Opinii

In contextul accelerarii proceselor de digitalizare si implementarea tot des mai des a sistemelor bazate pe tehnologii de inteligenta artificiala in procesele societatilor, protectia datelor cu caracter personal continua sa reprezinte un subiect de interes major, cu impact direct asupra activitatilor curente. De-a lungul timpului, societatile au constientizat importanta acestei materii si au implementat masuri menite sa asigure conformarea cu cerintele legale aplicabile.

In ultimul an, am observat ca principale actiuni de conformare: actualizarea politicilor, procedurilor si a notelor de informare pentru a acoperi noi procese sau linii de business, inclusiv ca urmare a integrarii unor sisteme bazate pe inteligenta artificiala, adresarea implicatiilor de protectie a datelor din proceduri desfasurate in relatia cu angajatii, documentarea la nivel intern a intereselor legitime urmarite de operatori si realizarea de evaluari ale impactului asupra protectiei datelor, sustinerea de training-uri pentru angajatii societatii, actiuni de testare a procedurilor de raspuns la drepturile persoanelor vizate, reglementarea contractuala a relatiilor cu implicatii din perspectiva prelucrarii datelor, audituri de conformitate pentru identificarea posibilelor aspecte de imbunatatit, iar in unele cazuri, adresarea incidentelor de incalcare a securitatii datelor.

Conform traditiei initiate in urma cu patru ani, la inceputul noului an, am pregatit o retrospectiva a anului 2025 din prisma sanctiunilor aplicate pentru incalcarea legislatiei privind protectia datelor cu caracter personal, pe baza informatiilor publicate de autoritatea de supraveghere din Romania - ANSPDCP.

Din perspectiva activitatii de monitorizare si control a ANSPDCP, principala schimbare observata in anul 2025 priveste numarul total al amenzilor aplicate si cuantumul acestora. Astfel, conform informatiilor din " Brosura Bilant aniversar la 20 de ani de la infiintarea ANSPDCP, 2025 " si " Brosura dedicata Zilei Europene a Protectiei Datelor, 2026 ", in timp ce in 2024, au fost aplicate 83 de amenzi in valoare totala de 1.855.807 RON, in anul 2025 au fost aplicate 105 amenzi in valoare totala de 2.565.020 RON ( echivalentul a 511.400 EUR). Dintre aceste amenzi, 96 au fost aplicate in baza GDPR si 9 amenzi au fost aplicate in baza Legii nr. 506/2004 (in valoare de 187.000 RON). De asemenea, in ceea ce priveste numarul total al investigatiilor, cifrele reflecta o usoara crestere, respectiv un total de 488 de investigatii finalizate in 2025, comparativ cu 476 de investigatii finalizate in anul 2024.

Conform informatiilor publicate pe website-ul ANSPDCP, principalele motive care au condus la aplicarea de sanctiuni in 2025 au fost:

lipsa masurilor tehnice si organizatorice adecvate si eficiente, lipsa testarilor periodice, ceea ce a condus la incidente de securitate (de ex. sub forma accesului in mod neautorizat la date cu caracter personal ale clientilor operatorului, atacuri cibernetice, publicarea neautorizata a datelor pe o retea de socializare, prelucrarea neautorizata a datelor de catre un angajat al imputernicitului operatorului); neimplementarea de catre operator a masurilor necesare pentru a se asigura ca orice persoana care actioneaza sub autoritatea sa si are acces la date le prelucreaza doar la cererea operatorului; lipsa consimtamantului sau a unui temei legal (e.g., transmiterea de mesaje comerciale nesolicitate, publicarea pe o pagina de socializare); prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere audio - video de tip "body-cam" (imagine, voce), fara sa existe un temei legal si fara indeplinirea conditiilor de transparenta fata de persoanele vizate; implementarea pe echipamentul utilizatorilor a unor module cookies care nu erau necesare din punct de vedere tehnic, fara a efectua o informare corecta si completa si fara a exista consimtamantul persoanelor; prelucrarea datelor prin sisteme de monitorizare audio-video a angajatilor, fara respectarea cerintelor de legalitate, echitate si transparenta; nerespectarea drepturilor persoanelor vizate (de ex. gestionarea inadecvata a cererilor de stergere a datelor personale, de opozitie la prelucrare, nefurnizarea unui raspuns complet si in termenul legal la o cerere de acces la date); lipsa informarii persoanelor cu privire la prelucrarea datelor prin intermediul unui website; nerespectarea principiilor de prelucrare a datelor, ceea ce a determinat prelucrari excesive scopului urmarit (de ex. utilizarea datelor pentru emiterea de documente dupa incetarea relatiei contractuale, transmiterea de date neautorizat privind un fost angajat); lipsa cooperarii cu ANSPDCP prin necomunicarea informatiilor solicitate de Autoritate in baza competentelor legale de investigare.