L'APD roumaine a infligé une amende de 2 000 euros à Casa Rusu SRL. Le responsable du traitement avait signalé à l'APD une violation de données conformément à l'article 33 du RGPD. Le responsable du traitement avait utilisé un formulaire non autorisé lors du processus de paiement sur son site Web, par le biais duquel les données bancaires des cartes des clients ont été collectées. Cela a permis un accès non autorisé aux données personnelles telles que le prénom et le nom du titulaire de la carte bancaire concernée, le numéro de la carte, la date d'expiration et l'année, le code CVC. Au cours de son enquête, l'APD a constaté que le responsable du traitement n'avait pas pris les mesures techniques et organisationnelles appropriées pour protéger les données personnelles.