4.000 de euro amendă pentru Fan Courier Express S.R.L. din cauza gestionării necorespunzătoare a cererii unui client
Pe 13 noiembrie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat finalizarea unei investigații asupra companiei Fan Courier Express S.R.L., în urma căreia s-a constatat că firma a încălcat mai multe prevederi ale Regulamentului (UE) 2016/679 (GDPR). Această investigație a fost inițiată după ce un petent a reclamat că nu a primit răspuns la cererea sa de exercitare a dreptului de acces și de ștergere a datelor personale.
ANSPDCP a aplicat societății două amenzi contravenționale, totalizând 20.380 lei (echivalentul a 4.000 euro). Prima amendă, în valoare de 15.285 lei (aproximativ 3.000 euro), a fost impusă pentru încălcarea dreptului de acces și de ștergere a datelor, conform articolelor 12 alin. (3) și (4), raportat la articolele 15 și 17 din regulament. Cea de-a doua sancțiune, în valoare de 5.095 lei (aproximativ 1.000 euro), a vizat prelucrarea neconformă a datelor personale, încălcând dispozițiile articolului 5 alin. (1) lit. a), c) și e), raportat la articolul 6 alin. (1) din același regulament.
Investigația a relevat că Fan Courier nu a transmis răspuns la cererea petentului și nu a comunicat o copie a datelor sale personale, așa cum era solicitat. În plus, s-a constatat că firma a prelucrat date cu caracter personal în mod ilegal, asociind o „mențiune denigratoare” referitoare la persoana vizată. ANSPDCP a subliniat că, conform jurisprudenței Curții de Justiție a Uniunii Europene (Cauza C-434/16), opiniile și evaluările despre o persoană pot constitui date cu caracter personal dacă se referă la „performanțele, comportamentul sau aptitudinile unei persoane identificabile”.
Pe lângă sancțiunile financiare, ANSPDCP a impus și măsuri corective pentru a asigura respectarea drepturilor persoanelor vizate. Fan Courier este obligată să transmită un răspuns complet petentului, care să includă o copie a datelor sale personale, furnizată în condiții de securitate, conform prevederilor articolului 15 din Regulamentul (UE) 2016/679. De asemenea, compania trebuie să reanalizeze necesitatea prelucrării anumitor informații referitoare la persoana vizată și să adopte măsuri tehnice și organizatorice corespunzătoare pentru a asigura conformitatea cu legislația europeană privind protecția datelor, inclusiv prin instruirea adecvată a personalului care gestionează aceste date.
Autoritatea a subliniat că „respectarea drepturilor persoanelor vizate reprezintă o obligație esențială a operatorilor de date, iar neglijarea acesteia poate atrage sancțiuni semnificative”.
