Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna martie 2026, o investigație care a vizat operatorul Crowd Entertainment Limited, constatând multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR), în special în ceea ce privește principiile de legalitate, exactitate și minimizare a datelor.

În urma controlului, autoritatea a aplicat două sancțiuni contravenționale distincte. Prima amendă, în valoare de 101.904 lei (echivalentul a 20.000 de euro), a fost dispusă pentru încălcarea principiilor privind legalitatea prelucrării și exactitatea datelor, precum și a obligației de responsabilitate a operatorului. A doua sancțiune, de 76.428 lei (echivalentul a 15.000 de euro), a vizat colectarea și stocarea excesivă de date personale, contrar principiului minimizării datelor.

Investigația a fost declanșată în urma unei plângeri formulate de o persoană care a reclamat faptul că a primit un mesaj SMS cu caracter comercial din partea operatorului, fără a-și fi exprimat consimțământul pentru utilizarea datelor sale în scop de marketing. În urma verificărilor, s-a stabilit că numărul de telefon al petentului fusese introdus de o altă persoană, la crearea unui cont de joc online pe una dintre platformele deținute de operator.

Autoritatea a constatat că operatorul nu a implementat mecanisme adecvate pentru verificarea exactității datelor furnizate la înregistrare, ceea ce a condus la prelucrarea unor date incorecte. Această deficiență a fost considerată o încălcare directă a principiilor fundamentale prevăzute de GDPR.

Mai mult, în încercarea de a răspunde solicitării persoanei vizate privind identificarea sursei datelor și dovada consimțământului, operatorul a colectat și stocat documente suplimentare care nu erau necesare scopului declarat. Printre acestea s-au numărat copia actului de identitate și o fotografie de tip „selfie”, considerate de autoritate ca fiind date excesive în raport cu scopul prelucrării.

Pe lângă sancțiunile financiare, ANSPDCP a dispus și o serie de măsuri corective obligatorii. Operatorul este obligat să își alinieze operațiunile de prelucrare a datelor la cerințele GDPR, prin implementarea unor măsuri tehnice și organizatorice adecvate. Acestea includ verificarea riguroasă a datelor furnizate de utilizatori la crearea conturilor, precum și limitarea colectării datelor strict la ceea ce este necesar pentru scopurile declarate.

De asemenea, compania trebuie să asigure instruirea personalului în materia protecției datelor și să adopte proceduri interne care să prevină colectarea și stocarea excesivă de informații personale.