea de comunicări publicitare în cazul persoanelor pentru care nu poate dovedi respectarea condițiilor de legalitate.
elgabri
Comentarii articol (0)