Lista amenzi GDPR 2026
Anul 2026 debutează într-un context deja bine conturat, în condițiile în care 2025 a fost unul dintre cei mai activi ani pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, marcând până în prezent un număr record de investigații și sancțiuni aplicate pentru încălcarea legislației privind protecția datelor cu caracter personal. Amenzile din 2025 au vizat o paletă largă de situații – de la marketing direct neconform și nerespectarea drepturilor persoanelor vizate, până la incidente de securitate și deficiențe grave în implementarea măsurilor tehnice și organizatorice.
Pe acest fond, primele sancțiuni publicate în 2026 confirmă continuitatea unei abordări ferme a autorității de supraveghere, cu accent pe responsabilitate, securitatea prelucrărilor și respectarea principiilor fundamentale ale GDPR.
În continuare, prezentăm lista amenzi GDPR 2026, cu detalii despre entitățile sancționate, valoarea amenzilor și justificările reținute de autoritatea de supraveghere.
Conținut
Lista amenzi GDPR 2026 în România
3. Continental Automotive Products SRL – Ianuarie 2025 – 15.000 eur
Operatorul Continental Automotive Products SRL a fost sancționat cu două amenzi contravenționale, în valoare totală de 76.366 lei (echivalentul a 15.000 euro) în urma unei notificării transmise de operator privind o încălcare a securității datelor cu caracter personal.
Potrivit informațiilor comunicate și confirmate în cadrul investigației, la nivel intern a fost distribuit în mod repetat un fișier Excel care conținea un centralizator cu salariații operatorului, incluzând date medicale provenite din certificatele medicale ale angajaților și foștilor angajați, aferente unei anumite perioade de timp.
ANSPDCP a constatat că această practică a încălcat principiul reducerii la minimum a datelor și obligația de responsabilitate prevăzute de GDPR, întrucât date sensibile au fost prelucrate și distribuite intern fără a fi strict necesar și fără garanții adecvate. Totodată, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura un nivel de securitate corespunzător riscurilor, inclusiv sub aspectul confidențialității, integrității și rezilienței sistemelor de prelucrare.
Această lipsă de măsuri adecvate a permis accesul neautorizat la date cu caracter personal aparținând unui număr semnificativ de angajați și foști salariați, evidențiind o deficiență majoră în gestionarea riscurilor asociate prelucrărilor de date cu caracter personal, în special a celor privind datele medicale.
Pe lângă sancțiunile cu amendă, ANSPDCP a dispus o măsură corectivă, obligând operatorul să implementeze, printr-o procedură tehnică și organizatorică, procese clare pentru toate activitățile de prelucrare a datelor, inclusiv mecanisme de monitorizare și control care să permită identificarea rapidă a incidentelor de securitate.
Concluzie:
Acest caz subliniază că prelucrările interne necontrolate pot genera riscuri majore, mai ales atunci când vizează date medicale. Distribuirea informală a fișierelor cu date sensibile, în absența unor proceduri clare și a măsurilor de securitate adecvate, conduce nu doar la incidente de securitate, ci și la sancțiuni semnificative pentru încălcarea principiilor fundamentale ale GDPR.
2. Premier Restaurants Romania SRL – Ianuarie 2026 – 8.000 eur
Operatorul Premier Restaurants Romania SRL a fost sancționat cu o amendă contravențională în cuantum de 40.736 lei, echivalentul a 8.000 euro pentru acces neautorizat la date cu caracter personal.
Investigația a fost declanșată chiar de notificarea transmisă de operator, după producerea unui incident de securitate constând într-un atac informatic asupra aplicației informatice utilizate.
În urma investigației, ANSPDCP a reținut că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în special în ceea ce privește capacitatea de a garanta confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de prelucrare, așa cum impune GDPR. De asemenea, s-a constatat că operatorul nu s-a asigurat că recurge exclusiv la persoane împuternicite care oferă garanții suficiente privind aplicarea unor măsuri adecvate de securitate.
Ca urmare a acestor deficiențe, incidentul a condus la accesarea neautorizată a datelor unui număr semnificativ de persoane vizate, respectiv salariați ai operatorului, fiind compromise date precum numele și prenumele, data nașterii, adresa de e-mail și funcția ocupată.
Concluzie: securitatea IT nu se evaluează „după incident”, ci înainte, prin măsuri concrete, documentate și testate, inclusiv în relația cu furnizorii.
1. Money Seeds S.R.L. – Ianuarie 2026 – 7.000 eur
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat prima sancțiune din acest an operatorului Money Seeds S.R.L., în urma unei investigații finalizate în 2025, declanșate ca urmare a unei plângeri formulate de o persoană fizică.
În cadrul investigației s-a constatat că operatorul a transmis mesaje comerciale prin e-mail, deși persoana vizată își exprimase anterior opoziția față de primirea acestora și solicitase în mod repetat ștergerea datelor sale, fără a primi vreun răspuns. Totodată, operatorul nu a pus la dispoziție un mecanism simplu și gratuit de exercitare a dreptului de opoziție, astfel cum prevede legea.
De asemenea, ANSPDCP a reținut că operatorul nu a putut face dovada unei informări complete, corecte și transparente a persoanelor vizate, conform GDPR, raportat la obligațiile de transparență.
Pentru aceste încălcări, autoritatea de supraveghere a aplicat două amenzi contravenționale, în valoare totală de 15.178 lei (5.000 lei pentru încălcarea Legii nr. 506/2004 și 10.178 lei – echivalentul a 2.000 euro – pentru încălcarea GDPR), dispunând totodată măsuri corective obligatorii privind soluționarea cererilor persoanei vizate și conformarea operațiunilor de marketing direct cu legislația aplicabilă.
