L’Autorité nationale de contrôle du traitement des données personnelles a terminé, en février 2025, une enquête auprès de l’opérateur Noy Business Transactions SRL et a constaté une violation des dispositions de l’art. 12 paragraphes. (1)-(4) en relation avec l’art. 15 paragraphe (3) et art. 17 du règlement (UE) 2016/679.

L’opérateur a ainsi été condamné à une amende de 4 977,3 lei (équivalent à 1 000 euros).

L’enquête a été ouverte à la suite d’une plainte alléguant une possible violation des dispositions du règlement (UE) 2016/679. Ainsi, un client s’est plaint que l’opérateur ne lui a pas fourni de réponse à sa demande par laquelle il exerçait son droit d’accès à ses données personnelles (image), demandant les enregistrements de la caméra vidéo de son séjour à l’hôtel où il séjournait, appartenant à l’opérateur.

Au cours de l’enquête, l’Autorité nationale de contrôle du traitement des données personnelles a constaté que l’opérateur n’avait pas communiqué dans le délai légal une réponse écrite adéquate et complète à la demande de la personne, par laquelle elle avait exercé à la fois le droit d’accès et le droit de suppression de ses données.

Il a ainsi été établi que les dispositions de l’art. 12 paragraphes. (1)-(4) du règlement (UE) 2016/679, en relation avec l’art. 15 paragraphes. (3) et l’art. 17 du même acte européen.

Parallèlement, les mesures correctives suivantes ont également été prises à l’encontre de l’opérateur :

• d’envoyer une réponse complète à la demande de la personne concernée, aux coordonnées indiquées par elle, en communiquant de manière sécurisée les données personnelles demandées, dans la mesure où elles sont encore disponibles, ainsi que des informations concernant la suppression des données, en se référant aux dispositions de l’art. 15 paragraphes. (3) et (4), art. 17, en liaison avec l’art. 12 du règlement (UE) 2016/679 ;
• pour assurer le respect du règlement (UE) 2016/679 des opérations de traitement des données personnelles, en adoptant les mesures techniques et organisationnelles nécessaires, y compris en termes de formation appropriée du personnel désigné à cet effet, afin que l’opérateur soit en mesure d’analyser, de résoudre correctement et de répondre de manière appropriée aux demandes par lesquelles les personnes concernées exercent leurs droits, dans les délais et selon les conditions prévus à l’art. 12-23 du règlement (UE) 2016/679.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_11.03.2025&lang=ro