În contextul accelerării proceselor de digitalizare şi implementarea tot des mai des a sistemelor bazate pe tehnologii de inteligenţă artificială în procesele societăţilor, protecţia datelor cu caracter personal continuă să reprezinte un subiect de interes major, cu impact direct asupra activităţilor curente. De-a lungul timpului, societăţile au conştientizat importanţa acestei materii şi au implementat măsuri menite să asigure conformarea cu cerinţele legale aplicabile.
În ultimul an, am observat ca principale acţiuni de conformare: actualizarea politicilor, procedurilor şi a notelor de informare pentru a acoperi noi procese sau linii de business, inclusiv ca urmare a integrării unor sisteme bazate pe inteligenţa artificială, adresarea implicaţiilor de protecţie a datelor din proceduri desfăşurate în relaţia cu angajaţii, documentarea la nivel intern a intereselor legitime urmărite de operatori şi realizarea de evaluări ale impactului asupra protecţiei datelor, susţinerea de training-uri pentru angajaţii societăţii, acţiuni de testare a procedurilor de răspuns la drepturile persoanelor vizate, reglementarea contractuală a relaţiilor cu implicaţii din perspectiva prelucrării datelor, audituri de conformitate pentru identificarea posibilelor aspecte de îmbunătăţit, iar în unele cazuri, adresarea incidentelor de încălcare a securităţii datelor.
Conform tradiţiei iniţiate în urmă cu patru ani, la începutul noului an, am pregătit o retrospectivă a anului 2025 din prisma sancţiunilor aplicate pentru încălcarea legislaţiei privind protecţia datelor cu caracter personal, pe baza informaţiilor publicate de autoritatea de supraveghere din România - ANSPDCP.
Din perspectiva activităţii de monitorizare şi control a ANSPDCP, principala schimbare observată în anul 2025 priveşte numărul total al amenzilor aplicate şi cuantumul acestora. Astfel, conform informaţiilor din “Broşura Bilanţ aniversar la 20 de ani de la înfiinţarea ANSPDCP, 2025” şi “Broşura dedicată Zilei Europene a Protecţiei Datelor, 2026”, în timp ce în 2024, au fost aplicate 83 de amenzi în valoare totală de 1.855.807 RON, în anul 2025 au fost aplicate 105 amenzi în valoare totală de 2.565.020 RON ( echivalentul a 511.400 EUR). Dintre aceste amenzi, 96 au fost aplicate în baza GDPR şi 9 amenzi au fost aplicate în baza Legii nr. 506/2004 (în valoare de 187.000 RON). De asemenea, în ceea ce priveşte numărul total al investigaţiilor, cifrele reflectă o uşoară creştere, respectiv un total de 488 de investigaţii finalizate în 2025, comparativ cu 476 de investigaţii finalizate în anul 2024.
Conform informaţiilor publicate pe website-ul ANSPDCP, principalele motive care au condus la aplicarea de sancţiuni în 2025 au fost:
- lipsa măsurilor tehnice şi organizatorice adecvate şi eficiente, lipsa testărilor periodice, ceea ce a condus la incidente de securitate (de ex. sub forma accesului în mod neautorizat la date cu caracter personal ale clienţilor operatorului, atacuri cibernetice, publicarea neautorizată a datelor pe o reţea de socializare, prelucrarea neautorizată a datelor de către un angajat al împuternicitului operatorului);
- neimplementarea de către operator a măsurilor necesare pentru a se asigura că orice persoană care acţionează sub autoritatea sa şi are acces la date le prelucrează doar la cererea operatorului;
- lipsa consimţământului sau a unui temei legal (e.g., transmiterea de mesaje comerciale nesolicitate, publicarea pe o pagină de socializare);
- prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere audio – video de tip ”body-cam” (imagine, voce), fără să existe un temei legal şi fără îndeplinirea condiţiilor de transparenţă faţă de persoanele vizate;
- implementarea pe echipamentul utilizatorilor a unor module cookies care nu erau necesare din punct de vedere tehnic, fără a efectua o informare corectă şi completă şi fără a exista consimţământul persoanelor;
- prelucrarea datelor prin sisteme de monitorizare audio-video a angajaţilor, fără respectarea cerinţelor de legalitate, echitate şi transparenţă;
- nerespectarea drepturilor persoanelor vizate (de ex. gestionarea inadecvată a cererilor de ştergere a datelor personale, de opoziţie la prelucrare, nefurnizarea unui răspuns complet şi în termenul legal la o cerere de acces la date);
- lipsa informării persoanelor cu privire la prelucrarea datelor prin intermediul unui website;
- nerespectarea principiilor de prelucrare a datelor, ceea ce a determinat prelucrări excesive scopului urmărit (de ex. utilizarea datelor pentru emiterea de documente după încetarea relaţiei contractuale, transmiterea de date neautorizat privind un fost angajat);
- lipsa cooperării cu ANSPDCP prin necomunicarea informaţiilor solicitate de Autoritate în baza competenţelor legale de investigare.
