Retrospectiva anului 2025 din prisma sancțiunilor aplicate pentru încălcarea legislației privind protecția datelor

Economistul
-
0

de Ioan Dumitrașcu, partener,
Diana Gavra, senior associate,
Cristina Boroșeanu, associate – Filip & Company

În contextul accelerării proceselor de digitalizare și implementarea tot des mai des a sistemelor bazate pe tehnologii de inteligență artificială în procesele societăților, protecția datelor cu caracter personal continuă să reprezinte un subiect de interes major, cu impact direct asupra activităților curente. De-a lungul timpului, societățile au conștientizat importanța acestei materii și au implementat măsuri menite să asigure conformarea cu cerințele legale aplicabile.

În ultimul an, am observat ca principale acțiuni de conformare: actualizarea politicilor, procedurilor și a notelor de informare pentru a acoperi noi procese sau linii de business, inclusiv ca urmare a integrării unor sisteme bazate pe inteligența artificială, adresarea implicațiilor de protecție a datelor din proceduri desfășurate în relația cu angajații, documentarea la nivel intern a intereselor legitime urmărite de operatori și realizarea de evaluări ale impactului asupra protecției datelor, susținerea de training-uri pentru angajații societății, acțiuni de testare a procedurilor de răspuns la drepturile persoanelor vizate, reglementarea contractuală a relațiilor cu implicații din perspectiva prelucrării datelor, audituri de conformitate pentru identificarea posibilelor aspecte de îmbunătățit, iar în unele cazuri, adresarea incidentelor de încălcare a securității datelor.

Conform tradiției inițiate în urmă cu patru ani, la începutul noului an, am pregătit o retrospectivă a anului 2025 din prisma sancțiunilor aplicate pentru încălcarea legislației privind protecția datelor cu caracter personal, pe baza informațiilor publicate de autoritatea de supraveghere din România – ANSPDCP. 

Din perspectiva activității de monitorizare și control a ANSPDCP, principala schimbare observată în anul 2025 privește numărul total al amenzilor aplicate și cuantumul acestora. Astfel, conform informațiilor din „Broșura Bilanț aniversar la 20 de ani de la înființarea ANSPDCP, 2025” și „Broșura dedicată Zilei Europene a Protecției Datelor, 2026”, în timp ce în 2024, au fost aplicate 83 de amenzi în valoare totală de 1.855.807 RON, în anul 2025 au fost aplicate 105 amenzi în valoare totală de 2.565.020 RON (echivalentul a 511.400 EUR). Dintre aceste amenzi, 96 au fost aplicate în baza GDPR și 9 amenzi au fost aplicate în baza Legii nr. 506/2004 (în valoare de 187.000 RON). De asemenea, în ceea ce privește numărul total al investigațiilor, cifrele reflectă o ușoară creștere, respectiv un total de 488 de investigații finalizate în 2025, comparativ cu 476 de investigații finalizate în anul 2024.

Conform informațiilor publicate pe website-ul ANSPDCP, principalele motive care au condus la aplicarea de sancțiuni în 2025 au fost:

  • lipsa măsurilor tehnice și organizatorice adecvate și eficiente, lipsa testărilor periodice, ceea ce a condus la incidente de securitate (de ex. sub forma accesului în mod neautorizat la date cu caracter personal ale clienților operatorului, atacuri cibernetice, publicarea neautorizată a datelor pe o rețea de socializare, prelucrarea neautorizată a datelor de către un angajat al împuternicitului operatorului); 
  • neimplementarea de către operator a măsurilor necesare pentru a se asigura că orice persoană care acționează sub autoritatea sa și are acces la date le prelucrează doar la cererea operatorului;
  • lipsa consimțământului sau a unui temei legal (e.g., transmiterea de mesaje comerciale nesolicitate, publicarea pe o pagină de socializare);
  • prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere audio – video de tip „body-cam” (imagine, voce), fără să existe un temei legal și fără îndeplinirea condițiilor de transparență față de persoanele vizate;
  • implementarea pe echipamentul utilizatorilor a unor module cookies care nu erau necesare din punct de vedere tehnic, fără a efectua o informare corectă și completă și fără a exista consimțământul persoanelor;
  • prelucrarea datelor prin sisteme de monitorizare audio-video a angajaților, fără respectarea cerințelor de legalitate, echitate şi transparenţă;
  • nerespectarea drepturilor persoanelor vizate (de ex. gestionarea inadecvată a cererilor de ștergere a datelor personale, de opoziție la prelucrare, nefurnizarea unui răspuns complet și în termenul legal la o cerere de acces la date);
  • lipsa informării persoanelor cu privire la prelucrarea datelor prin intermediul unui website;
  • nerespectarea principiilor de prelucrare a datelor, ceea ce a determinat prelucrări excesive scopului urmărit (de ex. utilizarea datelor pentru emiterea de documente după încetarea relației contractuale, transmiterea de date neautorizat privind un fost angajat);
  • lipsa cooperării cu ANSPDCP prin necomunicarea informațiilor solicitate de Autoritate în baza competențelor legale de investigare.
Economistul
Economistul