Die Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat im Dezember 2024 eine Untersuchung beim Betreiber RED&WHITE 2022 MANAGEMENT SA abgeschlossen und einen Verstoß gegen die Bestimmungen von Art. 37 DSGVO festgestellt . 28 Absatz. (3) Brief. a) der Verordnung (EU) 2016/679.
Für die begangenen Taten wurde der Betreiber mit einer Geldstrafe von 24.854,50 Lei (umgerechnet 5.000 Euro) belegt.
Die Untersuchung gegen den sanktionierten Betreiber wurde eingeleitet, nachdem der Betreiber bzw. ein bevollmächtigter Vertreter des Betreibers der Behörde Hinweise auf einen möglichen Verstoß gegen die Bestimmungen der Verordnung (EU) 2016/679 im Rahmen einer Crowdfunding-Kampagne ( Mikrofinanzierung). von Einzelpersonen).
Die Untersuchung ergab, dass der Betreiber als Mehrheitseigentümer einer Fußballmannschaft eine E-Mail mit der Frage nach der Möglichkeit der Finanzierung der Mannschaft durch ihre Fans an eine Datenbank mit einer sehr großen Anzahl von E-Mails von gezielt ausgewählten Personen schickte, die Tickets für die Spiele der Mannschaft. Die E-Mail wurde über eine autorisierte Person des Betreibers versendet und die verwendete Datenbank enthielt personenbezogene Daten (Vor- und Nachname, E-Mail-Adresse) sowohl von Anhängern (Fans) des Vereins als auch von anderen Einzelpersonen.
In diesem Zusammenhang hat der Betreiber keinen Nachweis für die Entwicklung dokumentierter Anweisungen für seinen Auftragsverarbeiter in Bezug auf die Kategorie (Unterstützer) der betroffenen Personen in der verwendeten Datenbank erbracht, an die der Auftragsverarbeiter die vom Betreiber entworfene und genehmigte E-Mail über die Finanzierungskampagne.
Es ist hervorzuheben, dass die Verordnung (EU) 2016/679 in Art. 28 Absatz. (3) dass „die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsakts nach dem Recht der Union oder der Mitgliedstaaten erfolgt, der für den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindend ist und Gegenstand und Dauer der Verarbeitung, die Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Betreibers. (…)“ .
Darüber hinaus regelt der vorgenannte Artikel unter anderem, dass der jeweilige Vertrag oder Rechtsakt ausdrücklich vorsieht, dass die vom Betreiber bevollmächtigte Person personenbezogene Daten nur auf der Grundlage „ dokumentierter Anweisungen des Betreibers “ verarbeitet.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_30_01_2025&lang=ro