Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat recent finalizarea unei investigații încheiate în luna decembrie 2025, care s-a soldat cu două amenzi pentru încălcări legate de minimizarea datelor și securitatea prelucrării. Cazul este relevant pentru orice angajator, pentru că pornește dintr-o situație aparent banală: circulația internă a unui fișier Excel.
Investigația a fost declanșată după ce operatorul a transmis o notificare de încălcare a securității datelor, conform obligațiilor privind raportarea incidentelor. În esență, la nivel intern a fost distribuit în mod repetat un fișier Excel care conținea un centralizator cu angajați și foști angajați, inclusiv date medicale (informații din certificate medicale).
În timpul verificărilor, Autoritatea a reținut că nu existau măsuri tehnice și organizatorice suficiente pentru a garanta securitatea datelor și reziliența sistemelor de prelucrare. Vulnerabilitatea a făcut posibil un acces neautorizat la datele personale pentru un număr semnificativ de persoane vizate.
Care a fost sancțiunea
ANSPDCP a aplicat două amenzi distincte:
-
5.000 EUR (25.455 lei) pentru încălcarea principiului minimizării datelor și a obligației de responsabilitate (accountability);
-
10.000 EUR (50.911 lei) pentru încălcarea cerințelor de securitate a prelucrării.
În plus, a fost dispusă o măsură corectivă: implementarea, printr-o procedură tehnică și organizatorică, a tuturor proceselor care implică prelucrări de date personale, inclusiv un mecanism de monitorizare și control pentru identificarea rapidă a incidentelor de securitate.
Ce prevederi GDPR sunt în joc și de ce contează
1) Minimizarea datelor (art. 5 alin. (1) lit. c) GDPR)
Principiul spune, pe înțelesul tuturor, că o organizație trebuie să lucreze cu date adecvate, relevante și limitate la ceea ce este necesar pentru scopul urmărit. Un centralizator „bogat” în informații, distribuit pe e-mail sau prin share intern, este exact genul de practică ce poate depăși rapid ce este necesar, mai ales când include informații sensibile precum datele medicale.
2) Responsabilitatea (art. 5 alin. (2) GDPR)
Nu este suficient să „crezi” că respecți regulile. Trebuie să poți demonstra că ai procese, decizii, controale și dovezi clare: cine are acces, de ce, cum se partajează, cât timp se păstrează, cine aprobă și cine verifică.
3) Securitatea prelucrării (art. 32 GDPR)
GDPR cere măsuri tehnice și organizatorice potrivite riscului, inclusiv capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de prelucrare. Cu alte cuvinte: nu doar „avem parole”, ci controale reale, proporționale cu sensibilitatea datelor și cu impactul posibil asupra oamenilor.
De ce un Excel cu date HR e un risc major
Fișierele Excel sunt comode, dar greu de controlat: se copiază ușor, se forwardează, se salvează local, ajung în foldere comune și devin imposibil de urmărit. Când apar și date medicale, riscul crește semnificativ. Chiar și fără o breșă „spectaculoasă”, simpla lipsă de control asupra accesului și distribuției poate conduce la acces neautorizat și, implicit, la sancțiuni.
Ce trebuie să facă firmele ca să evite o sancțiune similară
În practică, prevenția se reduce la câteva decizii foarte clare:
În primul rând, reduceți datele din centralizatoare. Dacă un departament are nevoie să știe că o persoană este în concediu medical, de cele mai multe ori nu are nevoie de detalii din certificat. Păstrați informația strict necesară scopului și limitați accesul la restul.
Apoi, scoateți datele sensibile din „fișiere care circulă”. Pentru HR, folosiți un sistem (HRIS, DMS, ticketing) cu control de acces pe roluri, audit log și reguli de partajare. Dacă un fișier trebuie totuși folosit, setați reguli ferme: acces nominal, permisiuni minime, interdicție de download unde se poate, expirare, trasabilitate.
Introduceți măsuri de securitate potrivite riscului: politici de acces, autentificare multi-factor, criptare unde e cazul, segmentarea drepturilor, jurnalizare, alerte la distribuire neobișnuită, controale de tip DLP (Data Loss Prevention) pentru a bloca trimiterea internă/externă a fișierelor cu conținut sensibil.
Nu în ultimul rând, puneți pe hârtie și în practică un proces de monitorizare și control al prelucrărilor, astfel încât incidentele să fie detectate rapid, investigate și oprite din fașă. Exact această zonă a fost subliniată și în măsura corectivă dispusă de Autoritate.
Mesajul din această sancțiune este simplu: nu trebuie să existe un atac sofisticat ca să apară consecințe serioase. Uneori, riscul pleacă dintr-un obicei intern „moștenit” — un Excel care circulă și conține mai mult decât ar trebui. O revizuire pragmatică a fluxurilor HR, a accesului și a regulilor de partajare poate reduce rapid riscul și poate preveni costuri, timp pierdut și expunere reputațională.
