L’Autorité nationale de contrôle du traitement des données personnelles a terminé, en décembre 2024, une enquête auprès de l’opérateur RED&WHITE 2022 MANAGEMENT SA et a constaté une violation des dispositions de l’art. 28 paragraphe. (3) lettre. a) du règlement (UE) 2016/679.
Pour les actes commis, l’opérateur a été condamné à une amende de 24 854,50 lei (l’équivalent de 5 000 euros).
L’enquête sur l’opérateur sanctionné a été ouverte à la suite de problèmes signalés à l’Autorité par l’opérateur, respectivement par un représentant autorisé de l’opérateur, concernant une éventuelle violation des dispositions du règlement (UE) 2016/679 dans le cadre d’une campagne de financement participatif ( microfinancement). auprès des particuliers).
L’enquête a révélé que l’opérateur, en tant qu’actionnaire majoritaire d’une équipe de football, avait envoyé un courrier électronique concernant la possibilité de financer l’équipe par ses supporters, à une base de données composée d’un très grand nombre de courriers électroniques d’individus ciblés qui avaient acheté des billets pour les matchs de l’équipe. L’e-mail a été envoyé par l’intermédiaire d’une personne autorisée de l’opérateur, et la base de données utilisée contenait des données personnelles (nom, prénom, adresse e-mail) des supporters du club (fans) et d’autres personnes.
Dans ce contexte, l’opérateur n’a pas fourni la preuve de l’élaboration d’instructions documentées à l’intention de son sous-traitant concernant la catégorie (supporters) de personnes concernées dans la base de données utilisée, à qui le sous-traitant a envoyé l’e-mail, conçu et approuvé par l’opérateur, concernant l’ campagne de financement.
Il convient de souligner que le Règlement (UE) 2016/679 prévoit à l’art. 28 paragraphe. (3) que « le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou du droit national qui lie le sous-traitant à l’égard du responsable du traitement et qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées ainsi que les obligations et les droits de l’opérateur. (…)” .
En outre, l’article susmentionné réglemente, entre autres, que le contrat ou l’acte juridique respectif prévoit spécifiquement que la personne habilitée par l’opérateur traite les données personnelles uniquement sur la base d’« instructions documentées de l’opérateur ».
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_30_01_2025&lang=ro