În urma verificărilor, Autoritatea a aplicat societății două amenzi contravenționale, în valoare totală de 20.380 de lei (echivalentul a 4.000 de euro). Prima amendă, în cuantum de 15.285 de lei (3.000 de euro), a fost aplicată pentru încălcarea dreptului de acces și de ștergere a datelor, conform art. 12 alin. (3) și (4), raportat la art. 15 și 17 din Regulamentul (UE) 2016/679. Cea de-a doua sancțiune, în valoare de 5.095 de lei (1.000 de euro), a vizat prelucrarea neconformă a datelor personale, cu încălcarea dispozițiilor art. 5 alin. (1) lit. a), c) și e), raportat la art. 6 alin. (1) din același regulament.

Controlul a fost inițiat după ce un petent a reclamat faptul că nu a primit niciun răspuns din partea Fan Courier la cererea de exercitare a dreptului de acces și de ștergere a datelor sale personale. Potrivit ANSPDCP, „operatorul nu a transmis răspuns la cererea petentului și nu a comunicat o copie a datelor sale cu caracter personal, așa cum i s-a solicitat”.

În plus, în cursul investigației s-a constatat că Fan Courier a prelucrat date cu caracter personal în mod nelegal, prin asocierea unei „mențiuni denigratoare” referitoare la persoana vizată. Autoritatea reamintește că, potrivit jurisprudenței Curții de Justiție a Uniunii Europene (Cauza C-434/16), opiniile și evaluările despre o persoană pot constitui date cu caracter personal, dacă se referă la „performanțele, comportamentul sau aptitudinile unei persoane identificabile”.

Pe lângă sancțiunile financiare, ANSPDCP a dispus și o serie de măsuri corective menite să asigure respectarea drepturilor persoanelor vizate. Astfel, Fan Courier este obligată să transmită un răspuns complet petentului, care să includă o copie a datelor sale personale, furnizată în condiții de securitate, în conformitate cu prevederile art. 15 din Regulamentul (UE) 2016/679.

De asemenea, compania trebuie să reanalizeze necesitatea prelucrării anumitor informații referitoare la persoana vizată și să adopte măsuri tehnice și organizatorice corespunzătoare pentru a asigura conformitatea cu legislația europeană privind protecția datelor, inclusiv prin instruirea adecvată a personalului care gestionează aceste date.

Autoritatea subliniază că „respectarea drepturilor persoanelor vizate reprezintă o obligație esențială a operatorilor de date, iar neglijarea acesteia poate atrage sancțiuni semnificative”.