Amenzi GDPR de peste 350.000 lei în 2026: cele mai frecvente greșeli sancționate de ANSPDCP

Amenzi GDPR în România în 2026: ce sancțiuni a aplicat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și ce pot învăța organizațiile din aceste cazuri

În primele luni ale anului 2026, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a continuat activitatea de investigare și sancționare a operatorilor care nu respectă cerințele privind protecția datelor cu caracter personal prevăzute de Regulamentul (UE) 2016/679 (GDPR) și de legislația națională aplicabilă.

Până în prezent, valoarea totală a sancțiunilor aplicate în anul 2026 ajunge la 366.071 lei (aproximativ 71.861 euro), rezultatul mai multor investigații finalizate în urma unor plângeri ale persoanelor vizate sau a unor notificări de incidente de securitate.

Aceste cazuri evidențiază câteva tipuri recurente de probleme: lipsa măsurilor de securitate adecvate, nerespectarea drepturilor persoanelor vizate, lipsa transparenței privind prelucrarea datelor sau necooperarea cu autoritatea de supraveghere.

Principalele sancțiuni aplicate în 2026

Marketing direct fără consimțământ și fără informare adecvată

Operatorul Money Seeds S.R.L. a fost sancționat cu 15.178 lei pentru transmiterea de mesaje comerciale nesolicitate către o persoană care își exprimase opoziția față de primirea acestora.

Investigația a arătat că operatorul:

  • a continuat să trimită emailuri de marketing după exprimarea opoziției;

  • nu a oferit o modalitate simplă și gratuită de dezabonare;

  • nu a furnizat informații complete privind prelucrarea datelor.

Autoritatea a dispus și măsuri corective, inclusiv revizuirea bazelor de date și instruirea personalului privind prelucrarea datelor în scop de marketing.

Breșe de securitate și măsuri tehnice insuficiente

Compania Premier Restaurants Romania SRL a fost sancționată cu 40.736 lei (8.000 euro) după un atac informatic care a permis accesul neautorizat la date ale angajaților, precum nume, prenume, email și funcție.

Investigația a evidențiat faptul că nu au fost implementate măsuri tehnice și organizatorice adecvate pentru protejarea sistemelor informatice și pentru controlul accesului la date.

Distribuirea internă necontrolată a datelor sensibile

Operatorul Continental Automotive Products SRL a primit amenzi în valoare totală de 76.366 lei (15.000 euro) după ce un fișier Excel cu date medicale ale angajaților a fost distribuit în mod repetat la nivel intern.

Fișierul conținea informații din certificate medicale, ceea ce reprezintă date sensibile conform GDPR. Lipsa măsurilor adecvate de control al accesului și securitate a dus la accesarea neautorizată a acestor informații.

Publicarea ilegală a datelor personale pe internet

Un operator persoană fizică care administra site‑ul evita-teparii.ro a fost sancționat cu amenzi totale de 50.890 lei (10.000 euro) pentru publicarea unor documente de identitate și a altor date personale fără temei legal.

Investigația a constatat că operatorul:

  • a publicat date personale și informații sensibile;

  • nu a informat persoanele vizate;

  • nu a răspuns cererilor de ștergere;

  • nu a cooperat cu autoritatea de supraveghere.

Nerespectarea drepturilor persoanelor vizate

Partidul Alianța pentru Unirea Românilor a fost sancționat cu 5.089 lei pentru că nu a răspuns unei cereri prin care o persoană își exercita drepturile GDPR (acces, ștergere și opoziție) după primirea unei scrisori electorale personalizate.

Breșe de securitate în context transfrontalier

Operatorul Genpact Romania SRL a fost amendat cu 50.899 lei (10.000 euro) după ce un atac informatic a dus la divulgarea unor date ale angajaților din mai multe state ale UE.

Incidentul a fost posibil din cauza vulnerabilităților legate de parole și de procesul de resetare a autentificării conturilor.

Necomunicarea informațiilor solicitate de autoritatea de supraveghere

Compania Tensa Art Design S.A., operatorul site‑ului lensa.ro, a fost sancționată cu 101.794 lei (20.000 euro) pentru că nu a răspuns solicitărilor autorității în cadrul unei investigații privind module cookie de urmărire și publicitate comportamentală.

Vulnerabilități într-o aplicație software

Operatorul Your Consulting SRL a fost sancționat cu 14.929 lei (3.000 euro) după ce o aplicație dezvoltată de companie a permis accesul neautorizat la date personale, inclusiv CNP și informații privind voucherele de vacanță ale unor persoane.

Lipsa cooperării în cadrul unei investigații

Clinica Hayat Dent SRL a primit o amendă de 10.190 lei (2.000 euro) pentru că nu a furnizat autorității informațiile solicitate în cadrul unei investigații privind copierea datelor pacienților de către o fostă angajată.

Concluzii: ce tipuri de încălcări apar cel mai frecvent

Analiza sancțiunilor aplicate în 2026 arată că cele mai frecvente probleme sunt:

  • măsuri de securitate IT insuficiente

  • gestionarea incorectă a cererilor persoanelor vizate

  • lipsa transparenței privind prelucrarea datelor

  • marketing direct fără consimțământ

  • necooperarea cu autoritatea de supraveghere

Aceste situații demonstrează că multe incidente pot fi prevenite prin implementarea unor proceduri interne clare și a unor măsuri tehnice adecvate.

Cum puteau fi evitate aceste sancțiuni

Majoritatea amenzilor analizate ar fi putut fi prevenite prin câteva măsuri esențiale de conformitate GDPR:

1. Implementarea unor măsuri tehnice de securitate adecvate
Organizațiile trebuie să asigure protecția sistemelor informatice, inclusiv prin politici de parole, controlul accesului, criptare și monitorizarea incidentelor de securitate.

2. Respectarea drepturilor persoanelor vizate
Cererile de acces, ștergere sau opoziție trebuie analizate și soluționate în termenul legal, iar procesele interne trebuie să permită gestionarea eficientă a acestor solicitări.

3. Transparență și informare corectă
Politicile de confidențialitate trebuie să ofere informații clare despre scopurile prelucrării, temeiurile legale și drepturile persoanelor vizate.

4. Controlul accesului la date sensibile
Datele medicale, CNP‑urile sau alte informații sensibile trebuie protejate prin măsuri suplimentare de securitate și prin limitarea accesului doar la persoanele autorizate.

5. Cooperarea cu autoritatea de supraveghere
Nerespectarea solicitărilor ANSPDCP poate conduce la sancțiuni suplimentare, chiar și atunci când încălcarea inițială este minoră.

Cazurile analizate arată că respectarea cerințelor GDPR nu este doar o obligație legală, ci și o componentă esențială a gestionării riscurilor organizaționale. Într-un context în care incidentele de securitate și utilizarea datelor personale devin tot mai frecvente, organizațiile trebuie să trateze conformitatea GDPR ca pe un proces continuu, care implică politici interne, instruirea personalului și monitorizarea constantă a modului în care sunt prelucrate datele personale.

Împărtășește-ți dragostea
Felix
Felix
Articole: 9

Actualizări newsletter

Introdu adresa ta de email mai jos și abonează-te la newsletter-ul nostru

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *