Protectia datelor

Lista amenzi GDPR 2026

8 ian., 2026 No comments yet
Lista amenzi GDPR 2026- amenzi gdpr romania

Anul 2026 debutează într-un context deja bine conturat, în condițiile în care 2025 a fost unul dintre cei mai activi ani pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, marcând până în prezent un număr record de investigații și sancțiuni aplicate pentru încălcarea legislației privind protecția datelor cu caracter personal. Amenzile din 2025 au vizat o paletă largă de situații – de la marketing direct neconform și nerespectarea drepturilor persoanelor vizate, până la incidente de securitate și deficiențe grave în implementarea măsurilor tehnice și organizatorice.

Pe acest fond, primele sancțiuni publicate în 2026 confirmă continuitatea unei abordări ferme a autorității de supraveghere, cu accent pe responsabilitate, securitatea prelucrărilor și respectarea principiilor fundamentale ale GDPR.

În continuare, prezentăm lista amenzi GDPR 2026, pornind de la cea mai recentă, cu detalii despre entitățile sancționate, valoarea amenzilor și justificările reținute de autoritatea de supraveghere.

Lista amenzi GDPR 2026 în România

Lista amenzi GDPR în România – februarie 2026 

  • Tensa Art Design S.A – Februarie 2026 – 20.000 eur

Operatorul Tensa Art Design S.A – operatorul site-ului lensa.ro – a fost sancționat cu amendă în cuantum de 101.794 lei (echivalentul sumei de 20.000 euro) pentru nerespectarea obligației de cooperare cu Autoritatea de supraveghere, prevăzută de GDPR.

Investigația a fost declanșată în urma unei sesizări formulate de un utilizator, care a reclamat existența unor cookie-uri de urmărire și publicitate comportamentală pe site-ul operatorului. În cadrul procedurii, ANSPDCP a solicitat informații și clarificări operatorului, în exercitarea atribuțiilor sale legale de control, însă operatorul nu a răspuns solicitărilor transmise.  Întrucât această conduită constituie o abatere gravă s-a aplicat sancțiunea mentionată pe măsura corectivă de a transmite către Autoritate răspunsul solicitat în cadrul investigației.

Aceasta este a 6-a amendă aplicată acestui operator. În ultimii 3 ani, operatorul Tensa Art Design S.A a mai fost sancționat de 5 ori pentru:

  • nerespectarea drepturilor persoanei vizate (5.000 eur + 1.000 eur + 3.000 eur)
  • prelucrarea ilegală a datelor în scop de marketing, fără consimțământ (10.000 eur + 2.000 eur)

Concluzie:
Indiferent de fondul sesizării, necooperarea cu Autoritatea de supraveghere reprezintă, în sine, o încălcare gravă a GDPR, sancționabilă cu amenzi ridicate. Operatorii trebuie să trateze cu maximă seriozitate solicitările ANSPDCP și să răspundă complet și la timp în cadrul oricărei investigații.

  • GENPACT ROMANIA SRL – Februarie 2026 – 10.000 eur

Operatorul GENPACT ROMANIA SRL a fsot sancționat cu o amendă de 50.899 lei (echivalentul a 10.000 euro) pentru încălcarea obligațiilor privind securitatea prelucrării datelor.

Investigația a fost declanșată în urma unei notificări de breșă de securitate transmise de operator. În urma unui atac informatic, au fost accesate neautorizat datele personale ale unui număr semnificativ de utilizatori, inclusiv din alte state membre UE, într-un context de prelucrare transfrontalieră.

Datele compromise au inclus informații interne despre angajați, precum: nume, identificator intern, adresă de e-mail de serviciu, departament, funcție, locația biroului, data creării contului și codul de țară.

ANSPDCP a constatat că operatorul:

  • nu a implementat măsuri tehnice și organizatorice adecvate pentru nivelul de risc;
  • nu a asigurat protecția corespunzătoare a conturilor de utilizator, fiind exploatate vulnerabilități legate de parole și mecanismele de resetare a autentificării;
  • a permis, astfel, divulgarea neautorizată a datelor personale la scară largă.

Concluzie

Cazul subliniază importanța securității autentificării și a gestionării conturilor în organizațiile care operează la nivel internațional. Chiar și datele aparent „interne” sau „corporate” intră sub incidența GDPR, iar lipsa unor controale solide poate genera incidente cu impact transfrontalier și sancțiuni semnificative. Operatorul a achitat amenda aplicată.

  • Partidul Alianța pentru Unirea Românilor (AUR) – Februarie 2026 – 1.000 eur

Operatorul Partidul Alianța pentru Unirea Românilor (AUR) a fost sancționat cu amendă contravențională în cuantum de 5.089 lei (echivalentul a 1.000 euro) pentru încălcarea obligațiilor prevăzute de GDPR privind răspunsul la cererile persoanelor vizate.

Investigația a fost declanșată în urma unei plângeri formulate de o persoană fizică care a primit o scrisoare personalizată cu conținut electoral, în contextul campaniei pentru alegerile prezidențiale din 2025. Persoana vizată a solicitat exercitarea drepturilor de acces, ștergere și opoziție, însă nu a primit niciun răspuns din partea operatorului.

ANSPDCP a constatat că operatorul nu a comunicat un răspuns în termenul legal, nu a analizat și soluționat cererile privind drepturile persoanei vizate încălcând obligațiile prevăzute de GDPR, raportat la drepturile de acces, ștergere și opoziție.

Pe lângă amendă, ANSPDCP a dispus:

  • transmiterea unui răspuns scris către persoana vizată, conform art. 15, 17 și 21 din GDPR;
  • adoptarea de măsuri tehnice și organizatorice pentru a asigura gestionarea corectă și la timp a tuturor cererilor privind drepturile persoanelor vizate.

Concluzie

Acest caz subliniază faptul că GDPR se aplică integral și în context electoral. Indiferent de scopul prelucrării (politic, comercial sau administrativ), operatorii au obligația de a răspunde prompt și complet cererilor persoanelor vizate. Ignorarea acestor solicitări reprezintă o încălcare directă a Regulamentului și poate atrage sancțiuni.

Lista amenzi GDPR în România – ianuarie 2026 

  • Persoană fizică – Ianuarie 2026 – 10.000 eur

În luna ianuarie 2026, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație complexă privind activitatea unui operator persoană fizică, administrator al site-ului evita-teparii.ro, constatând încălcări grave și multiple ale GDPR.

Investigația a fost declanșată în urma a două sesizări care semnalau:

  • publicarea pe site a cărților de identitate ale unor persoane fizice;
  • postări defăimătoare, prin care persoanele vizate erau etichetate drept „debitori” sau „țepari”;
  • lipsa oricărei informări GDPR privind identitatea operatorului, scopul prelucrării sau drepturile persoanelor vizate;
  • nerespectarea cererilor de ștergere a datelor;
  • lipsa cooperării cu ANSPDCP în timpul investigației.

În urma verificărilor, Autoritatea a constatat că operatorul a prelucrat fără temei legal o gamă largă de date personale, inclusive date de identificare (nume, prenume, imagine, CI), date de contact (telefon, e-mail), informații profesionale și date extrem de sensibile, precum informații privind viața intimă/sexuală și presupuse condamnări penale.

Aceste prelucrări au fost realizate cu încălcarea principiilor fundamentale ale GDPR (legalitate, echitate, transparență), dar și a regulilor stricte privind categoriile speciale de date și datele privind infracțiuni.

ANSPDCP a aplicat patru amenzi distincte, în valoare totală de aproximativ 10.000 EUR, pentru:

  • refuzul de a coopera cu Autoritatea;
  • prelucrarea ilegală a datelor personale;
  • prelucrarea ilegală a datelor sensibile și a datelor privind condamnări penale;
  • nerespectarea obligațiilor de informare și a dreptului la ștergere.

Pe lângă sancțiuni, operatorului i s-a impus:

  • conformarea completă a activităților site-ului cu GDPR;
  • informarea corectă a persoanelor vizate;
  • ștergerea datelor personale publicate ilegal;
  • transmiterea către ANSPDCP a unei analize privind măsurile adoptate.

Concluzie:

Acest caz transmite un mesaj ferm: GDPR se aplică și persoanelor fizice care administrează site-uri sau platforme online. Publicarea necontrolată a datelor personale, în special cu scop de „expunere publică” sau stigmatizare, poate atrage sancțiuni severe, mai ales atunci când sunt implicate date sensibile.

Protecția datelor nu este opțională și nu depinde de forma juridică a operatorului, ci de impactul real asupra drepturilor și libertăților persoanelor vizate.

  • Continental Automotive Products SRL – Ianuarie 2025 – 15.000 eur

Operatorul Continental Automotive Products SRL a fost sancționat cu două amenzi contravenționale, în valoare totală de 76.366 lei (echivalentul a 15.000 euro) în urma unei notificării transmise de operator privind o încălcare a securității datelor cu caracter personal.

Potrivit informațiilor comunicate și confirmate în cadrul investigației, la nivel intern a fost distribuit în mod repetat un fișier Excel care conținea un centralizator cu salariații operatorului, incluzând date medicale provenite din certificatele medicale ale angajaților și foștilor angajați, aferente unei anumite perioade de timp.

ANSPDCP a constatat că această practică a încălcat principiul reducerii la minimum a datelor și obligația de responsabilitate prevăzute de GDPR, întrucât date sensibile au fost prelucrate și distribuite intern fără a fi strict necesar și fără garanții adecvate. Totodată, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura un nivel de securitate corespunzător riscurilor, inclusiv sub aspectul confidențialității, integrității și rezilienței sistemelor de prelucrare.

Această lipsă de măsuri adecvate a permis accesul neautorizat la date cu caracter personal aparținând unui număr semnificativ de angajați și foști salariați, evidențiind o deficiență majoră în gestionarea riscurilor asociate prelucrărilor de date cu caracter personal, în special a celor privind datele medicale.

Pe lângă sancțiunile cu amendă, ANSPDCP a dispus o măsură corectivă, obligând operatorul să implementeze, printr-o procedură tehnică și organizatorică, procese clare pentru toate activitățile de prelucrare a datelor, inclusiv mecanisme de monitorizare și control care să permită identificarea rapidă a incidentelor de securitate.

Concluzie:
Acest caz subliniază că prelucrările interne necontrolate pot genera riscuri majore, mai ales atunci când vizează date medicale. Distribuirea informală a fișierelor cu date sensibile, în absența unor proceduri clare și a măsurilor de securitate adecvate, conduce nu doar la incidente de securitate, ci și la sancțiuni semnificative pentru încălcarea principiilor fundamentale ale GDPR.

  • Premier Restaurants Romania SRL – Ianuarie 2026 – 8.000 eur

Operatorul Premier Restaurants Romania SRL a fost sancționat cu o amendă contravențională în cuantum de 40.736 lei, echivalentul a 8.000 euro pentru acces neautorizat la date cu caracter personal.

Investigația a fost declanșată chiar de notificarea transmisă de operator, după producerea unui incident de securitate constând într-un atac informatic asupra aplicației informatice utilizate.

În urma investigației, ANSPDCP a reținut că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în special în ceea ce privește capacitatea de a garanta confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de prelucrare, așa cum impune GDPR. De asemenea, s-a constatat că operatorul nu s-a asigurat că recurge exclusiv la persoane împuternicite care oferă garanții suficiente privind aplicarea unor măsuri adecvate de securitate.

Ca urmare a acestor deficiențe, incidentul a condus la accesarea neautorizată a datelor unui număr semnificativ de persoane vizate, respectiv salariați ai operatorului, fiind compromise date precum numele și prenumele, data nașterii, adresa de e-mail și funcția ocupată.

Concluzie: securitatea IT nu se evaluează „după incident”, ci înainte, prin măsuri concrete, documentate și testate, inclusiv în relația cu furnizorii.

  • Money Seeds S.R.L. – Ianuarie 2026 – 7.000 eur

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat prima sancțiune din acest an operatorului Money Seeds S.R.L., în urma unei investigații finalizate în 2025, declanșate ca urmare a unei plângeri formulate de o persoană fizică.

În cadrul investigației s-a constatat că operatorul a transmis mesaje comerciale prin e-mail, deși persoana vizată își exprimase anterior opoziția față de primirea acestora și solicitase în mod repetat ștergerea datelor sale, fără a primi vreun răspuns. Totodată, operatorul nu a pus la dispoziție un mecanism simplu și gratuit de exercitare a dreptului de opoziție, astfel cum prevede legea.

De asemenea, ANSPDCP a reținut că operatorul nu a putut face dovada unei informări complete, corecte și transparente a persoanelor vizate, conform GDPR, raportat la obligațiile de transparență.

Pentru aceste încălcări, autoritatea de supraveghere a aplicat două amenzi contravenționale, în valoare totală de 15.178 lei (5.000 lei pentru încălcarea Legii nr. 506/2004 și 10.178 lei – echivalentul a 2.000 euro – pentru încălcarea GDPR), dispunând totodată măsuri corective obligatorii privind soluționarea cererilor persoanei vizate și conformarea operațiunilor de marketing direct cu legislația aplicabilă.

Anca Suciu este un manager de marketing pasionat de protecția datelor și conformitatea GDPR. Cu peste 18 ani de experiență în domeniul marketingului digital, Anca Suciu combină expertiza sa în strategii de marketing cu o înțelegere detaliată a regulamentelor GDPR. Articolele sale pe blog se disting prin claritate, aplicabilitate practică și o perspectivă unică care îmbină marketingul cu reglementările privind protecția datelor.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *