Ce amenzi GDPR s-au aplicat în anul precedent și cum pot fi evitate sancțiunile ANSPDCP

1. Ce tipuri de amenzi GDPR s-au aplicat în anul precedent?

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a
sancționat, în anul precedent, atât companii private, cât și instituții publice. Domeniile cele
mai vizate au fost comerțul online, servicii financiare, sănătate, servicii digitale și sectorul
public. Din analiza comunicărilor oficiale reies câteva categorii principale de încălcări.

1.1. Prelucrarea datelor fără temei legal valid

Una dintre cele mai frecvente cauze ale amenzilor este prelucrarea datelor personale fără un
temei legal clar. În practică, asta înseamnă:

• colectarea de date fără informarea corespunzătoare a persoanei vizate;
• folosirea datelor în alte scopuri decât cele declarate inițial (de exemplu, marketing fără consimțământ);
• solicitarea unor date excesive (CNP, copii CI, informații sensibile) fără justificare juridică.

ANSPDCP a arătat că nu este suficient să invoci GDPR în politică, ci trebuie să poți demonstra
în concret temeiul legal folosit pentru fiecare categorie de date (consimțământ, contract,
obligație legală, interes legitim etc.).

1.2. Măsuri de securitate insuficiente și breșe de date

O altă cauză frecventă de sancțiuni o reprezintă măsurile de securitate IT insuficiente,
care duc la acces neautorizat sau la pierderea datelor.

• parole simple sau partajate între mai mulți angajați;
• lipsa criptării pentru datele sensibile;
• servere sau aplicații configurate incorect;
• lipsa monitorizării accesului.

În astfel de situații, amenda se calculează ținând cont de numărul persoanelor afectate,
tipul datelor expuse și durata incidentului.

1.3. Neraportarea incidentelor de securitate

GDPR obligă operatorii să notifice ANSPDCP în maximum 72 de ore.
Nerespectarea acestui termen poate duce la sancțiuni suplimentare.

1.4. Nerespectarea drepturilor persoanelor vizate

ANSPDCP a sancționat frecvent operatori care nu au răspuns la cereri privind accesul sau ștergerea datelor.

• ignorarea cererilor;
• depășirea termenului legal de 30 de zile;
• lipsa procedurilor interne.

1.5. Monitorizarea excesivă a angajaților

Amenzile au vizat și monitorizarea disproporționată:

• supraveghere video fără informare;
• monitorizare excesivă a e-mailului;
• tracking GPS fără justificare legală.

2. Probleme recurente în practică

2.1. Lipsa unei analize reale a datelor

Multe firme folosesc politici generice, fără legătură cu activitatea reală.

2.2. Documente doar formale

ANSPDCP verifică aplicarea practică, nu doar existența documentelor.

2.3. Securitate IT superficială

• lipsa autentificării în doi pași;
• acces necontrolat la date;
• backup inexistent sau nesigur.

2.4. Lipsa procedurilor interne

Fără proceduri, cererile GDPR sunt gestionate haotic și pot duce la sancțiuni.

3. Recomandări practice pentru evitarea amenzilor GDPR

3.1. Audit GDPR periodic

Auditul identifică fluxurile de date și riscurile.

3.2. Actualizarea documentelor

• politica de confidențialitate;
• registrul prelucrărilor;
• proceduri interne;
• politici de retenție.

3.3. Măsuri tehnice de securitate

• parole complexe;
• 2FA;
• acces limitat;
• backup regulat.

3.4. Instruirea angajaților

Majoritatea incidentelor apar din eroare umană.

3.5. Respectarea termenelor

• 30 zile – cereri GDPR;
• 72 ore – incidente securitate.

3.6. Contracte cu partenerii

Este necesară încheierea contractelor de prelucrare a datelor (DPA).

În cazul unor conflicte sau litigii, poate fi necesară intervenția unui
avocat specializat în drept civil.

Concluzie

Amenzile GDPR arată că autoritățile verifică activ conformarea, indiferent de dimensiunea firmei.
Prevenția este cheia: audit, documente corecte, securitate și instruire.

Printr-o abordare corectă și consultanță juridică, riscul de sancțiuni poate fi redus semnificativ.