Lista amenzi GDPR 2025

18 ian., 2025 Dan Gurghian No comments yet

Anul 2025 a menținut linia de control și sancționare în materie de protecția datelor, cu așteptări tot mai ridicate din partea autorității privind documentarea conformării și eficiența măsurilor de securitate. În acest context, organizațiile care tratează GDPR ca pe un proces continuu (nu ca pe un proiect punctual) au avut un avantaj clar în reducerea riscurilor de sancțiune.

În 2025, cele mai întâlnite motive de sancționare au continuat să includă: vulnerabilități de securitate și măsuri insuficiente, prelucrare fără temei legal adecvat, informare incompletă, consimțământ nevalid, lipsa controlului asupra împuterniciților (furnizori), precum și deficiențe în gestionarea drepturilor persoanelor vizate și a incidentelor (notificare, evaluare, măsuri corective).

În continuare, prezentăm lista amenzi GDPR 2025, cu detalii despre entitățile sancționate, valoarea amenzilor și justificările reținute de autoritatea de supraveghere. Această lista amenzi GDPR 2025 îți oferă un reper practic pentru a înțelege ce tipuri de neconformare sunt sancționate cel mai des și cum pot fi prevenite prin controale și proceduri clare.

Conținut

Lista amenzi GDPR 2025 în România

Roumasport S.R.L – Decembrie 2025 – 10.000 eur

ANSPDCP a sancționat Roumasport S.R.L. cu o amendă de 50.920 lei (≈ 10.000 euro) pentru nerespectarea obligațiilor privind securitatea prelucrării datelor și responsabilitatea operatorului, în urma unor atacuri cibernetice repetate asupra platformei sale online.

Investigația a fost declanșată după notificările de breșă transmise de operator și a relevat că măsurile tehnice și organizatorice implementate erau insuficiente pentru a preveni accesul neautorizat la conturile de client. Drept urmare, au fost compromise datele personale ale unui număr semnificativ de clienți, inclusiv: nume, prenume, dată de naștere, gen, e-mail, adresă, telefon, parolă, număr de cont, istoric de achiziții, preferințe sportive și date din programele de fidelitate.

Autoritatea a constatat încălcarea securității prelucrării și responsabilitatea operatorului, subliniind lipsa capacității de a asigura confidențialitatea și integritatea sistemelor, precum și absența unui proces eficient de revizuire și actualizare a măsurilor de securitate.

Cazul evidențiază importanța unei securități proactive și adaptate riscului, mai ales pentru platformele cu volume mari de date ale clienților și funcționalități de cont online.

Ordinul Asistenților Medicali Generaliști, Moașelor și Asistenților Medicali din România – Filiala Neamț – Decembrie 2025 – 2.000 eur

ANSPDCP a sancționat Ordinul Asistenților Medicali Generaliști, Moașelor și Asistenților Medicali din România – Filiala Neamț pentru încălcări multiple ale GDPR legate de supravegherea video la locul de muncă.

Autoritatea a aplicat o amendă de 10.177 lei (≈ 2.000 EUR) pentru prelucrarea datelor fără temei legal și 2 avertismente: unul pentru lipsa măsurilor de securitate adecvate și unul pentru neîndeplinirea obligațiilor de informare.

Investigația a pornit de la o plângere privind instalarea unei camere de supraveghere orientate spre biroul de lucru și sala de curs, fără informarea persoanelor vizate. ANSPDCP a constatat că operatorul a supravegheat video angajați și cursanți:

fără consultarea prealabilă a angajaților/sindicatului;
fără a demonstra că alte măsuri mai puțin intruzive au fost analizate anterior;
fără a implementa garanții adecvate de securitate și confidențialitate;
fără a furniza o informare completă și transparentă privind supravegherea video.

Ca măsuri corective, Autoritatea a dispus:

eliminarea camerelor din birouri și sala de curs, unde nu există temei legal;
informarea completă a persoanelor vizate cu privire la prelucrările de date;
implementarea măsurilor tehnice și organizatorice adecvate pentru toate prelucrările, în special CCTV;
limitarea camerelor exterioare strict la perimetrul propriu, fără captarea domeniului public.

Cazul subliniază că supravegherea video la locul de muncă este strict reglementată și poate fi utilizată doar în condiții bine justificate, transparente și proporționale, cu respectarea tuturor obligațiilor GDPR.

S.C. iHUNT TECHNOLOGY IMPORT-EXPORT SA- Decembrie 2025 – 4.000 eur

Operatorul S.C. iHUNT TECHNOLOGY IMPORT-EXPORT SA a fost sancționat cu amendă de 20.000 lei (≈ 4.000 EUR) pentru utilizarea necorespunzoare a cookie-urilor pe site: modulele cookie erau plasate înainte ca utilizatorii să își exprime opțiunea de acceptare sau refuz.

Investigația a fost declanșată în urma unei sesizări și a arătat că, la accesarea site-ului operatorului, erau instalate cookie-uri nenecesare din punct de vedere tehnic (de ex. cookie-uri de marketing, tracking) fără informare clară și completă și fără obținerea consimțământului prealabil expres al utilizatorilor.

Autoritatea subliniază că stocarea informațiilor pe echipamentele utilizatorilor sau accesul la acestea este permis doar cu îndeplinirea cumulativă a condițiilor legale: informare prealabilă și consimțământ valabil.

Crowd Entertainment Limited – Decembrie 2025 – 15.000 eur

Operatorul Crowd Entertainment Limited a fost sancționat cu amendă de 76.333 lei (≈ 15.000 EUR) în urma unei plângeri formulate de o persoană vizată care a reclamat modul defectuos de soluționare a cererii sale de acces la datele personale.

În urma investigației, ANSPDCP a constatat că operatorul:

nu a transmis un răspuns scris, complet și în termenul legal la cererea de acces formulată de persoana vizată;
nu a furnizat informațiile solicitate privind datele personale asociate conturilor de jucător deținute pe platformele sale;
nu a comunicat informațiile referitoare la cererile de autoexcludere, deși acestea fac parte din datele personale ale persoanei vizate.

Prin aceste fapte, operatorul a încălcat dispozițiile Regulamentului referitoare la obligația de a răspunde prompt, transparent și complet cererilor de exercitare a drepturilor persoanelor vizate.

Pe lângă sancțiunea cu amendă, ANSPDCP a dispus următoarele măsuri corective:

transmiterea unui răspuns complet către persoana vizată, incluzând toate informațiile solicitate;
implementarea unor măsuri tehnice și organizatorice adecvate pentru gestionarea corectă a cererilor GDPR;
implicarea activă a Responsabilului cu Protecția Datelor (DPO) în procesul de soluționare a cererilor privind drepturile persoanelor vizate.

Concluzie:
Cazul subliniază faptul că nerespectarea dreptului de acces, mai ales în domenii sensibile precum platformele de jocuri, poate atrage sancțiuni semnificative. Răspunsul incomplet sau tardiv la cererile persoanelor vizate reprezintă o încălcare directă a obligațiilor fundamentale impuse de GDPR.

Compania de Apă Oltenia S.A. – Decembrie 2025 – 1.000 eur

Operatorul Compania de Apă Oltenia S.A. a fost sancționat cu amendă de 5.084 lei (≈ 1.000 EUR) în urma unei plângeri privind dezvăluirea neautorizată a datelor personale ale unui client pe o rețea de socializare, de către o angajată a instituției.

În cadrul verificărilor, ANSPDCP a constatat că:

o angajată a operatorului a publicat, pe pagina sa de social media, date personale ale unei persoane vizate, referitoare la situația patrimonială și financiară a acesteia în relația cu compania;
divulgarea a avut loc în mod neautorizat, încălcând obligația de confidențialitate impusă persoanelor ce acționează sub autoritatea operatorului;
operatorul nu implementase măsuri tehnice și organizatorice suficiente pentru a preveni asemenea incidente, încălcând obligațiile prevăzute de GDPR, anume, instruirea personalului și controlul accesului.

Ca urmare, pe lângă sancțiunea cu amendă, operatorului i-au fost impuse următoarele măsuri corective:

instruirea regulată și adecvată a personalului privind confidențialitatea și limitele accesului la date;
implementarea unor proceduri stricte pentru a se asigura că angajații prelucrează datele doar la cererea operatorului și în limitele atribuțiilor legale;
consolidarea măsurilor de protecție și control intern asupra accesului la datele clienților.

Cazul demonstrează că risc crescut de breșe vine adesea din interiorul organizației, iar formarea adecvată a personalului, împreună cu proceduri clare de control, sunt esențiale pentru prevenirea divulgării neautorizate a datelor personale.

PFA Nițu A. Cleopatra – Noiembrie 2025 – 2.000 eur

Operatorul PFA Nițu A. Cleopatra, în calitate de expert contabil, a fost sancționată de ANSPDCP cu o amendă de 10.167 lei (≈ 2.000 EUR) pentru nerespectarea cerințelor de securitate a datelor prevăzute de GDPR.

Operatorul a notificat Autoritatea cu privire la o breșă de securitate: un atac cibernetic prin care infrastructura IT a fost compromisă, accesul la date a fost blocat, iar o parte din informațiile prelucrate au fost exfiltrate sau vizualizate neautorizat. În urma atacului cybernetic au fost expuse datele cu caracter personal al unui număr semnificativ de clienți, inclusive nume și prenume, CNP, adresă, număr de telefon, e-mail și date financiare și contabile: extrase de cont, documente de facturare, declarații fiscale

În urma investigației Autoritatea a constatat că:

operatorul nu implementase măsuri tehnice și organizatorice adecvate, având un nivel insuficient de protecție a datelor sensibile pe care le prelucrează în mod obișnuit ca expert contabil.
nu existau controale eficiente pentru a preveni: accesul neautorizat, modificarea sau pierderea datelor și divulgarea accidentală sau intenționată a documentelor contabile și fiscale

Breșa de securitate a condus la divulgarea datelor personale ale unui număr ridicat de persoane vizate, ceea ce a reprezentat o încălcare clară a GDPR privind confidențialitatea, integritatea și disponibilitatea datelor.

Acest caz arată încă o dată riscul ridicat asociat firmelor și PFA-urilor care oferă servicii contabile și financiare, unde volume mari de date sensibile sunt prelucrate zilnic.

Lipsa măsurilor adecvate de securitate poate duce la atacuri grave, divulgări de informații și sancțiuni financiare importante.

Cucina di Fabio S.R.L. – Noiembrie 2025 – 3.000 eur

Operatorul Cucina di Fabio S.R.L. a fost sancționată cu 15.253 lei (≈ 3.000 EUR) pentru prelucrarea nelegală a datelor personale în scop de marketing direct și pentru neimplementarea măsurilor „privacy by design & by default”, conform GDPR.

Investigația a pornit de la o plângere a unui client care a primit mesaje comerciale nesolicitate pe e-mail, fără să-și fi dat vreodată consimțământul.

În urma investigației, ANSPDCP a constatat că:

Operatorul nu poate demonstra consimțământul pentru transmiterea de comunicări comerciale.
Adresele de e-mail au fost colectate și utilizate fără verificarea provenienței și fără confirmarea explicită a utilizatorului real.
Sistemele interne și aplicațiile utilizate nu includeau măsuri prin care să se asigure că datele sunt folosite doar în baza unui consimțământ valid, încălcând cerințele de privacy by design și privacy by default.
La cererile de acces/ștergere, operatorul nu a dovedit gestionarea corectă conform art. 15 și 17.

În consecință, operatorul a fost sancționat cu 2 amenzi:

una de 1.000 EUR pentru prelucrare ilegală în scop de marketing
una de 2.000 EUR pentru lipsa măsurilor de protecție a datelor și nerespectarea drepturilor persoanelor vizate

Pe lângă sancțiunile cu amendă, s-au impus și măsuri corective. Operatorul trebuie să:

implementeze proceduri clare pentru obținerea consimțământului înainte de utilizarea datelor în marketing
revizuiască aplicațiile și sistemele interne pentru a preveni colectarea și utilizarea neautorizată a e-mailurilor
instruiască personalul responsabil pentru a asigura respectarea drepturilor persoanelor vizate (acces, opoziție, ștergere)

5. Greencorp S.R.L. – Noiembrie 2025 – 3.000 eur

Operatorul Greencorp S.R.L. a fost sancționat cu 15.258 lei (≈ 3.000 EUR) pentru încălcarea cerințelor de securitate prevăzute de GDPR, în urma unui atac cibernetic sever care a dus la criptarea bazei de date, blocarea accesului intern și compromiterea întregii infrastructuri IT.

Compania a notificat ANSPDCP că un atacator a reușit să acceseze și să cripteze baza lor de date, afectând un volum foarte mare de date sensibile ale angajaților, inclusiv: nume, CNP, data nașterii, copii minori și CNP-urile acestora, date complete din CI/pașaport, date de contact și date ale persoanelor de urgență, informații contractuale, salariale, medicale, conturi bancare, pontaje, fluturași, state de plată.

în urma investigatiei, ANSPDCP a stabilit că Greencorp nu avea măsuri tehnice de bază împotriva accesului neautorizat, autentificare multi-factor (MFA) pentru accesul la distanță, politici de parole complexe, procese de testare și evaluare periodică a vulnerabilităților, un nivel adecvat de reziliență și protecție a sistemelor IT.

În consecință, volumul ridicat de date sensibile expuse a generat un risc major pentru viața privată, securitatea financiară și profesională a angajaților, astfel că pe lângă sanctiunea cu amendă s-au impus și următoarele măsuri corective:

Greencorp trebuie să implementeze:

MFA pentru toate conturile accesibile de la distanță
politici de parole solide
măsuri tehnice și organizatorice avansate de securitate
procese regulate de testare, audit și evaluare a eficacității controalelor.

6. Vasile Nester – Cabinet de Avocat – Noiembrie 2025 – 4.000 eur

Operatorul Vasile Nester – Cabinet de Avocat a fost sancționat cu amendă de 20.000 lei (aproximativ 4.000 EUR) pentru încălcarea normelor de protecție a datelor.

Investigația a fost demarată ca urmare a unor sesizări referitoare la prelucrarea datelor personale și la utilizarea cookies-urilor neesențiale pe site-urile sale. În perioada mai-octombrie 2025, site-urile deținute de operator au permis instalarea automată a cookie-urilor neesențiale (cum ar fi cele de marketing sau statistice), fără consimțământul prealabil al utilizatorilor și fără informarea completă și corectă a acestora, încălcând astfel prevederile GDPR.

Chiar și firmele de avocatură, care ar trebui să fie exemplu în conformitatea cu GDPR, trebuie să fie extrem de atente la implementarea procedurilor corecte de consimțământ pentru cookies, informațiile oferite utilizatorilor și managementul corect al datelor. În acest caz, neîndeplinirea acestor obligații a dus la aplicarea unei amenzi substanțiale.

7. PGS SOFA & CO SRL – Noiembrie 2025 – 8.000 eur

Operatorul PGS SOFA & CO SRL a fost sancționat cu o amendă de 40.663 lei (aproximativ 8.000 EUR) pentru nerespectarea cerințelor de securitate a datelor impuse de GDPR.

Investigația a fost demarată după notificarea unui incident de securitate transmisă de operator. În urma unui atac cibernetic, au fost accesate și extrase date personale ale angajaților, clienților și colaboratorilor operatorului, incluzând date de identificare, salarii, conturi bancare, și alte informații confidențiale.

Autoritatea a constatat:

Lipsa măsurilor de securitate adecvate.
Lipsa testării și evaluării periodice a eficienței măsurilor de securitate.
Accesul neautorizat la datele personale ale unui număr semnificativ de persoane.

Pe lângă sancțiunea cu amendă s-au impus și următoarele măsuri corective:

Implementarea autentificării multi-factorială (MFA) pentru toate conturile de utilizator/admin.
Politica de complexitate a parolelor utilizate pentru accesul la infrastructura IT.
Testarea și evaluarea periodică a măsurilor tehnice și organizatorice de securitate.

Securitatea datelor nu este doar o opțiune, ci o obligație. Lipsa măsurilor de protecție adecvate poate duce la accesul neautorizat și la riscuri financiare și reputaționale pentru companii.

8. Fan Courier Express S.R.L. – Noiembrie 2025 – 4.000 eur

Operatorul Fan Courier Express S.R.L. a fost sancționat cu două amenzi contravenționale în valoare totală de 20.380 lei (≈ 4.000 EUR) pentru nerespectarea drepturilor persoanelor vizate și prelucrarea nejustificată de date cu caracter personal.

Investigația a fost demarată în urma unei plângeri din partea unei persoane care a solicitat accesul la datele personale și ștergerea acestora, însă nu a primit niciun răspuns de la operator.

În plus, din verificările efectuate, operatorul a prelucrat datele personale ale persoanei vizate adăugând o mențiune cu caracter denigrator, fără justificare legală.

În urma investigatiei, Autoritatea a constatat:

Nu a fost transmis niciun răspuns în termen legal la cererea de acces și ștergere.
Nu s-a furnizat copia datelor personale solicitate.
A fost făcută o prelucrare inadecvată prin atribuirea unei mențiuni negative clientului, fără temei legal.
A fost încălcat și dreptul la protejarea demnității și reputației unei persoane vizate, întrucât opiniile denigratoare pot constitui date personale, conform jurisprudenței CJUE (Cauza C‑434/16).

Pe lângă sancțiunile cu amendă: 3.000 EUR – pentru nerespectarea obligației de a răspunde la cererile de acces și ștergere și 1.000 EUR – pentru prelucrarea nelegală a datelor, s-au impus și următoarele măsuri corective:

Transmiterea unui răspuns complet și comunicarea în siguranță a copiei datelor.
Reanalizarea necesității prelucrării anumitor mențiuni.
Alinierea tuturor operațiunilor de prelucrare la cerințele GDPR.
Instruirea personalului pentru a preveni astfel de incidente în viitor.

Concluzie: Dreptul la acces și ștergere nu poate fi ignorat. Orice notă, observație sau evaluare negativă adăugată în dosarul unui client poate deveni dată personală, iar prelucrarea sa trebuie justificată și documentată. Lipsa unui răspuns și introducerea unor etichete nedocumentate pot atrage sancțiuni ferme din partea Autorității.

9. Whitedecor SRL. – Noiembrie 2025 – 2.000 eur

Operatorul Whitedecor SRL a fost sancționat cu două amenzi contravenționale, în valoare totală de 10.164 lei (≈ 2.000 EUR), pentru încălcarea mai multor obligații prevăzute de Regulamentul GDPR privind consimțământul, dreptul de opoziție, acces, ștergere și termenele de răspuns.

Investigația a fost demarată în urma unei plângeri a unei persoane vizate care a reclamat primirea repetată de mesaje comerciale nesolicitate, fără a-și fi dat consimțământul și lipsa răspunsului la solicitarea de ștergere a datelor, încetare a prelucrării în scop de marketing și exercitarea dreptului de acces.

ANSPDCP a constatat lipsa consimțământului pentru marketing direct, nerespectarea termenului legal de răspuns (max. 1 lună) la cererile privind dreptul de acces, opoziție și ștergere. În plus, operatorul nu a făcut dovada că a răspuns petentului în niciun fel.

Pe lângă sancțiunea cu amendă, s-au impus următoarele măsuri corective:

Elaborarea de proceduri interne privind gestionarea cererilor persoanelor vizate;
Adoptarea de proceduri clare pentru marketing direct, prin care mesajele comerciale să fie trimise doar cu consimțământ explicit și informat;
Instruirea personalului privind aceste obligații.

Comunicarea comercială prin SMS, email sau telefon nu se poate face fără acordul expres al clientului. Iar solicitările GDPR (ștergere, acces, opoziție) trebuie tratate cu seriozitate și în termen. Lipsa procedurilor și a răspunsului atrage sancțiuni.

10. Klass Wagen S.R.L. – Noiembrie 2025 – 7.000 eur

Operatorul Klass Wagen S.R.L. a fost sancționat cu amendă în valoare de 35.615 lei (≈ 7.000 EUR) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate principală în cadrul unui caz cu implicații transfrontaliere.

Investigația a fost declanșată ca urmare a unei notificări de încălcare a securității datelor și a unei sesizări. Incidentul a implicat accesul neautorizat la sistemul de gestionare a contractelor, ca urmare a divulgării credențialelor unor colegi de către un fost angajat al companiei. Din cauza unei raportări interne întârziate, operatorul nu a luat măsuri rapide și adecvate, ceea ce a permis accesul ilegal la datele personale ale unui număr semnificativ de persoane fizice (inclusiv din UE, SEE și țări terțe).

Datele afectate au inclus: nume și prenume, adresă, telefon, email, locul și data nașterii, permis de conducere, CI/pașaport, CNP.

Autoritatea a constatat încălcarea obligațiilor privind securitatea datelor întrucât operatorul nu a avut implementate măsuri suficiente de control al accesului și nici o procedură clară de dezactivare a conturilor și revocare a drepturilor pentru foști angajați.

Pe lângă sancțiunea cu amendă, s-a impus și măsura corectivă de implementare a unei proceduri interne pentru dezactivarea imediată a conturilor IT ale angajaților care părăsesc compania și revocarea tuturor drepturilor de acces asociate.

Această amendă subliniază riscurile reale generate de neglijența în gestionarea accesului la sistemele informatice, mai ales în cazul foștilor angajați. Procedurile de offboarding, controlul drepturilor de acces și monitorizarea conturilor trebuie tratate cu maximă seriozitate.

11. THERE’S AN AI FOR THAT S.R.L – Noiembrie 2025 – 6.000 eur

Operatorul There’s an AI for That S.R.L. a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 30.000 lei pentru încălcarea confidențialității în comunicațiile electronice.

Investigația a pornit în urma unei sesizări venite de la o persoană fizică, care a reclamat că website-ul companiei instala module cookie neesențiale (de marketing și analiză) pe dispozitivele utilizatorilor fără consimțământ prealabil și fără o informare clară privind scopul colectării.

Autoritatea a confirmat că site-ul operatorului:

permitea stocarea de cookie-uri care nu erau necesare funcționării tehnice;
nu afișa un banner de consimțământ conform GDPR, cu opțiuni clare Accept / Refuz / Setări;
nu oferea informații transparente și ușor de înțeles despre prelucrarea datelor.

Prin urmare, compania a fost sancționată pentru instalarea cookie-urilor neesențiale fără acordul utilizatorilor și lipsa transparenței privind scopul prelucrării.

Această amendă reamintește operatorilor din mediul digital că orice colectare de date prin tehnologii online (cookie-uri, pixeli, trackere) necesită consimțământ expres și informare clară, chiar și în cazul website-urilor de tip AI, start-up sau platforme tehnologice.

12. Agency for Control of Outstanding Debts S.R.L. – Octombrie 2025 – 2.000 eur

Operatorul Agency for Control of Outstanding Debts S.R.L. a fost amendat cu 10.192 lei (≈ 2.000 euro) pentru nerespectarea obligațiilor privind exercitarea dreptului de acces la date și a termenelor de răspuns prevăzute de GDPR.

Ce s-a constatat în urma investigației ANSPDCP:

Operatorul nu a transmis un răspuns complet și în termen legal la cererea unei persoane vizate.
Nu a fost furnizată copia datelor solicitate (înregistrări vocale).
Nu s-au comunicat nici motivele refuzului, contrar prevederilor din GDPR.

Pe lângă amendă, s-au impus și măsuri corective:

Răspuns complet către persoana vizată, inclusiv transmiterea înregistrărilor solicitate;
Instruirea personalului și implementarea unor proceduri clare pentru respectarea drepturilor persoanelor vizate.

Concluzie: Operatorii care gestionează date sensibile, inclusiv în domeniul recuperării creanțelor, trebuie să trateze cu maximă seriozitate solicitările persoanelor vizate. Lipsa unui răspuns sau neacordarea accesului la date poate atrage amenzi și măsuri corective suplimentare.

13. S.P.E.E.H. Hidroelectrica SA – Octombrie 2025 – 5.000 eur

Operatorul S.P.E.E.H. Hidroelectrica SA a fost sancționat cu o amendă de 25.392 lei (≈ 5.000 euro) pentru încălcarea normelor privind securitatea datelor.

Investigația a fost declanșată după ce un client a primit, prin e-mail, o factură ce aparținea altei persoane. În urma analizei, Autoritatea a constatat că incidentul a fost cauzat de o eroare tehnică în sistemul informatic utilizat de Hidroelectrica pentru transmiterea facturilor.

Printre datele personale divulgate se numără: nume și prenume, adresa, codul de client, numărul și data contractului, consumul facturat, detalii de măsurare și de plată.

În urma investigației, Autoritatea a constatat că Hidroelectrica nu a implementat măsuri tehnice și organizatorice adecvate pentru a preveni astfel de divulgări accidentale. Lipsa controlului asupra datelor și absența unor mecanisme eficiente de protecție a condus la încălcarea confidențialității pentru mai mulți clienți.

14. PRIME TRANSACTION SA – Octombrie 2025 – 2.000 eur

Operatorul PRIME TRANSACTION SA a fost sancționat cu o amendă de 10.162,2 lei (echivalentul a 2.000 EURO) pentru încălcarea dispozițiilor Regulamentului General privind Protecția Datelor (RGPD), în special articolele referitoare la măsurile de securitate a datelor.

Autoritatea a demarat investigația ca urmare a transmiterii de către PRIME TRANSACTION SA a unei notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679.

În cadrul investigației efectuate s-a constatat faptul că încălcarea securității prelucrării datelor s-a produs ca urmare a unui atac informatic, situație ce a condus la accesul neautorizat, în perioada 09-10.06.2025, la datele cu caracter personal (nume, adresă, CNP, adrese de e-mail, numere de telefon, extrase de cont, venit anual, angajator, copii ale actelor de identitate) ale unui număr semnificativ de persoane vizate.

Ca atare, sancțiunea a fost aplicată întrucât operatorul nu a implementat măsuri tehnice și organizatorice adecvate și nu a realizat testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

15. CORAL TRAVEL & TOURISM SERVICES S.R.L. – Octombrie 2025 – 1.000 eur

Operatorul CORAL TRAVEL & TOURISM SERVICES S.R.L a fost sancționat cu amendă de 5.000 lei (≈ 1.000 EUR) pentru încălcarea legislației privind utilizarea cookie-urilor.

În cadrul unei investigații demarate din oficiu, Autoritatea a observat că site-ul seta module cookies nenecesare (ex. marketing, analiză) fără a obține acordul prealabil al utilizatorilor.

Pe lângă sancțiune, s-a impus și măsura corectivă de implementare a unui banner de consimțământ clar, vizibil și funcțional, care să permită vizitatorilor exprimarea unei opțiuni reale (Accept / Refuz / Setări).

16. Vellea Home SRL – Octombrie 2025 – 5.000 eur

Operatorul Vellea Home SRL a fost sancționat cu amendă de 25.376 lei (≈ 5.000 EUR) pentru măsuri de securitate cibernetică insuficiente, ce au dus la accesul neautorizat la datele clienților din magazinul online.

Investigația a pornit de la o notificare de încălcare a securității transmisă chiar de operator. În urma unui atac informatic, au fost accesate neautorizat datele de contact (telefon, e-mail, adresă de livrare) ale unui număr semnificativ de clienți.

Autoritatea a constatat că operatorul nu avea implementate măsuri tehnice și organizatorice adecvate, iar sistemele sale nu asigurau confidențialitatea, integritatea și rezistența continuă a datelor prelucrate prin intermediul platformei de e-commerce.

Pe lângă sancțiunea cu amendă, ANSPDCP a impus și măsuri corective, în special:

Revizuirea planului de răspuns la incidente, incluzând proceduri clare pentru detecția timpurie a amenințărilor;
Implementarea de scanări automate ale vulnerabilităților din sistem, pentru a preveni noi accesări neautorizate.

Concluzie: Platformele online trebuie să trateze securitatea datelor cu maximă seriozitate – breșele înseamnă nu doar pierderea încrederii clienților, ci și risc financiar și reputațional major.

17. EON ENERGIE ROMANIA S.A. – Octombrie 2025 – 25.000 eur

Operatorul E.ON Energie România S.A. a fost sancționat cu amendă de 126.797 lei (≈ 25.000 EUR) pentru încălcarea cerințelor privind securitatea datelor cu caracter personal.

Investigația a fost declanșată de o notificare transmisă chiar de operator privind o breșă de securitate: au fost accesate și exfiltrate în mod neautorizat datele de conectare (email + parolă) ale unui număr semnificativ de clienți.

În urma investigației, ANSPDCP a constatat că nu existau măsuri tehnice și organizatorice adecvate, iar lipsa autentificării în doi pași (MFA) a permis accesul neautorizat. Breșa a generat un risc ridicat de prejudicii financiare pentru persoanele vizate.

Pe lângă sancțiunea cu amendă, s-au impus și măsuri corective, în special:

Implementarea autentificării multi-factor (MFA) pentru toți utilizatorii;
Adoptarea unor măsuri suplimentare de securitate pentru conturile clienților.

Această sancțiune reamintește importanța protecției robuste a conturilor online și a aplicării stricte a principiilor de confidențialitate, integritate și reziliență în prelucrarea datelor.

18. S.C. PRIMONET RO SRL – Septembrie 2025 – 20.000 eur

Operatorul S.C. PRIMONET RO S.R.L., care administrează o platformă de e-commerce, a fost sancționat de ANSPDCP cu o amendă de 101.544 lei (≈ 20.000 EUR) în urma unei breșe de securitate notificate de operator și semnalate ulterior și prin două plângeri depuse de clienți afectați.

În timpul atacului cibernetic, au fost extrase date bancare sensibile ale unui număr semnificativ de clienți: număr card, cod CVC, nume și prenume, data expirării cardului.

Constatările Autorității:

Site-ul operatorului rula pe o versiune învechită a platformei e-commerce, cu vulnerabilități nerezolvate.
Nu existau măsuri tehnice și organizatorice capabile să prevină sau să limiteze riscurile de modificare neautorizată a codului sursă.
Clienții au suferit pagube directe: tranzacții neautorizate, sume retrase ilegal, carduri blocate și nevoia reemiterii acestora.

Pe lângă amendă, ANSPDCP a obligat operatorul să implementeze următoarele măsuri corective:

un sistem de log-uri a tuturor accesărilor în platforma de e-commerce;
proceduri de backup regulat asupra acestor fișiere de log-uri.

Concluzie:

Breșele de securitate din sectorul e-commerce pot avea consecințe financiare directe asupra clienților și pot atrage sancțiuni semnificative. Lipsa de actualizări și protecții adecvate asupra platformei digitale a fost decisivă în aplicarea amenzii (20.000 €).

Operatorul a achitat amenda și urmează să implementeze noile cerințe impuse de Autoritate.

19. Dr.Max SRL – Septembrie 2025 – 1.000 eur

Operatorul Dr.Max SRL a fost sancționat cu amendă în valoare de 5.057,8 lei (≈ 1.000 EUR) pentru încălcarea dreptului la ștergerea datelor și a obligației de a răspunde în termen legal la cererile persoanelor vizate.

Investigația a fost demarată în urma unei plângeri transmise de o persoană care a solicitat ștergerea datelor personale deținute de operator, dar nu a primit niciun răspuns, iar o copie a cărții sale de identitate fusese reținută de un angajat al companiei fără consimțământ.

În urma investigației, Autoritatea a constatat:

Dr.Max nu a oferit un răspuns documentat la cererea de ștergere.
Operatorul nu a putut dovedi că a analizat și soluționat cererea.
Reținerea CI-ului s-a făcut fără temei legal sau consimțământ, contrar principiilor GDPR.

Măsuri corective impuse:

Revizuirea și implementarea procedurilor interne pentru gestionarea cererilor privind drepturile persoanelor vizate.
Instruirea periodică a personalului în acest sens.
Comunicarea unui răspuns complet către petentă privind cererea de ștergere.

Furnizorii de servicii – inclusiv din domeniul farmaceutic – au obligația legală de a răspunde prompt la cererile persoanelor vizate. Lipsa de reacție și păstrarea abuzivă a copiilor actelor de identitate pot atrage sancțiuni.

20. Lenjeria Magică SRL – Septembrie 2025 – 3.000 eur

Operatorul Lenjeria Magică SRL a fost sancționat cu amendă în valoare de 15.000 lei pentru utilizarea de cookie-uri neesențiale pe website, fără consimțământul prealabil al utilizatorilor și fără o informare clară și accesibilă privind scopul acestora.

Investigația a fost demarată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în urma unei sesizări privind nerespectarea regulilor privind confidențialitatea în comunicațiile electronice.

Folosirea cookie-urilor de marketing, analiză sau profilare fără consimțământ explicit poate atrage amenzi semnificative, chiar și pentru magazinele online mici sau medii. Operatorii trebuie să implementeze bannere de consimțământ conforme, cu opțiuni reale de Accept/Refuz și acces la setări detaliate.

21. Unita Turism Holding S.A. – Septembrie 2025 – 5.000 eur

Operatorul de date Unita Turism Holding S.A. a fost sancționată cu amendă de 25.368 lei (≈ 5.000 euro) pentru lipsa unor măsuri de securitate adecvate.

Investigația a pornit de la notificarea operatorului privind un atac informatic, în urma căruia au fost divulgate și extrase date personale ale unor actuali și foști angajați, precum: nume, prenume, funcție, domiciliu, CNP, dar și documente medicale și financiar-bancare.

ANSPDCP a constatat că operatorul nu implementase controale tehnice și organizatorice suficiente pentru a preveni accesul, divulgarea sau modificarea neautorizată a datelor și nici procese de testare și evaluare periodică a eficienței măsurilor de securitate.

Operatorul a achitat amenda aplicată și are obligația de a-și consolida securitatea IT pentru a preveni incidente similare.

22. Persoana fizică Dumitrescu Mihai-Ovidiu – Septembrie 2025 – 7.000 eur

ANSPDCP a aplicat o amendă de 37.000 lei persoanei fizice Dumitrescu Mihai-Ovidiu, pentru încălcarea prevederilor art. 4 alin. (5) lit. a) și b) din Legea nr. 506/2004 privind comunicațiile electronice.

Ce s-a constatat în urma investigației:

Pe site-urile deținute de operator, erau setate cookie-uri neesențiale (ex. de marketing, tracking) fără consimțământul prealabil al utilizatorilor.
De asemenea, au fost utilizate tehnologii de monitorizare a traficului pentru a plasa reclame malițioase pe dispozitivele utilizatorilor.
Activitățile s-au desfășurat într-un interval extins: septembrie 2023 – aprilie 2025, generând venituri pentru operator.

În concluzie:
Este interzisă instalarea de cookie-uri care nu sunt strict necesare înainte de exprimarea consimțământului. Plasarea de reclame prin metode intruzive și lipsa transparenței privind monitorizarea echivalează cu o gravă încălcare a legislației privind viața privată în mediul digital.

23. SC La Fantana SRL – Septembrie 2025 – 10.000 eur

Operatorul La Fântâna S.R.L. a fost sancționat de ANSPDCP cu o amendă de 50.693 lei (≈ 10.000 euro) în urma unei breșe de securitate care a afectat date sensibile ale clienților.

Ce s-a întâmplat? Un atac informatic a dus la divulgarea neautorizată a datelor personale ale unui număr semnificativ de persoane, inclusiv nume și prenume, număr card bancar, dată expirare, cod de securitate (CVV)

În urma investigației, Autoritatea a constatat:

Lipsa unor măsuri tehnice și organizatorice adecvate, adaptate riscurilor prelucrării.
Absența capacității de a garanta confidențialitatea, integritatea și rezistența sistemelor.
Risc major de fraudă bancară pentru persoanele afectate.

Operatorul a achitat amenda și are obligația de a consolida urgent nivelul de protecție a datelor și infrastructura IT.

24. SC Elite Conta SRL – August 2025 – 3.000 eur

Operatorul de date SC Elite Conta SRL a fost sanctionat cu amendă de 15.227,70 lei (≈ 3.000 €) în urma notificării unei breșe aparute după un atac cibernetic care a dus la acces neautorizat și divulgare de date.

Au fost afectate date pentru un număr semnificativ de persoane: nume, prenume, CNP, serie/număr CI, semnătură, domiciliu, funcție, salariu de încadrare.

În urma investigației, ANSPDCP a constatat:

lipsa unor măsuri tehnice/organizatorice adecvate;
acces nesecurizat la echipamentul de stocare de rețea;
absența unui proces periodic de testare, evaluare și apreciere a eficacității controalelor de securitate (confidențialitate, integritate, reziliență).

Pe lângă sancțiunea cu amendă, s-au impus și următoarele măsuri corective:

utilizarea de sisteme de operare cu suport activ de la producător;
antivirus complet și actualizat pe toate echipamentele (servere și stații);
securizarea accesului extern: VPN, MFA, restricționare IP;
implementarea unui ciclu recurent de testare/evaluare a măsurilor de securitate.

Operatorul a achitat amenda.

25. Asociația Casa de Ajutor Reciproc „FLEXICREDIT”- August 2025 – 3.000 eur

Operatorul de date Asociația Casa de Ajutor Reciproc „FLEXICREDIT” a fost sanctionat cu amendă de 15.141,6 lei (≈ 3.000 EUR) pentru măsuri de securitate insuficiente în raport cu riscurile prelucrării.

Operatorul a sesizat ANSPDCP după ce o angajată a unei școli a accesat neautorizat e‑mailul oficial al școlii și a transmis documente falsificate către Flexicredit pentru a obține 17 credite. Astfel au fost afectate nume, prenume, CNP, adresă, serie/număr CI, date despre emitent și valabilitate CI, pentru un număr semnificativ de persoane.

În urma investigației, Autoritatea a constatat:

Flexicredit a acordat credite pe baza documentelor trimise electronic de o terță persoană, fără consimțământul real al titularilor.
Verificarea identității solicitanților în procedurile la distanță a fost inadecvată.
Măsuri tehnice și organizatorice insuficiente pentru a preveni fraudă și accesul neautorizat.

Concluzie: securitatea slabă = invitație la fraudă

26. Ordinul Biochimiștilor, Biologilor și Chimiștilor din Sistemul Sanitar – August 2025 – 1.000 eur

Operatorul de date Ordinul Biochimiștilor, Biologilor și Chimiștilor din Sistemul Sanitar a fost sancționat cu amendă de 5.079,5 lei (≈ 1 000 €) pentru nerespectarea dreptului de acces și a termenului de răspuns, plus avertisment pentru refuzul de a coopera cu ANSPDCP în timpul investigației.

Un membru a reclamat că nu primește răspuns la cererile de acces la propriile date. Autoritatea a cerut Ordinului să soluționeze solicitarea; instituția nu a răspuns nici atunci.

Astfel, pe lângă sancțiunea cu amendă s-au impus și următoarele măsuri corrective:

Elaborarea și aplicarea unei proceduri interne pentru gestionarea tuturor cererilor GDPR
Instruirea periodică a personalului.
Transmiterea, fără întârziere, a unui răspuns complet petentului privind dreptul de acces.

Concluzie: lipsa procedurilor clare de răspuns la drepturile persoanelor vizate și refuzul de cooperare cu ANSPDCP au generat sancțiuni. Ordinul trebuie să implementeze rapid un flux formal de soluționare a cererilor și să își pregătească personalul pentru respectarea termenelor legale.

27. Agricola International SA – Iulie 2025 – 5.000 eur

Operatorul de date Agricola International SA a fost sancționat cu amendă de 25.226,50 lei, echivalentul a≈ 5 000 € pentru securitate tehnică insuficientă.

Un atac cibernetic a compromis serverul de fișiere astfel că au fost expuse date extinse ale angajaților, membrilor de familie și clienților:

date de identitate (CNP, CI, foto act), adrese, numere de telefon;
informații HR complete (funcție, salarizare, concedii, cont bancar, fișe medicale, diplome);
date ale soțului/soției și ale părinților.

În urma investigației, ANSPDCP a constatat:

Lipsă măsuri de acces securizat la storage‑ul de rețea.
Lipsă testări periodice de vulnerabilitate și de eficiență a controalelor.
Infrastructură IT cu sisteme nesuportate și antivirus incomplet.

Pe lângă sancțiunea cu amendă, s-au aplicat următoarele măsuri corrective: instalarea de sisteme de operare cu suport activ, antivirus actualizat pe toate dispozitivele, securizare acces extern (VPN, MFA, restricții IP), implementarea unui proces recurent de testare, evaluare și audit al securității.

Agricola a achitat amenda și trebuie să își ridice rapid nivelul de „security by design” pentru a preveni divulgări similare.

28. Georgescu Călin – Iulie 2025 – 10.000 eur

Operatorul de date Georgescu Călin a fost sancționat cu 2 amenzi în valoare totală de 50.286,8 lei, echivalentul a aproximativ 10.000 euro pentru:

1 – instalarea de cookie‑uri neesențiale fără consimțământ și fără informare (30.000 lei) și

2- pentru lipsa informării persoanelor vizate cu privire la datele colectate prin formularul de contact (20.286,80 lei, echivalentul a aproximativ 4.000 €).

Ce a constatat ANSPDCP?

În perioada 6 dec 2024 – 3 apr 2025, la accesarea site‑ului politicianului se instalau cookie‑uri de marketing/statistică fără acord prealabil și fără banner de informare.

Vizitatorii care completau formularul de contact (nume, e‑mail, telefon) nu primeau nicio notă de informare despre scop, temei legal, perioadă de stocare sau drepturi GDPR.

Concluzie

Chiar și în campaniile politice, cookie‑urile neesențiale necesită opt‑in, iar colectarea de date prin formulare impune o politică de confidențialitate vizibilă.

29. SC Tremend Software Consulting SRL – Iulie 2025 – 3.000 eur

Operatorul de date SC Tremend Software Consulting SRL a fost sancționat cu amendă de 15 161,10 lei (≈ 3 000 €) pentru securitate insuficientă și control inadecvat al accesului intern.

Ce s‑a întâmplat mai exact? Compania a raportat o breșă de securitate proprie (dec. 2024 – feb. 2025) în urma căreia persoane neautorizate au accesat date interne despre angajați: nume, e‑mail de serviciu, departament, rol/post, birou/regiune, competențe principale, ID și mod de autentificare Windows.

ANSPDCP a constatat în urma investigației:

lipsă de măsuri tehnice/organizaționale pentru a se asigura că personalul procesează date doar la instrucțiunea operatorului.
Control de acces slab – datele au putut fi consultate fără aprobare explicită.
Obligațiile de testare și monitorizare periodică a securității nu au fost îndeplinite.

Pe lângă sancțiunea cu amendă, pe care operatorul a și plătit-o s-a mai impus și obligația de a consolida politicile de control al accesului, de a revizui drepturile de utilizator și de a efectua audituri de securitate regulate pentru a preveni accesul neautorizat pe viitor.

30. Selgros Cash & Carry SRL – Iulie 2025 – 3.000 eur

Operatorul de date Selgros Cash & Carry SRL a fost sancționat cu amendă de 15 109,80 lei (≈ 3 000 €) pentru securitate insuficientă. Compania a notificat ANSPDCP despre o breșă: o eroare de programare într‑o aplicație internă a expus datele angajaților: nume, prenume, locul muncii, număr marcă intern, venituri salariale și alte informații contractuale.

În urma investigatiei, Autoritatea a constatat:

Măsuri organizatorice neadecvate: lipsă proceduri care să prevină accesul neautorizat la aplicație.
Fără testări periodice ale aplicației și ale controalelor de securitate.
Consecință: divulgare/ acces neautorizat la date pentru un număr semnificativ de persoane.

Pe lângă sancțiunea cu amendă, s-a impus și măsura corectivă de implementare a unui ciclu regulat de testare, evaluare și audit al aplicației și al altor controale tehnice, pentru a menține un nivel de securitate adecvat riscului.

Selgros a achitat amenda și trebuie să își consolideze procesul de „security by design & testing” pentru a evita incidente similare pe viitor.

31. Partidul AUR – Iulie 2025 – 25.000 eur

Operatorul de date Partidul AUR a fost sancționat cu 2 amenzi în valoare totală de 126.467,5 lei (≈ 25 000 €):

587 lei (10 000 €) pentru deficiențe de securitate & „privacy‑by‑design”
880,5 lei (15 000 €) pentru colectare excesivă de date fără temei legal

Prima amendă a fost aplicată din cauza lipsei de măsuri tehnice și teste periodice la aplicația mobilă aur.mobi. Din cauza unei greșeali de configurare, orice persoană terță putea accesa codul‑sursă și putea vizualiza profiluri detaliate ale membrilor/susținătorilor: date de identificare, contact, CNP, religie, profesie, studii, experiență politică.

A doua amendă a fost aplicată întrucât platformele semnezsivotez.ro / .org colectau nume, C.I., adresă, CNP, e‑mail, telefon, semnătură pentru campanii și statistici, date care nu sunt “date adecvate, relevante și limitate” așa cum cere Regulamentul.

Problemele constatate:

volum de date disproporționat față de scop;
lipsă temei legal clar;
nerespectarea principiului „minimizării”.

Platformele au fost dezactivate pe parcursul investigației.

Pe lângă sancțiunile cu amenzi, s-au impus și următoarele măsuri corective:

Implementarea de controale tehnice/organizaționale „privacy‑by‑design & privacy-by-default” și audit periodic al aplicației mobile.
Revizuirea fluxurilor de colectare: doar date strict necesare, cu temei legal documentat; informare transparentă.
Menținerea suspendării sau redesign‑ul complet al platformelor online înainte de relansare.

Concluzie: lipsa securității proactive și colectarea excesivă de date pot costa scump – chiar și actorii politici trebuie să respecte integral principiile GDPR și să demonstreze temei legal pentru fiecare categorie de date.

32. YDAIL CONSTRUCT SRL – Iunie 2025 – 4.000 eur

Operatorul de date YDAIL CONSTRUCT SRL a fost sancționat cu amendă 20.000 lei, echivalentul a 4.000 euro, nerespectarea regulilor referitoare la cookie‑uri.

În urma unei sesizări privind magazinul online al companiei, s-a constatat că site‑ul seta cookie‑uri de marketing/statistică imediat după acces, deși nu sunt strict necesare funcționării tehnice. Operatorul nu deținea consimțământul explicit al utilizatorilor înainte de stocarea acestor cookie‑uri.

Pe lângă sancțiunea cu amendă s-a impus și măsura corectivă de reconfigurare a mecanismului de instalare a cookie‑urilor astfel încât modulele non‑esențiale (analytics, advertising etc.) să fie plasate numai după acceptul clar al vizitatorului, conform GDPR.

Morală: bannerele de consimțământ trebuie să permită alegere reală; orice setare automată de cookie‑uri non‑tehnice expune operatorul la sancțiuni semnificative.

33. SC Piramida Trade Invest SRL – Iunie 2025 – 3.000 eur

Operatorul de date SC Piramida Trade Invest SRL a fost sancționat cu 2 amenzi totale de 15.219 lei, echivalentul a 3.000€, pentru prelucrare video nelegală și lipsă de răspuns la cererile de acces/ștergere/opunere și cu avertisment pentru lipsă măsuri de securitate.

În urma investigației, s-au constatat următoarele:

Monitorizare audio‑video excesivă: camere de supraveghere în birouri, depozit, hală; angajații nu au fost informați; nu s‑au folosit metode mai puțin intruzive.
Nerespectarea drepturilor salariaților: operatorul nu a răspuns în 30 zile la cererile de acces, ștergere și opoziție și nu a furnizat copiile înregistrărilor solicitate.
Breach intern: un filtru de redirect e‑mail, instalat fără știrea managementului, a trimis documente (inclusiv medicale) în afara firmei; operatorul nu avea proceduri tehnice/organizatorice pentru prevenire și detectare.

Pe lângă amenzile aplicate s-au impus și următoarele măsuri corective.

Limitarea supravegherii – camerele exterioare doar pe perimetrul societății; eliminarea camerelor din birouri/depozit/hală fără temei legal;
Informare completă – afișare și furnizare informații în conformitate cu GDPR;
Proceduri interne pentru drepturile persoanelor vizate – termene, fluxuri, dovadă răspuns;
Politică internă de securitate & incident‑response – identificare, analiză risc, notificare ANSPDCP, instruire periodică a personalului;
Răspuns imediat salariatului – comunicarea datelor solicitate privind acces, opoziție, ștergere.

În concluzie, Piramida Trade Invest trebuie să recalibreze complet monitorizarea la locul de muncă, să instituie proceduri clare pentru solicitările angajaților și să întărească controlul intern al comunicațiilor pentru a preveni divulgarea neautorizată a datelor.

34. Vodafone Romania S.A. – Iunie 2025 – 4.000 eur

Operatorul de date Vodafone Romania S.A. a fost sancționat cu amendă de 20.226 lei, echivalentul a 4 000 €, în urma notificării unei breșe de securitate care a condus la acces neautorizat la baza de date clienți. Au fost afectate date precum nume, prenume, cod client, identificator unic (CNP străin / serie pașaport), adresă de corespondență și sume de plată din facturi.

În urma investigației, ANSPDCP a constatat că măsurile tehnice și organizatorice existente nu integrau principiile de protecție a datelor încă din faza de proiectare și nu se efectuau teste periodice de eficiență.

Pe lângă sancțiunea cu amendă, operatorului i s-a impus si măsura corectivă de a implementa un mecanism recurent de testare, evaluare și audit al măsurilor de securitate, proporțional cu riscul, pentru a preveni incidente similare.

35. SC Diamir SRL – Iunie 2025 – 1.000 eur

Operatorul de date SC Diamir SRL a fost sancționat cu amendă de 5 084,80 lei (≈ 1 000 €) pentru divulgare ilegală de date și avertisment pentru refuzul de a furniza informații către ANSPDCP.

La punctul de lucru al companiei a fost expusă public copia cărții de identitate a unei persoane: nume, adresă, serie/număr CI, fotografie. În plus, operatorul nu a răspuns solicitărilor oficiale (cooperare/informații). In consecință operatorul a fsot sanctionat pentru prelucrare de date cu caracter personal fără temei legal: datele au fost făcute publice fără consimțământ și fără altă bază juridică.

În concluzie: Diamir SRL trebuie să înceteze practicile de expunere a documentelor de identitate și să coopereze cu Autoritatea, demonstrând legalitatea oricărei prelucrări de date personale.

36. Dincă Viorel George – Iunie 2025 – 200 eur

Operatorul de date Dincă Viorel George a fost sancționat cu amendă de 995,50 lei (≈ 200 €) pentru că a ignorat solicitările oficiale ale ANSPDCP din timpul investigaţiei.

Investigaţia a pornit de la o plângere privind un sistem de supraveghere video montat necorespunzător pe imobilul deţinut de persoana fizică. ANSPDCP a cerut lămuriri tehnice şi juridice despre camere; operatorul nu a răspuns.

Iniţial a primit avertisment + măsură corectivă (să trimită informaţiile solicitate). Pentru că nu a respectat măsura, Autoritatea a aplicat amenda şi a reiterat obligaţia de a răspunde.

Concluzie: refuzul de a coopera cu Autoritatea, fie şi pentru un sistem CCTV instalat de o persoană fizică, poate atrage sancţiuni financiare. Operatorii, inclusiv particularii, trebuie să răspundă la solicitările ANSPDCP şi să demonstreze legalitatea prelucrării datelor.

37. Kashto Concept SRL – Iunie 2025 – 1.000 eur

Operatorul de date: SC Kashto Concept SRL deținătorul magazinului online bazarconcept.ro a fost sancționat cu amendă de 5.000 lei deoarece site‑ul plasa cookie‑uri neesenţiale fără consimțământ valabil.

Autoritatea a constatat următoarele:

Cookie‑uri neesenţiale (marketing / tracking) erau stocate imediat ce vizitatorul accesa pagina, deși nu sunt strict necesare funcționării tehnice a site‑ului.
Lipsa unui mecanism opt‑in clar: operatorul nu a putut dovedi că obține consimțământul explicit înainte de setare.

Drept urmare s-a aplicat o amendă administrativă de 5 000 lei (pe care a și achitat-o)I s-a impus obligația de a implementa:

- banner de consimțământ granular (Accept / Refuz / Setări detaliate);
- politică de cookie transparentă, ușor accesibilă;
- evidență a consimțămintelor, conform ePrivacy & GDPR.

Lecția pentru magazinele online

Orice cookie care nu este „strict necesar” (analiză trafic, remarketing, pixel social media etc.) cere consimțământ prealabil. Ignorarea regulilor poate costa – nu doar bani, ci și încrederea clienților.

38. Accounting Audit SRL – Iunie 2025 – 10.000 eur

Operatorul de date Accounting Audit SRL a fost sancționat cu amendă de 50.553 lei (≈ 10.000 €) din cauza unor măsuri de securitate insuficiente. Un atac informatic a compromis serverele firmei și a divulgat date sensibile din documente contabile (state de plată, acte constitutive, date de identificare) ale unui număr foarte mare de angajați ai clienților.

În urma investigației, Autoritatea a constatat:

operatorul (ca împuternicit) nu avea măsuri tehnice/organizatorice adecvate pentru a asigura confidențialitatea și integritatea datelor;
notificarea breșei a venit atât de la firmă, cât și de la doi clienți afectați.

Accounting Audit SRL a fost sancționată pentru că nu a adaptat nivelul de protecție la riscul ridicat al prelucrării datelor salariale și financiare ale clienților săi.

39. AG-BROKER ASIGURARE S.R.L. – Mai 2025 – 5.000 eur

Operatorul de date AG-BROKER ASIGURARE S.R.L. a fsot sancționat cu amendă de 24.887 lei (≈ 5.000 €) în urma unui incident de securitate. În urma unui atac cibernetic au fost expuse datele unui număr semnificativ de clienți: CNP-uri, nume și prenume, fotografii ale actelor de identitate, certificate de înmatriculare, adrese de e-mail și numere de telefon.

Investigația a arătat că operatorul nu implementase măsuri tehnice și organizatorice adecvate pentru a proteja sistemul de stocare în rețea – încălcând art. 32 alin. (1) lit. b) și alin. (2) GDPR privind „confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare”.

Măsuri corective impuse:

implementarea unor politici stricte de control al accesului la echipamentele de stocare;
introducerea autentificării securizate și a jurnalizării accesului;
testarea și auditarea periodică a mecanismelor de protecție;
instruirea regulată a personalului pentru prevenirea incidentelor similare.

Cazul subliniază că, fără bariere tehnice și procedurale solide, chiar și un singur dispozitiv nesecurizat poate pune în pericol portofoliul întregii companii și datele clienților săi.

40. Dumitru Viorel Focșa – Mai 2025 – 1.000 eur

Autoritatea Națională de Supraveghere a aplicat o sanctiune cu amendă de 4.977,30 lei (aproximativ 1.000 euro), operatorului de date Dumitru Viorel Focșa care a prelucrat ilegal date personale (nume, prenume, număr de telefon) prin publicarea lor pe pagina sa de Facebook.

Autoritarea a constatat că nu a existat consimțământul persoanei vizate, nu a fost identificat niciun alt temei legal de prelucrare a datelor, operatorul mai fusese sancționat anterior pentru o faptă similară.

Publicarea pe rețele sociale a datelor personale fără temei legal și fără respectarea principiilor de legalitate, echitate și transparență reprezintă o gravă încălcare GDPR. Repetarea unei fapte similare evidențiază necesitatea unei atenții sporite la modul de prelucrare a datelor, mai ales în spațiul online.

41. Data Diggers Market Research SRL – Mai 2025 – 12.000 eur

Autoritatea Națională de Supraveghere a finalizat o investigație demarată în urma plângerilor primite de la două autorități europene de protecție a datelor (prelucrare transfrontalieră).

Având în vedere că operatorul Data Diggers Market Research SRL. are sediul principal în România, Autoritatea Națională de Supraveghere a acționat în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de operatorul Data Diggers Market Research SRL.

Autoritatea a constatat:

Operatorul nu a oferit informații complete persoanelor vizate, încălcând dreptul de acces.
Nu a furnizat, la prima comunicare cu petenții, informațiile obligatorii prevăzute de art. 14 RGPD.
Nu a demonstrat un temei legal pentru prelucrarea datelor.

Pentru aceste abateri, operatorul a fost sancționat cu 3 amenzi în valoare totală de 59.726,40 lei, echivalentul a 12.000 EUR.

Pe lângă sanctiunile cu amendă, au fost aplicate și următoarele măsuri corective:

Instruirea regulată a personalului cu privire la modul de soluționare a cererilor persoanelor vizate (drept de acces, informare etc.)
Respectarea condițiilor de legalitate a prelucrării datelor (art. 6 RGPD)

Concluzie:
Această sancțiune subliniază necesitatea ca operatorii care desfășoară prelucrări transfrontaliere să se asigure că drepturile persoanelor vizate sunt respectate deplin, de la oferirea informațiilor inițiale la validarea temeiului legal și răspunsul corect la cererile de acces.

42. Maravet S.R.L. – Mai 2025 – 5.000 eur

Operatorul Maravet S.R.L. a fost sancționat cu 24.885,50 Lei (5.000 euro) pentru nerespectarea cerințelor de securitate a datelor. Investigația a început după ce firma a notificat o încălcare a securității datelor.

Ce s-a întâmplat:
Un fost angajat a copiat și publicat pe site-ul noului său angajator un volum mare de date personale din baza de date Maravet. Au fost dezvăluite nume, telefoane, adrese de e-mail, CNP-uri, date din documente de identitate, informații salariale și evaluări profesionale.

Constatări ale Autorității:

Operatorul nu a adoptat măsuri suficiente pentru a se asigura că persoanele sub autoritatea sa procesează date exclusiv la cererea operatorului.
Nu au fost implementate proceduri tehnice și organizatorice care să protejeze confidențialitatea și integritatea datelor la un nivel corespunzător riscului.

Concluzie:
Maravet S.R.L. a fost amendată cu 5.000 euro și obligată să asigure un nivel mai ridicat de securitate și control în gestionarea accesului la date, mai ales în raport cu angajații și persoanele împuternicite, pentru a preveni incidente similare.

43. ACCOUNTING & AUDIT CONSULTING SRL – Mai 2025 – 5.000 eur

Operatorul ACCOUNTING & AUDIT CONSULTING SRL a fost sancționat cu 5.000 de euro după ce, în urma unei breșe de securitate, persoane neautorizate au accesat datele personale ale salariaților clienților săi (nume, prenume, CNP, domiciliu, funcție, informații salariale).

Autoritatea a constatat că firma nu a implementat măsuri tehnice și organizatorice suficient de solide pentru a preveni divulgarea și accesul neautorizat la date, încălcând art. 32 din GDPR. Pe lângă amendă, s-a impus verificarea regulată a procedurilor de protecție a datelor și instruirea periodică a personalului, pentru a evita incidente similare pe viitor.

44. CVA TAX & FINANCE S.R.L. – Mai 2025 – 2.000 eur

Operatorul de date CVA TAX & FINANCE S.R.L. a fost sancționat cu 9.954,80 lei (2.000 euro), după ce un atac cibernetic i-a compromis infrastructura IT, expunând datele personale ale salariaților clienților săi (nume, prenume, CNP, domiciliu, funcție, informații salariale). Investigația a arătat că operatorul nu a implementat măsuri tehnice și organizatorice suficiente pentru a proteja datele împotriva distrugerii, pierderii, modificării sau accesului neautorizat.

Autoritatea a dispus, pe lângă amendă, verificarea periodică a procedurilor de lucru și instruirea regulată a personalului, pentru respectarea obligațiilor GDPR privind confidențialitatea și integritatea datelor. Operatorul a achitat amenda și trebuie să ia măsuri pentru a asigura un nivel de securitate proporțional cu riscul prelucrării.

45. Romoffice Construct Holding Ag SRL – Mai 2025 – 2.000 eur

Operatorul Romoffice Construct Holding Ag SRL a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 9.954 lei (2.000 euro), pentru prelucrarea nelegală a datelor personale ale unui petent, respectiv numărul de telefon, fără consimțământul acestuia și fără a prezenta un alt temei legal valid.

Ce s-a întâmplat:

O persoană fizică a reclamat că i-au fost utilizate datele personale (număr de telefon) pentru a fi contactat în legătură cu o campanie promoțională.
Datele au fost inițial furnizate de petent într-o platformă online, cu scopul înscrierii pentru un program public de finanțare – însă operatorul le-a folosit, ulterior, în alt scop, fără acord și fără informare corespunzătoare.

Constatări:

Operatorul nu a dovedit că deținea un temei legal pentru prelucrarea datelor (Art. 6 GDPR).
Prelucrarea s-a realizat fără consimțământ și fără a îndeplini alte condiții prevăzute de GDPR (cum ar fi contract, obligație legală sau interes legitim).
Au fost încălcate principiile de legalitate, echitate și transparență (Art. 5 alin. (1) lit. a) GDPR).

Concluzie:
Această sancțiune arată importanța respectării stricte a scopului pentru care sunt colectate date și necesitatea de a avea un temei legal clar (de ex.: consimțământ explicit) înainte de a folosi date personale în scopuri de marketing sau campanii promoționale. Nerespectarea acestor principii fundamentale de prelucrare a datelor personale atrage răspunderea directă a operatorului.

46. CV PRO CONSULT S.R.L. – Mai 2025 – 2.000 eur

Operatorul de date CV PRO CONSULT S.R.L. a notificat Autoritatea Națională de Supraveghere despre un incident de securitate raportând că un atac cibernetic a compromis infrastructura IT a companiei. Infractorii au restricționat accesul operatorului la propriile sisteme și au obținut acces neautorizat la datele personale ale angajaților clienților săi.

Datele afectate conțin nume, prenume, cod numeric personal (CNP), domiciliu, funcție, salariu, sporuri și alte drepturi salariale

În urma investigației, Autoritatea a constatat că:

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate, conform art. 32 alin. (1) și (2) din GDPR.
Securitatea datelor personale nu a fost garantată, fiind expuse într-un atac cibernetic care a condus la divulgarea și accesul neautorizat la datele salariaților clienților.

Sancțiuni și măsuri corective:

Amendă de 9.955 lei (echivalentul a 2.000 euro) pentru lipsa unui nivel de securitate corespunzător riscului prelucrării.
Măsura corectivă impusă: verificarea periodică a procedurilor de protecție a datelor și instruirea regulată a angajaților (persoanelor care acționează sub autoritatea operatorului), inclusiv privind riscurile asociate prelucrării datelor personale.

Acest caz demonstrează încă o dată că atacurile cibernetice pot afecta grav companiile, mai ales atunci când măsurile de securitate nu sunt testate și actualizate constant. CV PRO CONSULT S.R.L. a fost sancționată deoarece nu și-a protejat suficient datele, punând în pericol confidențialitatea angajaților clienților săi și subliniind importanța unui nivel ridicat de protecție cibernetică și a instruirii periodice a personalului.

47. ROUMASPORT SRL – Mai 2025 – 5.000 eur

Operatorul de date ROUMASPORT SRL a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 24.887 lei (echivalentul a 5.000 euro) pentru încălcarea principiilor privind legalitatea și scopul determinat al prelucrării datelor personale.

Investigația a fost declanșată în urma unor sesizări privind utilizarea sistemelor de supraveghere video dintr-un punct de lucru al companiei. Autoritatea a constatat că operatorul a accesat și utilizat înregistrări video cu angajații săi în scopul cercetării disciplinare, fără a respecta cerințele legale privind prelucrarea datelor.

În urma investigatiei s-a constatat că:

Prelucrarea imaginilor video nu a avut un temei legal valid.
Operatorul nu a respectat principiile de legalitate, transparență și proporționalitate.
Utilizarea înregistrărilor în scop disciplinar nu a fost reglementată în mod corespunzător și nu s-au oferit suficiente garanții pentru protecția datelor angajaților.

Măsură corectivă impusă: ROUMASPORT SRL trebuie să alinieze complet utilizarea monitorizării video la cerințele GDPR, mai ales în cazurile ce vizează evaluarea comportamentului sau sancționarea angajaților. Acest lucru implică adoptarea unor măsuri tehnice, organizatorice și juridice clare, conforme cu legea.

Concluzie:
Această sancțiune reamintește că supravegherea video la locul de muncă, mai ales atunci când este folosită pentru scopuri disciplinare, este supusă unor condiții stricte. Angajatorii trebuie să respecte cadrul legal național și european, să fie transparenți față de angajați și să folosească astfel de metode doar atunci când sunt absolut necesare și justificate.

48. Poliția Locală a Municipiului Miercurea-Ciuc și Poliția Locală a Municipiului Craiova – Mai 2025 – avertisment

În urma primirii unor sesizări cu privire la încălcarea legislației privind protecția datelor, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a demarat și a finalizat două investigații privind utilizarea sistemelor body-cam de către Poliția Locală a Municipiului Miercurea-Ciuc și Poliția Locală a Municipiului Craiova.

S-a constatat că ambele autorități publice au folosit echipamente de supraveghere audio-video portabile (body-cam) pentru înregistrarea persoanelor în timpul misiunilor, fără a avea un temei legal valid pentru această prelucrare de date personale.

Conform investigației:

Nu există, în Legea nr. 155/2010 privind poliția locală, o prevedere expresă care să autorizeze utilizarea body-cam-urilor.
Spre deosebire, Legea Poliției Române (nr. 218/2002) prevede clar cadrul legal pentru folosirea acestor mijloace de supraveghere, inclusiv condițiile, scopurile și durata stocării imaginilor.

Sancțiunile applicate pentru ambii operatori cuprind avertisment însoțit de planuri de remediere impuse pentru asigurarea legalității prelucrării datelor prin body-cam și măsuri corective dispuse:

Revizuirea utilizării sistemelor audio-video mobile
Alinearea activităților de prelucrare cu prevederile GDPR
Asigurarea respectării dreptului la viață privată și protecția datelor prin măsuri conforme cu Constituția și jurisprudența CCR

Concluzie:
Această sancțiune subliniază un principiu esențial: restrângerea drepturilor fundamentale – inclusiv viața privată – nu se poate face decât prin lege. Utilizarea echipamentelor de supraveghere audio-video de către autoritățile locale fără bază legală clară reprezintă o încălcare directă a principiului legalității în prelucrarea datelor personale, chiar dacă intenția este legată de ordine publică sau siguranță.

49. BITDEFENDER SRL – Mai 2025 – 10.000 eur

Operatorul de date BITDEFENDER SRL a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 49.772 lei (10.000 euro), pentru încălcarea obligațiilor privind securitatea datelor personale, conform GDPR.

Investigația a fost declanșată în urma unei notificări de încălcare a securității transmisă de operator. În timpul unei actualizări a serviciului de analiză a securității e-mailurilor, o eroare de programare sau implementare a condus la dezvăluirea neautorizată a datelor personale ale clienților către terți.

Datele afectate au fost nume, prenume, adrese de e-mail.

În urma investigatiei, Autoritatea a constatat că:

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor.
Nu a testat și evaluat eficiența măsurilor existente în mod regulat.
A fost încălcată obligația de a garanta confidențialitatea, integritatea și disponibilitatea continuă a datelor.

Această sancțiune evidențiază faptul că, în ciuda domeniului de activitate și a expertizei în securitate IT, nerespectarea principiilor de protecție a datelor impuse de GDPR poate duce la consecințe serioase. Testarea riguroasă și auditarea sistemelor sunt esențiale, chiar și (sau mai ales) pentru companiile care furnizează servicii de securitate cibernetică.

50. Xiting ROM SRL – Aprilie 2025 – 1.000 eur

Operatorul de date Xiting ROM SRL a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 4.977 lei (echivalentul a 1.000 euro) pentru nerespectarea dreptului de acces la datele personale, conform prevederilor GDPR.

Investigația a fost inițiată în urma plângerii unei persoane fizice, care a reclamat faptul că operatorul nu i-a răspuns în termen legal la solicitarea de acces la datele sale personale și nu i-a furnizat copia electronică a acestora, conform cererii formulate.

Autoritatea a constatat:

Operatorul nu a transmis un răspuns complet și în termen la cererea petentei.
Nu a furnizat informațiile solicitate și nici justificarea unui eventual refuz.

Măsuri corective impuse:

Transmiterea unui răspuns complet și securizat către persoana vizată, cu toate documentele și înregistrările care conțin datele sale personale sau justificarea refuzului.
Adoptarea unor măsuri tehnice și organizatorice interne pentru a asigura gestionarea corectă și la timp a tuturor cererilor privind drepturile persoanelor vizate.
Instruirea corespunzătoare a personalului responsabil cu prelucrarea datelor personale.

Concluzie:
Această sancțiune subliniază încă o dată că dreptul de acces trebuie tratat cu maximă seriozitate de către operatori, iar cererile persoanelor vizate trebuie soluționate complet, clar și în termenele prevăzute de lege.

51. SC Travel Planner SRL – Aprilie 2025 – 6.000 eur

SC Travel Planner SRL a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu două amenzi în valoare totală de 29.863 lei (6.000 euro) și un avertisment, pentru multiple încălcări ale prevederilor GDPR.

Investigația a fost demarată în urma unor plângeri care semnalau prelucrări nelegale de date personale. În organizarea unei tombole pentru clienți, operatorul a publicat pe pagina sa de Facebook un tabel care conținea:

nume și prenume ale turiștilor
numerele rezervărilor
hotelul sau locația rezervată
perioada sejurului

Constatări ale Autorității:

Operatorul nu a implementat măsuri adecvate de securitate, ceea ce a condus la dezvăluirea neautorizată a datelor clienților. (Amendă 5.000 EUR)
Operatorul nu a notificat incidentul către Autoritate. (Amendă 1.000 EUR)
Operatorul nu a răspuns complet și în termenul legal la cererile persoanelor vizate de a accesa datele lor personale. (Avertisment)

Măsuri corective impuse:

Implementarea de măsuri tehnice și organizatorice pentru protejarea datelor personale.
Crearea unor proceduri interne pentru detectarea și raportarea rapidă a încălcărilor de securitate.
Oferirea de răspunsuri clare și complete la cererile de exercitare a drepturilor persoanelor vizate.

Concluzie:
Această sancțiune subliniază că utilizarea datelor personale în acțiuni promoționale trebuie să respecte principiile de confidențialitate, securitate și transparență impuse de GDPR. Prelucrarea necorespunzătoare, indiferent de scopul aparent benefic (ex: recompensarea clienților), atrage răspunderea directă a operatorului.

52. Dante International SA – Aprilie 2025 – 10.000 eur

Dante International SA (deținătorul unei platforme online) a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 49.770 lei (10.000 euro) pentru nerespectarea cererilor de ștergere a datelor personale și pentru lipsa transparenței în comunicarea cu persoana vizată.

Un client a solicitat ștergerea adreselor sale de e-mail asociate contului de client din platforma online a operatorului. Deși operatorul i-a transmis că aceste date au fost șterse, clientul a continuat să primească mesaje, inclusiv de tip „feedback”. În plus, unii colaboratori ai operatorului aveau în continuare acces la acele adrese de e-mail.

Autoritatea a constatat:

Operatorul nu a șters efectiv datele solicitate.
Nu a răspuns clar și complet la solicitările clientului.
Nu a informat transparent cu privire la utilizarea în continuare a datelor.

Aceste fapte au constituit încălcări ale GDPR, care vizează dreptul la ștergere, informarea clară și notificarea destinatarilor atunci când datele sunt rectificate sau șterse.

Măsuri corective impuse:

Răspunsuri clare, inteligibile și la timp la cererile de ștergere.
Implementarea unor măsuri tehnice și organizatorice pentru a asigura efectuarea imediată a ștergerii și notificarea destinatarilor.
Instruirea personalului pentru a gestiona corespunzător cererile privind drepturile persoanelor vizate.

Concluzie:
Această sancțiune subliniază faptul că promisiunea de ștergere a datelor nu este suficientă – ștergerea trebuie să fie efectivă, completă și fără întârziere, iar utilizatorii trebuie informați clar și corect în toate etapele.

53. United Business Solutions SRL – Aprilie 2025 – 2.000 eur

Operatorul United Business Solutions SRL a fost sancționat de Autoritatea Națională de Supraveghere cu o amendă de 9.954 lei (2.000 euro) pentru încălcarea prevederilor GDPR, privind securitatea datelor cu caracter personal.

Ce s-a întâmplat?
Un client al companiei, beneficiar al unui serviciu de cazare, a reclamat faptul că datele sale personale au fost transmise prin e-mail către o terță persoană, fără consimțământ.

Datele divulgate ilegal includeau nume și prenume, seria și numărul cărții de identitate, detalii despre cazare, informații dintr-un document fiscal.

Constatări ale Autorității:

Operatorul nu a implementat măsuri de securitate adecvate pentru a preveni astfel de incidente.
Persoanele care aveau acces la date nu au fost instruite corespunzător și au prelucrat informații fără control sau cerere expresă din partea operatorului.

Măsură corectivă impusă:
Compania trebuie să își revizuiască procedurile interne și să instruiească periodic angajații și colaboratorii, astfel încât prelucrarea datelor să fie controlată, legală și sigură.

54. Office Nova Concept SRL- Aprilie 2025 – 1.000 eur

Office Nova Concept SRL a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu o amendă de 4.977,4 lei (1.000 euro) pentru nerespectarea obligațiilor privind dreptul la opoziție și ștergere, în contextul utilizării camerelor de supraveghere.

Investigația a pornit de la o plângere a unei persoane fizice care a reclamat faptul că operatorul instalase camere video orientate spre intrarea în locuința sa, fără consimțământul acesteia. Persoana vizată a cerut reorientarea camerelor și ștergerea imaginilor în care apărea.

Constatări ale Autorității:

Operatorul nu a răspuns în termenul legal și nici nu a oferit un răspuns corespunzător la solicitarea persoanei vizate.
A fost încălcat dreptul la opoziție și dreptul la ștergere, coroborate cu obligațiile generale privind transparența.

Măsuri corective impuse:

Transmiterea unui răspuns complet către persoana vizată.
Adoptarea de măsuri tehnice și organizatorice care să asigure respectarea drepturilor persoanelor vizate.
Reorientarea camerelor pentru a evita captarea de imagini din proprietăți private fără consimțământ.
Informarea corectă și vizibilă la toate locațiile unde se folosesc camere video.

Această sancțiune subliniază că supravegherea video nu este un drept absolut și că operatorii trebuie să respecte viața privată a persoanelor vizate și să răspundă prompt la cererile legate de datele personale.

55. NEW GAMBLING SOLUTIONS S.R.L. – Aprilie 2025 – 2.000 eur

Operatorul NEW GAMBLING SOLUTIONS S.R.L. a fost sancționat cu o amendă de 9.951,20 lei (echivalentul a 2.000 euro) pentru lipsa unor măsuri adecvate de securitate a datelor.

Investigația a fost declanșată în urma unei notificări transmise de operator privind o breșă de securitate. În urma unui atac informatic, un terț a obținut acces neautorizat la datele angajaților, precum: nume și prenume, CNP, seria și numărul CI, domiciliu, informații profesionale.

În cadrul investigației, Autoritatea a stabilit că operatorul:

Nu a implementat măsuri tehnice și organizatorice corespunzătoare.
Nu a realizat testări periodice pentru a verifica eficiența sistemelor de protecție.

În consecință, datele personale ale unui număr semnificativ de angajați au fost expuse în urma breșei, iar operatorul a fost sancționat pentru lipsa capacității de a garanta confidențialitatea, integritatea și rezistența sistemelor.

56. Tensa Art Design S.A. – Aprilie 2025 – 15.000 eur

Operatorul Tensa Art Design S.A., deținător al site-ului www.lensa.ro, a fost sancționat cu două amenzi în valoare totală de 74.661 lei (15.000 euro) pentru:

Prelucrarea ilegală a datelor în scop de marketing, fără consimțământ (10.000 euro)
Nerespectarea drepturilor persoanei vizate privind accesul și ștergerea datelor (5.000 euro)

Ce s-a întâmplat:
Un client a reclamat că a primit mesaje comerciale prin SMS de la Lensa, deși nu și-a dat consimțământul pentru prelucrarea numărului de telefon.
Mai mult, atunci când a cerut accesul la datele prelucrate și ștergerea acestora, nu a primit un răspuns corespunzător și complet, încălcând termenele și obligațiile prevăzute în GDPR.

Constatări ale Autorității:

Nu s-a putut dovedi consimțământul expres pentru marketing.
Cererile persoanei vizate nu au fost tratate corect și în termen.

Măsuri corective dispuse:

Obținerea consimțământului clar și valid pentru marketing.
Instruirea personalului privind soluționarea cererilor de acces și ștergere.
Transmiterea unui răspuns complet și în termen la cererile formulate de persoana vizată.

57. Banca Transilvania S.A. – Aprilie 2025 – 5.000 eur

Banca Transilvania S.A. a fost sancționată cu o amendă de 24.883 lei (echivalentul a 5.000 euro) pentru prelucrarea datelor personale ale unui fost client, în lipsa unui temei legal.

Ce s-a întâmplat:
După ce o persoană a achitat integral un credit imobiliar, banca a solicitat unei societăți de asigurări să emită în mod eronat o nouă poliță PAD (asigurare împotriva dezastrelor naturale), folosind datele personale ale clientului fără acordul acestuia.

Aceeași eroare a condus la emiterea automată a unui număr semnificativ de polițe pentru mai mulți clienți, fără temei legal, ceea ce a dus la utilizarea abuzivă a unor date precum: nume, CNP, e-mail, telefon, adresă și informații privind imobilul.

Constatări:

Prelucrarea a fost efectuată fără consimțământ și fără alt temei legal valid, încălcând principiul legalității din GDPR (art. 5 și art. 6).
S-a emis o sancțiune și s-au impus măsuri corective, inclusiv actualizarea procedurilor interne și instruirea personalului.

58. BINBOX GLOBAL SERVICES S.R.L. – Aprilie 2025 – 3.000 eur

Operatorul BINBOX GLOBAL SERVICES S.R.L. a fost sancționat cu o amendă de 14.930,70 lei (3.000 euro) pentru lipsa unor măsuri de securitate adecvate.

Investigația a fost demarată în urma unui atac informatic care a compromis infrastructura IT a companiei, ducând la criptarea sistemelor și divulgarea neautorizată a datelor personale ale unui număr semnificativ de clienți.

Autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor, precum și rezistența sistemelor la astfel de incidente.

Operatorul a achitat amenda și trebuie să îmbunătățească măsurile de protecție a datelor pentru a preveni incidente similare în viitor.

59. NTT DATA ROMÂNIA S.A. – Martie 2025 – 25.000 eur

Operatorul NTT DATA ROMÂNIA S.A. a fost sancționat cu o amendă de 124.432,50 lei (25.000 euro) și un avertisment pentru nerespectarea cerințelor privind securitatea datelor și notificarea incidentelor.

În urma unui atac cibernetic, infrastructura IT a operatorului a fost compromisă, iar datele personale ale unui număr semnificativ de persoane au fost accesate și extrase ilegal. Printre datele afectate se numără:

informații de identificare (nume, prenume, adrese, semnături)
copii de pe acte de identitate, pașapoarte, certificate
date financiare și contractuale
date educaționale și profesionale
date sensibile privind sănătatea angajaților

în urma investigației, Autoritatea a contatat că:

Operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv lipsa testării și evaluării periodice a eficienței acestora.
De asemenea, nu a notificat Autoritatea în termenul legal de 72 de ore.

Această sancțiune evidențiază importanța pregătirii proactive pentru incidente de securitate, prin implementarea unor măsuri tehnice robuste și respectarea strictă a obligațiilor de raportare impuse de GDPR.

60. Bucharest Down Town Hotel SRL – Martie 2025 – 1.000 eur

Operatorul Bucharest Down Town Hotel SRL a fost sancționat cu 4.975 lei (1.000 euro) pentru nerespectarea obligațiilor privind dreptul de acces la datele personale și informarea persoanelor vizate.

Plângerea a fost depusă de o persoană vizată care a solicitat operatorului să-i comunice toate datele personale deținute, inclusiv copia unui document semnat și orice înregistrare audio-video care o privește.

În urma investigației, ANSPDCP a constatat că:

Operatorul nu a răspuns în termenul legal la cererea persoanei vizate.
Răspunsul a fost transmis doar în urma intervenției Autorității, și chiar și atunci, informațiile transmise au fost incomplete, lipsind date esențiale solicitate.
Operatorul nu a oferit o informare completă privind activitățile de prelucrare.

Pe lângă sancțiunea cu amendă, au fost impuse și următoarele măsuri corective:

Respectarea termenelor legale pentru soluționarea cererilor privind exercitarea drepturilor persoanelor vizate.
Asigurarea unei informări complete și clare a persoanelor vizate cu privire la toate activitățile de prelucrare a datelor personale.

Această sancțiune subliniază obligația esențială a operatorilor de a răspunde complet și la timp solicitărilor privind accesul la date și de a furniza o informare transparentă, conform cerințelor GDPR.

61. ONE UNITED PROPERTIES S.A – Martie 2025 – 2.000 eur

Operatorul ONE UNITED PROPERTIES S.A. a fost sancționat cu două amenzi în valoare totală de 9.954 lei (2.000 euro) pentru prelucrarea ilegală a datelor personale în scop de marketing și pentru nerespectarea dreptului de acces și ștergere al unei persoane vizate, conform prevederilor GDPR.

Investigația a fost inițiată în urma unei plângeri din partea unei persoane fizice care a reclamat primirea repetată de mesaje comerciale nesolicitate și lipsa unui răspuns la cererile de acces și ștergere a datelor personale.

În urma investigațiilor, Autoritatea a constatat că operatorul nu a putut demonstra că a obținut consimțământul pentru prelucrarea datelor în scop de marketing și că nu a oferit răspuns în termenul legal de o lună la cererile persoanei vizate privind accesul și ștergerea datelor.

Pe lângă sancțiunea cu amendă, au fost dispuse și următoarele măsuri corective:

Asigurarea legalității prelucrării datelor în scopuri de marketing, doar în baza consimțământului sau a unui alt temei legal valid.
Adoptarea unor proceduri interne clare pentru soluționarea cererilor persoanelor vizate, în termenele prevăzute de GDPR.
Instruirea personalului și transmiterea unui răspuns complet persoanei vizate la cererile de acces și ștergere.

Această sancțiune subliniază obligația operatorilor de a respecta principiile de legalitate, transparență și răspuns prompt în raport cu drepturile persoanelor vizate.

62. Automobilus International S.R.L. – Martie 2025 – 5.000 eur

Operatorul Automobilus International S.R.L. a fost sancționat cu 24.885 lei (5.000 euro) pentru nerespectarea cerințelor de securitate a datelor personale, după ce un atac cibernetic a compromis baza de date a clienților săi.

Contextul Investigației: Operatorul a raportat o breșă de securitate, semnalând accesul neautorizat la sistemele sale prin exploatarea unei vulnerabilități pe unul dintre servere. În urma acestui atac, datele personale ale unui număr semnificativ de clienți (nume, prenume, număr de telefon, adresă de livrare) au fost accesate și expuse ilegal.

În urma investigației, s-a constatat lipsa măsurilor tehnice și organizatorice adecvate pentru protejarea datelor personale împotriva accesului neautorizat, precum și pierderea confidențialității datelor ca urmare a unui atac cibernetic, ceea ce a generat un risc semnificativ pentru persoanele vizate.

Pe lângă sancțiunea cu amendă, s-au impus și următoarele măsuri corective:

Informarea persoanelor afectate cu privire la incidentul de securitate și măsurile adoptate, prin afișarea unui comunicat pe prima pagină a site-ului.
Revizuirea și implementarea unor măsuri de securitate îmbunătățite pentru prevenirea incidentelor similare.

Această sancțiune subliniază importanța testării și monitorizării continue a infrastructurii IT pentru a preveni vulnerabilitățile de securitate și a proteja datele personale ale clienților.

63. Noy Business Tranzactions SRL – martie 2025 – 1.000 eur

Operatorul Noy Business Tranzactions SRL a fost sancționat cu o amendă de 4.977,3 lei (1.000 euro) pentru nerespectarea dreptului de acces și ștergere al unui client, conform GDPR.

Plângerea a fost depusă de un client al unui hotel administrat de operator, care a solicitat acces la înregistrările video din timpul sejurului său și ștergerea datelor sale personale. Operatorul nu a oferit un răspuns adecvat și complet în termenul legal, încălcând prevederile GDPR.

Pe lângă sancțiunea cu amendă, s-au impus și următoarele măsuri corective:

Transmiterea unui răspuns complet către persoana vizată, cu detaliile cerute privind accesul și ștergerea datelor sale.
Implementarea unor măsuri tehnice și organizatorice pentru gestionarea cererilor persoanelor vizate, inclusiv instruirea personalului pentru respectarea termenelor legale prevăzute în GDPR.

Această sancțiune subliniază obligația operatorilor de a răspunde rapid și corect solicitărilor privind drepturile persoanelor vizate și importanța unei gestionări transparente a datelor personale.

64. SHOPBAG GROUP ONLINE SRL – martie 2025 – 2.000 eur

Operatorul SHOPBAG GROUP ONLINE SRL a fost sancționat cu o amendă de 9.949,8 lei (2.000 euro) pentru nerespectarea dreptului “de a fi uitat”.

Investigația a pornit de la plângerea unui utilizator care nu a primit răspuns la solicitările de ștergere a contului și a datelor sale de pe site-ul depozit-online.ro. În plus, SHOPBAG GROUP ONLINE SRL nu a răspuns nici solicitărilor autorității în cadrul investigației.

Drept urmare, pe lângă amendă, operatorului i s-a impus și o măsură corectivă, fiind obligat să furnizeze toate informațiile și documentele solicitate de ANSPDCP.

65. WEBRASOFT SRL – martie 2025 – 20.000 eur

Operatorul WEBRASOFT SRL a fost amendată cu 99.518 lei (aprox. 20.000 EUR) pentru încălcarea Regulamentului privind securitatea prelucrării datelor.

În urma unei notificări privind o încălcare a securității datelor, Autoritatea Națională de Supraveghere a constatat că WEBRASOFT SRL, operatorul unui site de facturare online, a fost victima unui atac informatic. Atacatorul a obținut acces neautorizat la serverul companiei, expunând date cu caracter personal ale unui număr mare de clienți (nume, prenume, CNP, adresă, e-mail, telefon, date bancare).

Investigația a relatat următoarele deficiențe:

WEBRASOFT SRL nu a efectuat testări și evaluări periodice ale eficacității măsurilor tehnice și organizatorice, pentru a asigura confidențialitatea, integritatea și disponibilitatea sistemelor IT.
Atacul a evidențiat lipsa unor garanții suficiente pentru prevenirea accesului neautorizat la datele personale.

Pe lângă sanctiunea cu amendă, operatorului i s-a impus și măsura corectivă de a implementa un sistem de jurnalizare a accesărilor și tentativelor de acces nereușite, reținând log-urile cel puțin 30 de zile și efectuând back-up periodic.

Această amendă subliniază necesitatea unui plan clar de protecție a datelor, care să includă testări regulate și monitorizare permanentă a infrastructurii IT pentru a preveni atacurile cibernetice și a proteja drepturile persoanelor vizate.

66. BEKO ROMÂNIA SA – martie 2025 – 10.000 eur

Operatorul BEKO ROMÂNIA SA a fost sancționat cu 49.766 lei (aproximativ 10.000 euro) după ce o persoană neautorizată a exploatat o vulnerabilitate de programare și a obținut acces la baza de date a clienților. Incidentul a dezvăluit lipsa unor măsuri adecvate de securitate.

Ce date au fost compromise? Atacul a expus nume, prenume, numere de telefon, adrese de e-mail, domicilii și detalii despre produsele deținute de un număr mare de clienți BEKO.

În urma investigațiilor, s-a constatat lipsa unor măsuri tehnice și organizatorice adecvate – operatorul nu a asigurat securitatea site-ului și a bazei de date și lipsa testării periodice – BEKO ROMÂNIA nu a realizat evaluări și analize periodice ale eficienței măsurilor de securitate, conform cerințelor GDPR.

Pe lângă sancțiunea cu amendă, s-au impus si următoarele măsuri corective:

Implementarea unui sistem tehnic și organizatoric pentru analiza volumului de date din infrastructura IT, inclusiv efectuarea periodică de back-up.
Asigurarea testării, evaluării și aprecierii continue a eficacității măsurilor de securitate.

Operatorul a achitat amenda și este obligat să remedieze deficiențele constatate, pentru a preveni incidente similare.

67. Velvet Medical SRL – februarie 2025 – 1.000 eur

Operatorul Velvet Medical SRL a fost sancționat cu 4.976,4 lei (1.000 euro) pentru nerespectarea dreptului de acces la datele medicale al unei persoane vizate. Investigația a început ca urmare a unei plângeri prin care petentul reclama că nu a primit răspuns la cererile sale repetate de a accesa dosarul medical, iar în cadrul verificărilor, Autoritatea a constatat că operatorul nu a putut dovedi că a răspuns cererilor.

Măsurile corective impuse de ANSPDCP includ comunicarea completă a datelor medicale solicitate, prin e-mail securizat, conform cerințelor RGPD precum și adoptarea de măsuri tehnice și organizatorice care să permită operatorului să analizeze și să răspundă la cererile persoanelor vizate în termenele și condițiile prevăzute de Regulament, inclusiv instruirea corespunzătoare a personalului.

68. Medstar S.R.L. – februarie 2025 – 2.000 eur

Operatorul Medstar SRL a fost sancționat pentru divulgarea neautorizată a datelor medicale cu amendă de 9.946,2 Lei (2.000 Euro) și cu 2 avertismente deoarece nu a notificat la timp incidentul Autorității și nici nu a informat persoanele vizate despre această breșă.

Ce s-a întâmplat mai exact? Clinica a transmis în mod eronat prin e-mail date medicale ale unor persoane vizate altor pacienți, ceea ce a dus la divulgarea neautorizată a informațiilor sensibile (nume, prenume, CNP, diagnostic, medic prescriptor, rezultate analize etc.). De asemenea, un alt pacient a primit detaliile medicale ale petentei, dezvăluind o deficiență de control intern și de verificare a exactității datelor.

În urma investigațiilor, Autoritatea a identificat:

Lipsa măsurilor de securitate: Operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că datele medicale nu sunt divulgate neautorizat.
Neutilizarea unui sistem de verificare: Trimiterea eronată de e-mail-uri a evidențiat necesitatea unor reguli clare și a unor procese automate care să împiedice transmiterea greșită a informațiilor.
Lipsa notificărilor: Operatorul nu a raportat prompt incidentul Autorității și nici nu a informat persoanele vizate cu privire la riscurile cauzate de divulgarea neautorizată a datelor.

Pe lângă sanctiunea cu amendă, s-au impus si următoarele măsuri corrective:

Consolidarea securității: Adoptarea unor măsuri tehnice și organizatorice adecvate riscurilor, precum verificarea exactității datelor înainte de transmitere și instruirea personalului implicat.
Implementarea unui sistem de detectare și raportare a incidentelelor: Operatorul trebuie să gestioneze rapid orice situație de încălcare a securității datelor, inclusiv notificarea Autorității și a persoanelor vizate, dacă este cazul.
Asigurarea conformității pe întreg ciclu de prelucrare: Atenția trebuie concentrată pe procese automate de verificare și pe reducerea greșelilor umane, minimizând riscul de divulgare neautorizată.
Informarea persoanelor vizate: Persoanele care au primit datele în mod neautorizat trebuie să fie avertizate să nu utilizeze și să șteargă informațiile respective. De asemenea, pacienții afectați trebuie să primească detalii despre incident, conform art. 34 din GDPR.

Concluzie
Cazul Medstar S.R.L. ilustrează cum, în lipsa unor politici clare și a unor procese de securitate bine puse la punct, pot apărea încălcări grave ale GDPR. Adoptarea măsurilor corective impuse de Autoritate și implementarea unor proceduri de verificare riguroasă a datelor nu sunt doar obligații legale, ci și pași esențiali pentru construirea și menținerea încrederii pacienților.

69. Meedea Construct Prest SRL – februarie 2025 – 2.000 eur

Operatorul Meedea Construct Prest SRL a fost sancționat cu 9.949,6 lei (2.000 euro) pentru divulgarea neautorizată a datelor personale și a informațiilor privind starea de sănătate ale unui fost angajat.

Un fost angajat a reclamat faptul că operatorul a transmis unor terțe persoane documente ce conțineau date sensibile, precum copie a contractului de muncă, fișa de aptitudini și adeverința medicală. Documentele au fost ulterior folosite într-un litigiu în instanță.

În urma investigației, Autoritatea a constatat divulgarea nelegală a datelor personale și a informațiilor medicale (nume, prenume, adresă, CNP, serie și număr de act de identitate, afecțiuni medicale, semnătura și parafa medicului).

În acest fel au fost încălcate principiilor GDPR privind legalitatea, minimizarea și confidențialitatea prelucrării datelor.

Pe lângă sancțiunea cu amendă s-a aplicat si măsura corectivă de a implementa proceduri scrise și măsuri tehnice și organizatorice adecvate pentru a preveni accesarea și dezvăluirea neautorizată a datelor personale. De asemenea, operatorul trebuie să instruiască periodic persoanele care prelucrează date sub autoritatea sa, pentru a asigura conformitatea cu principiile și condițiile de legalitate ale GDPR.

70. PPC Energie Muntenia SA – februarie 2025 – 3.000 eur

Operatorul PPC Energie Muntenia SA a fost sancționată cu două amenzi totalizând 14.925 lei (aproximativ 3.000 euro) pentru prelucrarea ilegală a datelor personale ale unui client și pentru gestionarea necorespunzătoare a cererilor acestuia privind drepturile de acces și opoziție, conform RGPD.

Contextul investigației: Un petent a reclamat faptul că a fost contactat telefonic în scop de marketing de către un partener al operatorului, deși nu își exprimase consimțământul în acest sens. După ce a trimis operatorului cereri de acces și de opoziție, răspunsurile primite au fost nesatisfăcătoare și neconforme cu prevederile GDPR.

Ce s-a constatat în timpul investigației: prelucrarea ilegală a datelor: PPC Energie Muntenia SA a pus la dispoziția unui partener numărul de telefon al petentului în scop de marketing, fără un temei legal valabil și gestionarea Inadecvată a cererilor de acces și opoziție: Operatorul nu a răspuns complet și în termen legal.

Ca și măsuri corrective, s-a impus restricționarea prelucrării datelor la scopurile inițial declarate, fără a le utiliza ulterior în mod incompatibil precum și transmiterea unui răspuns complet și conform prevederilor legale la cererile de acces ale petentului.

Această sancțiune subliniază importanța obținerii unui temei legal clar pentru prelucrarea datelor în scopuri de marketing, precum și obligația operatorilor de a răspunde prompt și complet cererilor persoanelor vizate.

71. Liceul Vasile Conta din Târgu Neamț – februarie 2025 – avertisment

În urma unei sesizări primite, Autoritatea Națională de Supraveghere a demarat o investigație în urma căreia a constatat că Liceul Vasile Conta a încălcat prevederile art. 5 alin. (1) lit. a) și c) (legalitate și minimizarea datelor) și art. 32 (securitate) din GDPR, în cadrul unui sistem de supraveghere video și audio montat în spațiile școlii, inclusiv în zona grupurilor sanitare.

Ce s-a constatat în timpul investigației:

Monitorizarea excesivă: Camerele video captau imaginea în încăperile cu destinație de grup sanitar, ceea ce depășește scopul inițial și încalcă principiile de legalitate și minimizare a datelor.
Lipsa măsurilor de securitate adecvate: Accesul la imagini nu era limitat și securizat, monitoarele fiind disponibile inclusiv directorului pe telefonul personal.

Ce măsuri corective s-au impus:

Două avertismente conform regimului sancționator aplicabil autorităților publice.
Revizuirea procedurilor și adoptarea de măsuri tehnice și organizatorice care să asigure respectarea principiilor de prelucrare prevăzute de GDPR.
Limitarea accesului la imaginile video și alocarea monitoarelor exclusiv persoanelor autorizate.

Autoritatea a reamintit că potrivit Legii nr. 198/2023, instalarea sistemelor de supraveghere audio-video nu este permisă în spații precum vestiarele și grupurile sanitare. De asemenea, sancționarea autorităților publice urmează pașii stabiliți de Legea nr. 190/2018, în care se aplică mai întâi avertismentul și apoi, în caz de nerespectare a planului de remediere, se poate aplica o amendă cuprinsă între 10.000 lei și 200.000 lei.

72. Omniasig Vienna Insurance Group S.A.- februarie 2025 – 3.000 eur

Operatorul Omniasig Vienna Insurance Group S.A. a fost sancționat cu 14.931 lei (3.000 euro) pentru lipsa unor măsuri de securitate adecvate. Investigația a pornit de la o notificare privind un incident de securitate, potrivit căreia un angajat al unei persoane împuternicite de operator ar fi completat cereri de despăgubire fictive, folosind identitatea unor clienți.

S-a constatat că angajatul împuternicitului avea acces la dosarele de daună, obținând în mod neautorizat date sensibile (nume, prenume, adresa de domiciliu, imaginea persoanei, CNP, CI, date medicale, date financiare). Aceste practici au afectat un număr semnificativ de persoane vizate.

Operatorul nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura integritatea datelor și pentru a preveni prelucrarea lor de către angajați fără autorizație specifică. Ca măsură corectivă, Omniasig trebuie să instituie un plan de inspecții și audituri la nivelul persoanei împuternicite, cu scopul de a preîntâmpina incidente similare.

73. FARMEC SA – februarie 2025 – 5.000 eur

Operatorul FARMEC SA a fost sancționat cu amendă de 24.854,50 lei (5.000 Euro) pentru încălcarea GDPR. Investigația a pornit de la o notificare privind un incident de securitate: întrucât sistemele operatorului nu erau actualizate la cea mai recentă versiune permisă de licențiere, a avut loc un atac cibernetic care a vizat o bază de date cu utilizatori și administratori ai site-ului, fapt care a permis accesul neautorizat la date precum nume, prenume, adrese de e-mail și parole criptate.

Operatorul și-a achitat amenda stabilită.

74. V&M Contab&Management SRL – februarie 2025 – 10.000 eur

Operatorul V&M Contab&Management SRL a fost sancționat cu două amenzi, totalizând 49.770 lei (10.000 EURO), pentru încălcarea GDPR. Ancheta a pornit de la o sesizare privind o posibilă neconformitate, iar în timpul investigației operatorul nu a răspuns solicitărilor Autorității, încălcând obligația de a permite accesul la informațiile relevante.

De asemenea, s-a constatat că un tabel cu parole de acces în platforma Revisal a fost transmis prin WhatsApp către o terță persoană, permițând accesul neautorizat la datele angajaților mai multor entități juridice (nume, CNP, domiciliu). Prin urmare, nu s-au luat măsuri suficiente pentru protejarea confidențialității și integrității datelor, fapt ce a determinat încălcarea obligațiilor de securitate.

Ca măsură corectivă, s-a dispus schimbarea tuturor credențialelor de acces în platforma Revisal pentru entitățile afectate.

75. Unicredit Bank SA – februarie 2025 – 15.000 eur

Operatorul Unicredit Bank SA a fost sancționat cu 74.652 lei (echivalentul a 15.000 euro) după ce a notificat două încălcări a securității datelor. Despre ce este vorba:

Prima situație – eroare a aplicației interne, fără testare prealabilă, care a dus la divulgarea neautorizată a datelor unor clienți (nume, prenume, tranzacții, sold etc.).
A doua situație – implementarea unei soluții de comunicare cu clienții, de asemenea fără testare adecvată, care a dezvăluit date personale (nume titular card, telefon, email, sumă tranzacție etc.) pentru mai mulți clienți.

În urma constatărilor, Autoritatea de Supraveghere a sancționat Unicredit Bank SA pentru neimplementarea unor măsuri tehnice și organizatorice adecvate (privacy by design) și a dispus implementarea unui plan de testare a tuturor aplicațiilor și componentelor, într-un mediu care să reproducă scenariul real. Instituția bancară a achitat amenda aplicată.

76. S.P.E.E.H. HIDROELECTRICA S.A – ianuarie 2025 – 15.000 eur

Operatorul S.P.E.E.H. HIDROELECTRICA S.A. a fost sancționat cu 74.562 lei (echivalentul a 15.000 euro) după ce a notificat o încălcare a securității datelor. Investigația a arătat că o eroare tehnică și lipsa testării suficiente înainte de lansarea unei aplicații au condus la divulgarea neautorizată și/sau accesul neautorizat la datele personale ale unui număr semnificativ de persoane vizate.

Prin nerespectarea principiului protecției datelor începând cu momentul conceperii și în mod implicit (privacy by design și privacy by default), operatorul nu a asigurat măsuri tehnice și organizatorice corespunzătoare, ceea ce a permis pierderea integrității și disponibilității datelor.

Ca și măsură corectivă, operatorul trebuie să iImplementeze un plan de testare într-un mediu de test realist, care să simuleze toate situațiile plauzibile înainte de punerea în producție a oricărei componente/aplicații ce prelucrează date personale. Scopul este prevenirea unor incidente similare și asigurarea securității adecvate a datelor.

77. RED&WHITE 2022 MANAGEMENT S.A – ianuarie 2025 – 5.000 eur

Autoritatea Națională de Supraveghere a sancționat operatorul RED&WHITE 2022 MANAGEMENT S.A. cu 24.854,50 lei (5.000 euro) pentru nerespectarea obligațiilor legate de relația cu persoana împuternicită.

Operatorul, acționar majoritar al unei echipe de fotbal, a lansat o campanie de crowdfunding pentru finanțarea echipei, transmisa printr-o persoană împuternicită, către o bază extinsă de date (nume, prenume, e-mail) care includea atât suporteri, cât și alte persoane.

În urma investigației s-a evidențiat că RED&WHITE 2022 MANAGEMENT S.A. nu a furnizat împuternicitului instrucțiuni documentate privind prelucrarea datelor persoanelor vizate și categoriile de persoane vizate. Această lacună a condus la utilizarea datelor în mod necorespunzător, fără a respecta cerințele legale privind stabilirea explicită a obiectului, duratei și scopului prelucrării, tipului de date prelucrate, precum și obligațiilor și drepturilor operatorului și persoanei împuternicite.

Pe lângă sancțiunea financiară, operatorului i-a aplicat și măsura corectivă de a se asigura că există un contract sau un act juridic obligatoriu în relația cu persoana împuternicită, care să detalieze clar instrucțiunile documentate, scopurile și limitele prelucrării datelor personale, în conformitate cu Regulamentul (UE) 2016/679.

78. Orange România SA – ianuarie 2025 – 40.000 eur

Autoritatea Națională de Supraveghere a sancționat operatorul Orange România S.A. cu două amenzi totalizând 199.020 lei (40.000 euro) pentru gestionarea inadecvată a cererilor de ștergere a datelor personale și colectarea excesivă a unor documente de identitate.

Principalele constatări ale investigației:

Nerespectarea dreptului la ștergerea datelor: După o încercare nereușită de abonare, persoana vizată a cerut ștergerea tuturor datelor personale, însă Orange nu a oferit răspunsuri complete și nu a gestionat corect solicitările.
Colectare și stocare excesivă de date: Operatorul a păstrat în mod nejustificat copii scanate ale unor documente, deși datele nu mai erau necesare încheierii contractului.

Măsurile corective impuse:

Transmiterea unui răspuns complet la cererea de ștergere a datelor.
Adoptarea măsurilor tehnice și organizatorice necesare pentru gestionarea corectă a cererilor persoanelor vizate, inclusiv instruirea personalului.
Eliminarea din baza de date a informațiilor și documentelor de identitate colectate în procesul eșuat de abonare.
Stabilirea clară a temeiului legal pentru fiecare scop de prelucrare, evitând colectarea și stocarea excesivă și nejustificată a datelor.

Această sancțiune subliniază importanța protejării drepturilor persoanelor vizate și a respectării principiilor privind legalitatea și minimizarea datelor în toate etapele procesului de abonare.

79. Softehnica S.R.L – ianuarie 2025 – 5.000 eur

Operatorul Softehnica S.R.L. a fost sancționat cu 24.866 lei (5.000 euro) după ce un atac de tip Ransomware a compromis infrastructura informatică a companiei, permițând accesul neautorizat la datele personale ale unui număr semnificativ de persoane (nume, prenume, domiciliu, e-mail, date de contact). Investigația a evidențiat lipsa unor măsuri tehnice și organizatorice corespunzătoare, precum și absența testării și evaluării periodice a securității. Acest fapt a încălcat prevederile GDPR privind confidențialitatea, integritatea și disponibilitatea datelor.

80. Vodafone România S.A. – ianuarie 2025 – 15.000 eur

Operatorul Vodafone România S.A. a fost amendat cu 74.526 lei (15.000 euro) pentru încălcarea repetată a cerințelor de securitate a datelor. Investigațiile au fost declanșate în urma mai multor notificări de incidente și plângeri primite de Autoritatea Națională de Supraveghere, care au evidențiat divulgarea neautorizată a datelor personale ale clienților (nume, prenume, e-mail, CNP, Cod client, adresă).

Motivele sancțiunii includ:

Transmiterea neautorizată a unei facturi și a altor detalii confidențiale către terți;
Neutilizarea opțiunii „BCC” la trimiterea unor e-mailuri colective, dezvăluind astfel adresele destinatarilor;
Utilizarea neadecvată a aplicațiilor de mesagerie (WhatsApp) pentru partajarea capturilor de ecran cu date confidențiale;
Trimiterea eronată a unor documente referitoare la facturi ale clienților.

Autoritatea a concluzionat faptul că Vodafone România nu a implementat măsuri tehnice și organizatorice suficiente pentru a preveni prelucrarea neautorizată a datelor și a asigura confidențialitatea acestora. Operatorul a achitat amenda și este obligat să corecteze deficiențele constatate.

81. DELIVERY SOLUTIONS S.A. – ianuarie 2025 – 2.000 eur

Operatorul DELIVERY SOLUTIONS S.A. a fost amendat cu 9.954 Lei (2.000 euro) pentru nerespectarea cerințelor privind securitatea datelor personale, în urma unui incident de securitate în care date precum numele, prenumele, adresa, numărul de telefon și adresa de e-mail ale clienților au fost expuse online.

Investigația, inițiată după notificarea unui incident, a relevat că atacatori neautorizați au obținut credențiale valabile pentru interfața web a unei aplicații interne, permițând astfel accesul și vizualizarea ilegală a datelor personale. S-a constatat că operatorul nu a implementat suficiente măsuri tehnice și organizatorice corespunzătoare pentru a proteja confidențialitatea datelor, încălcând prevederile GDPR.

Măsuri corective impuse:

Adoptarea unei politici actualizate privind parolele.
Implementarea unui registru de acces pentru a înregistra și monitoriza tentativele de acces neautorizat.
Realizarea periodică a auditurilor de securitate pentru a identifica și remedia vulnerabilitățile.

82. Centrul Medical Unirea S.R.L. – ianuarie 2025 – 2.000 eur

O investigație la operatorul Centrul Medical Unirea S.R.L. s-a finalizat cu sancțiune cu o amendă de 9.953 Lei (echivalentul a 2.000 Euro).

Investigația a pornit de la o sesizare privind securitatea datelor personale, în care petentul a reclamat expunerea publică a credențialelor de acces la un cont de e-mail, afișate pe monitorul unui calculator dintr-un punct de recoltare probe biologice. În urma verificărilor, s-a constatat că operatorul nu adoptase măsuri tehnice și organizatorice adecvate, permițând astfel un potențial acces neautorizat la datele cu caracter personal.

Pe lângă amendă, Autoritatea a dispus măsuri corective, printre care:

instruirea personalului cu privire la obligațiile prevăzute în RGPD și riscurile asociate prelucrării datelor;
adoptarea unei politici actualizate privind parolele, care să reglementeze inclusiv confidențialitatea credențialelor de acces.

Operatorul a achitat amenda contravențională stabilită.

Dan Gurghian

Inginer software cu peste 20 de ani de experiență in domeniul IT și multiple certificări Microsoft, studii post universitare de protecția datelor, CISO specializat pe utilizarea controalelor de securitate ISO 27001 ca masuri de securitate tehnică și organizațională pentru protejarea datelor cu caracter personal.