Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna decembrie 2025, o investigație la operatorul Roumasport S.R.L și a constatat încălcarea art. 32 alin. (1) lit. b) și alin. (2) coroborat cu art. 24 alin. (1) din Regulamentul (UE) 679/2016.

Ca atare, operatorul a fost sancționat cu amendă în cuantum de 50.920 lei (echivalentul sumei de 10.000 euro).

Investigația a fost demarată ca urmare a transmiterii de către operatorul Roumasport S.R.L a unor notificări de încălcare a securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) 2016/679.

În cadrul investigației, s-a constatat că, în urma unor atacuri cibernetice repetate asupra platformei informatice deținută de operator, au fost accesate în mod neutorizat date cu caracter personal.

Totodată, în cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat de accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, incluzând capacitatea de a asigura confidențialitatea și integritatea sistemelor și serviciilor de prelucrare, pentru prevenirea accesării ilegale a conturilor de client de la nivelului platformei deținute de operator.

Această situație a condus la accesarea neautorizată de date cu caracter personal ce aparțineau unui număr semnificativ de clienți ai operatorului, precum: nume, prenume, dată de naștere, gen, adresă de e-mail, magazin favorit, sport favorit, adresă poștală, număr de telefon, parolă, număr de cont, istoricul achizițiilor, număr de puncte de fidelitate, număr de vouchere de fidelitate.

Astfel, operatorul a fost sancționat cu amendă contravențională, pentru încălcarea prevederilor art. 32 alin. (1) lit. b) și alin. (2) coroborat cu art. 24 alin. (1) din Regulamentul (UE) 679/2016.

“ Art. 32 Securitatea prelucrării

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(...) b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare. (…)

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod”.

“Art. 24 Responsabilitatea operatorului

(1) Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar. (…)”

Direcția juridică și comunicare

A.N.S.P.D.C.P.