Din cuprinsul articolului
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat că în primele patru luni ale anului 2025 a aplicat amenzi GDPR în valoare de 230.500 de euro companiilor din România, după ce a primit mii de plângeri și sesizări privind încălcarea legislației privind protecția datelor. Printre firmele sancționate se numără și Dr. Max SRL, operatorul cunoscutului lanț de farmacii, care a primit o amendă de 1.000 de euro.
Dr. Max, amendată pentru păstrarea ilegală a unei copii de buletin
În august 2025, ANSPDCP a finalizat o investigație la Dr. Max SRL, constatând încălcarea prevederilor art. 12 alin. (3) și (4) și art. 17 din Regulamentul GDPR.
Cazul a pornit de la o plângere prin care o persoană reclama că firma refuzase să îi respecte dreptul de ștergere a datelor personale. Pe parcursul verificărilor, autoritatea a descoperit că un angajat al companiei a reținut o copie a cărții de identitate a clientei fără consimțământul acesteia.
Pentru aceste încălcări, compania a fost sancționată cu o amendă de 5.057 lei (echivalentul a 1.000 de euro), pe care a și achitat-o. În plus, ANSPDCP a dispus măsuri corective, inclusiv:
- implementarea unor proceduri clare pentru soluționarea cererilor depuse de persoane vizate;
- instruirea regulată a angajaților privind respectarea GDPR;
- transmiterea unui răspuns oficial petentei.
Amenzi de peste 230.000 de euro în doar patru luni
Cazul Dr. Max se înscrie într-un context mai amplu. Între ianuarie – aprilie 2025, ANSPDCP a primit 3.048 de plângeri, sesizări și notificări privind incidente de securitate, care au dus la deschiderea a 153 de investigații.
Rezultatele investigațiilor:
- 52 de amenzi, în valoare totală de 1,13 milioane lei (230.500 euro);
- 68 de avertismente și 96 de măsuri corective;
- 1 avertizare suplimentară și 2 decizii de încetare a unor prelucrări de date.
Din cele 3.048 de sesizări:
- 2.799 au fost plângeri, care au generat 67 de investigații;
- 65 de notificări privind încălcarea securității datelor;
- 184 de sesizări referitoare la posibile neconformități.
- În total, au fost efectuate 86 de investigații pe baza notificărilor și sesizărilor.
Cele mai frecvente probleme semnalate:
- dezvăluirea datelor personale către terți, inclusiv în mediul online;
- prelucrarea imaginilor prin sisteme de supraveghere video;
- nerespectarea drepturilor persoanelor vizate;
- trimiterea de mesaje comerciale nesolicitate;
- încălcarea principiilor de prelucrare a datelor.
De ce greșesc firmele și ce pot face
Specialistul în tehnologie Tudor Galoș a explicat pentru comunitatea antreprenorială că multe firme mici din România tratează GDPR ca pe o simplă formalitate.
Printre cele mai comune greșeli:
- copierea unor notificări de confidențialitate nepotrivite;
- aplicarea unor proceduri birocratice pe care angajații nu le înțeleg;
- lipsa monitorizării continue a conformității;
- încercarea de a ascunde anumite prelucrări de date de utilizatori.
„Un angajat va face la un moment dat o greșeală: instalează un plug-in neconform, trimite emailuri către foști clienți sau chiar fură date electronice, ceea ce se pedepsește cu închisoare”, avertizează Galoș.
Acesta subliniază că amenda nu este cea mai gravă consecință pentru un IMM sau startup, ci măsurile corective impuse și impactul negativ asupra imaginii publice.
Una dintre soluțiile recomandate este cartografierea proceselor de prelucrare a datelor personale. Aceasta presupune:
- identificarea clară a scopului pentru care se colectează datele;
- analiza modului în care sunt utilizate și stocate;
- verificarea cui sunt transmise (furnizori, servicii cloud, outsourcing etc.);
- stabilirea duratei de stocare și justificarea ei.
„Cartografierea proceselor reduce riscurile și simplifică activitatea organizației. De multe ori descoperim că anumite procese se făceau doar pentru că ‘așa s-a făcut până acum’, fără să existe o justificare clară”, explică Galoș.
