În ultimele luni ale anului 2025, autoritatea de supraveghere a aplicat mai multe sancțiuni care arată, încă o dată, că respectarea GDPR nu este doar o formalitate, ci o responsabilitate reală a oricărei organizații care prelucrează date cu caracter personal.
Analizăm mai jos,pe scurt, ce tipuri de încălcări au fost sancționate cel mai frecvent, ce articole din legislație au fost vizate și ce ar trebui să aibă în vedere managementul pentru a evita situații similare.
Divulgarea neautorizată a datelor personale
Într-unul dintre cazuri, date personale sensibile ale unei persoane vizate au fost făcute publice pe o rețea de socializare de către un angajat. Investigația a arătat lipsa unor măsuri suficiente de securitate și control intern, dar și o instruire deficitară a personalului care avea acces la date.
Au fost încălcate, în principal, prevederile privind prelucrarea datelor doar la instrucțiunea operatorului și obligația de a asigura confidențialitatea și securitatea acestora (art. 29 și art. 32 din GDPR).
Acest tip de situație apare frecvent atunci când organizațiile tratează protecția datelor ca pe o problemă tehnică. Fără reguli clare, proceduri interne și training constant, riscul de divulgare accidentală sau intenționată crește semnificativ.
Nerespectarea dreptului de acces al persoanelor vizate
Un alt caz a vizat modul în care a fost gestionată o cerere de acces la date personale. Persoana vizată nu a primit un răspuns complet și în termenul legal, iar operatorul nu a putut face dovada unei comunicări conforme.
Au fost încălcate articolele referitoare la transparență și exercitarea drepturilor persoanelor vizate (art. 12 și art. 15 din GDPR).
Pentru management, acest tip de sancțiune evidențiază nevoia unor fluxuri interne clare pentru gestionarea cererilor GDPR. Nu este suficient să existe o adresă de e-mail sau o procedură pe hârtie. Este esențial ca personalul responsabil să știe exact ce informații trebuie furnizate, în ce termen și cum se documentează fiecare răspuns.
Utilizarea modulelor cookies fără consimțământ
Un alt exemplu de sancțiune a avut ca obiect utilizarea modulelor cookies care nu erau strict necesare din punct de vedere tehnic, fără informarea corectă a utilizatorilor și fără obținerea consimțământului prealabil.
În acest caz, au fost încălcate prevederile din legislația privind comunicațiile electronice, care impun condiții clare pentru stocarea informațiilor pe echipamentele utilizatorilor.
Deși este percepută adesea ca o zonă minoră, configurarea greșită a bannerelor de cookies rămâne una dintre cele mai frecvente surse de sancțiuni. Managementul ar trebui să se asigure că soluțiile tehnice implementate respectă efectiv opțiunile utilizatorilor și că informarea este clară, completă și ușor accesibilă.
Supravegherea video la locul de muncă
Un alt caz analizat a vizat instalarea camerelor de supraveghere în spații de lucru, fără informarea adecvată a persoanelor vizate, fără consultarea prealabilă a angajaților și fără demonstrarea unui temei legal solid.
Au fost constatate încălcări ale principiilor de legalitate, transparență și minimizare a datelor, precum și lipsa unor măsuri de securitate adecvate (art. 5, 6, 12, 13 și 32 din GDPR).
Acest tip de sancțiune atrage atenția asupra faptului că monitorizarea angajaților este o zonă extrem de sensibilă. Managementul trebuie să evalueze dacă scopul urmărit poate fi atins prin metode mai puțin intruzive și să documenteze temeinic orice decizie de implementare a supravegherii video.
Securitatea cibernetică și atacurile informatice
Într-un alt caz, o platformă online a fost afectată de atacuri cibernetice repetate, care au dus la accesarea neautorizată a unui volum mare de date personale. Investigația a arătat că nu au fost implementate măsuri tehnice și organizatorice adecvate raportat la riscurile existente.
Au fost încălcate obligațiile privind securitatea prelucrării și responsabilitatea operatorului (art. 32 și art. 24 din GDPR).
Pentru conducerea organizațiilor, acest tip de sancțiune subliniază importanța evaluării periodice a riscurilor, a testării sistemelor informatice și a actualizării măsurilor de securitate.
Ce ar trebui să rețină managementul
Dincolo de sumele aplicate, aceste sancțiuni transmit un mesaj clar: majoritatea încălcărilor pot fi prevenite prin măsuri de bază, aplicate consecvent. Instruirea angajaților, procedurile clare, implicarea responsabilului cu protecția datelor, evaluarea riscurilor și documentarea deciziilor sunt elemente esențiale pentru conformitate.
GDPR nu sancționează greșelile izolate, ci lipsa unui sistem coerent de protecție a datelor. Organizațiile care tratează conformitatea ca parte din cultura internă reduc semnificativ riscul de amenzi și, în același timp, câștigă încrederea clienților și partenerilor.
