Autoritatea pentru protecția datelor personale (ANSPDCP) anunță, vineri, că a aplicat amenzi GDPR în valoare totală de 230.500 EUR firmelor din România, în primele patru luni ale anului (ianuarie - aprilie 2025).
Instituția informează că între ianuarie - aprilie 2025 a primit, în total, 3.048 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise în total 153 de investigații.
În urma acestora, au fost date 52 de amenzi în valoare totală de 1,13 milioane lei, echivalentul a 230.5000 EUR. Totodată, au mai fost aplicate 68 de avertismente și au fost dispuse 96 de măsuri corective, o avertizare și 2 decizii de încetare a unor prelucrări de date.
Din totalul de 3.048, 2.799 au fost plângeri în urma cărora s-au deschis 67 de investigații.
În primele patru luni ale anului 2025, operatorii de date au transmis firmelor din România 65 de notificări privind încălcarea securității datelor și 184 de sesizări privind posibile neconformități cu dispozițiile GDPR.
Pe baza acestora au fost efectuate 86 de investigații.
Plângerile, sesizările și notificările privind încălcarea securității datelor primite de ANSPDCP în această perioadă au vizat, în principal, următoarele aspecte:
- dezvăluirea datelor personale către terți în spațiul public, în mediul on-line;
- prelucrarea imaginilor prin intermediul sistemelor de supraveghere video;
- nerespectarea drepturilor persoanelor vizate;
- primirea de mesaje comerciale nesolicitate:
- încălcarea principiilor de prelucrare a datelor.
Aplicarea GDPR în România. Cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi
Tudor Galoș, consultant în domeniul tehnologiei, a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii.
Alte greșeli apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
În opinia sa, amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
Una dintre măsurile pe care firmele le pot lua este cartografierea proceselor de prelucrare a datelor personale. Deși pare ceva greoi, este obligatoriu nu doar pentru respectarea GDPR ci pentru bunul mers al organizației.
„Deseori, ca auditori, descoperim procese de business (maparea este aproape 1:1 cu harta proceselor de business) care se făceau pe principiul „așa s-a făcut până acum", fără să se știe de ce. Nu se știa clar scopul, nu erau măsurate, impactul în business era minimal sau necunoscut. Și atunci simplificăm procesele și reducem riscurile. Cartografierea trebuie să mapeze grafic toate procesele de prelucrare, de la modul în care sunt culese datele, de ce sunt culese, în ce scop, ce alte date personale mai sunt generate (estimări, scoring, metadate etc) și de ce, cui mai sunt date (furnizori, outsourcing, hosting, servicii cloud etc) și de ce, cât timp sunt ținute și de ce”, spune Galoș.