Amenzi GDPR în România 2022-2026: ce putem învăța din fiecare caz
    AcasăBlogAmenzi GDPR în România 2022-2026: ce putem învăța din fiecare caz
    Security

    Amenzi GDPR în România 2022-2026: ce putem învăța din fiecare caz

    Analiza amenzilor GDPR aplicate de ANSPDCP în România între 2022 și 2026. De la 1.000 EUR la 125.000 EUR — ce au greșit firmele și cum eviți aceleași probleme.

    3 iunie 202611 min citire

    ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) publică deciziile de sancțiune pe site-ul oficial, dar nimeni nu le citește. Sunt scrise în limbaj juridic, sunt împrăștiate pe luni de zile și nu spun explicit ce ar fi trebuit firma să facă altfel.

    Acest articol analizează cele mai relevante amenzi aplicate de ANSPDCP între 2022 și 2026, le explică pe limbajul tău și extrage o lecție concretă din fiecare. Dacă firma ta procesează date personale — și aproape sigur o face — deciziile de mai jos sunt cele pe care nu vrei să apari.

    Pe scurt: ANSPDCP a aplicat amenzi între 1.000 EUR și 125.000 EUR în această perioadă. Cele mai comune motive: măsuri tehnice insuficiente, notificare tardivă a breșelor, lipsa contractelor cu împuterniciții și publicarea datelor pacienților fără consimțământ. Verifică obligațiile GDPR pentru codul tău CAEN folosind instrumentul nostru.

    Toate cazurile dintr-o privire

    Caz Companie Amendă Articol(e) Dată
    1 Dent Estet Clinic SA + medic colaborator 1.000 EUR × 2 Art. 33 / Art. 6(1)(a) + 9(2)(a) Dec 2022
    2 WEBRASOFT SRL 20.000 EUR Art. 32 Ian 2025
    3 NTT Data România 25.000 EUR Art. 32 (+ avertisment Art. 33) Feb 2025
    4 Renault Commercial Roumanie SRL 125.000 EUR Art. 28(1) + Art. 32 Mar 2026
    5 Vellea Home SRL 5.000 EUR Art. 32(1)(b) + 32(2) Oct 2025
    6 Accounting Audit SRL 10.000 EUR Art. 32(1)(b) + 32(2) Mai 2025

    De ce contează aceste cazuri pentru firma ta

    Patru motive practice:

    1. Pattern-urile se repetă. Firmele primesc amenzi pentru aceleași greșeli, an după an. Învățând din ele, eviți să fii următorul caz.
    2. ANSPDCP nu prioritizează doar firme mari. Vei vedea amenzi date unui cabinet stomatologic individual și unei multinaționale ca Renault. Mărimea firmei tale nu te protejează.
    3. Suma maximă teoretică este de 20 milioane EUR sau 4% din cifra de afaceri globală. ANSPDCP rareori aplică amendă maximă, dar a aplicat 125.000 EUR într-un singur caz în 2026. Riscul real e semnificativ.
    4. Pe lângă amendă, există costuri colaterale. Notificarea persoanelor vizate, reputația, încrederea clienților, costurile juridice — totul se adună.

    Cazul 1: Dent Estet Clinic SA — 1.000 EUR × 2 (decembrie 2022)

    Cazul 1 1.000 EUR × 2 Decembrie 2022

    Faptele: Un medic stomatolog colaborator al clinicii Dent Estet Clinic SA a publicat fotografii și radiografii ortodontice ale unui pacient pe un blog de specialitate, în scop atât științific cât și comercial — fără consimțământul pacientului. Pacientul a sesizat ANSPDCP. Ancheta a identificat doi operatori separați cu încălcări distincte: clinica și medicul colaborator.

    Două sancțiuni, două încălcări diferite:

    • Dent Estet Clinic SA — 1.000 EUR pentru Art. 33 GDPR. Clinica nu a publicat niciun material. Sancțiunea ei este exclusiv pentru eșecul de notificare: după ce pacientul a informat clinica că datele sale fuseseră publicate, clinica nu a sesizat ANSPDCP în termenul obligatoriu de 72 de ore.
    • Medicul colaborator (nenumit în decizia publică) — 1.000 EUR pentru Art. 6(1)(a) + Art. 9(2)(a) GDPR. Acesta a publicat date de sănătate (fotografii și radiografii identificabile) fără temei legal și fără consimțământ explicit — obligatoriu pentru categorii speciale de date conform art. 9 GDPR.

    Amendă: 1.000 EUR clinicii + 1.000 EUR medicului colaborator.

    Lecția 1 — pentru orice firmă care află de o breșă implicând colaboratori sau terți:

    Dacă afli că datele unor persoane au fost expuse — fie de tine, fie de un angajat, fie de un colaborator extern — ai maxim 72 de ore să notifici ANSPDCP. Nu aștepți să finalizezi investigația. Nu aștepți să confirmi amploarea. Termenul curge din momentul în care ai luat cunoștință, indiferent cine a cauzat breșa. Clinica Dent Estet nu a publicat nimic — dar tot a primit amendă pentru că nu a notificat autoritatea după ce a aflat.

    Lecția 2 — pentru oricine publică materiale cu date de pacienți sau clienți (cabinete medicale, avocați, agenții de marketing, formatori, fotografi):

    • Consimțământul pentru tratament sau serviciu nu include consimțământul pentru publicare
    • Publicarea necesită consimțământ scris, separat, specific fiecărei utilizări concrete
    • Datele de sănătate necesită consimțământ explicit (art. 9 GDPR) — un standard mai strict decât consimțământul obișnuit
    • O publicare „anonimizată" care poate fi corelată cu identitatea persoanei nu este anonimizare reală în sensul GDPR
    De reținut: Clinica nu a publicat nimic — dar tot a primit amendă. Obligația de notificare a breșei (Art. 33) revine operatorului care ia cunoștință de incident, nu doar celui care l-a cauzat.

    Cazul 2: WEBRASOFT SRL — 20.000 EUR (ianuarie 2025)

    Cazul 2 20.000 EUR Ianuarie 2025

    Faptele: Compania, care oferă o platformă online de facturare, a suferit o breșă de securitate care a expus datele clienților săi (date de contact, date fiscale, posibil date bancare). Cauza directă a fost o vulnerabilitate neremediată într-o componentă publică a serverului.

    Articolele încălcate: Art. 32 GDPR (securitatea prelucrării).

    Amendă: 20.000 EUR.

    Lecția pentru firma ta: Dacă oferi servicii SaaS, platforme online sau orice serviciu care procesează date ale clienților, măsurile tehnice nu sunt opționale. ANSPDCP a aplicat amenda nu pentru faptul că a existat un atac (atacurile pot să se întâmple oricui), ci pentru că măsurile preventive nu erau adecvate riscului.

    Ce ar fi prevenit acest caz:

    • Audit de securitate anual al componentelor publice ale serverului
    • Patch management documentat — actualizări la zi pentru toate dependențele
    • Penetration test extern minim anual
    • Web Application Firewall (WAF) configurat și monitorizat
    • Detecție automată a vulnerabilităților (SAST/DAST în pipeline)

    Pentru companii software și SaaS, costurile de prevenire sunt sub 5% din valoarea unei amenzi de acest tip.

    Cazul 3: NTT Data România — 25.000 EUR (februarie 2025)

    Cazul 3 25.000 EUR Februarie 2025

    Faptele: Compania a suferit o breșă de securitate care a expus date ale clienților săi. ANSPDCP a constatat că măsurile tehnice și organizatorice de securitate nu erau adecvate riscului prelucrării. Separat, a existat și o întârziere în notificarea breșei față de termenul de 72h.

    Articolele încălcate: Art. 32 GDPR (securitatea prelucrării) — amendă de 25.000 EUR. Art. 33 GDPR (notificarea tardivă a breșei) — avertisment, fără amendă financiară separată.

    Corecție față de versiunile circulante ale acestui caz: Unele surse prezintă greșit că amenda de 25.000 EUR ar fi exclusiv pentru întârzierea notificării (Art. 33). Conform deciziei ANSPDCP, amenda a fost aplicată pentru măsurile tehnice insuficiente (Art. 32). Art. 33 a primit doar un avertisment — nu o amendă financiară. Lecția rămâne la fel de importantă, dar pentru motivul corect: securitatea tehnică deficitară, nu procedura de notificare.

    Lecția reală pentru firma ta: ANSPDCP evaluează calitatea măsurilor tehnice implementate, nu doar respectarea termenelor procedurale. Asta înseamnă că poți respecta termenul de 72h și tot să primești amendă dacă securitatea de bază lipsea. Prioritizează securitatea tehnică, nu doar birocrația.

    Ce trebuie să ai la zi:

    • Evaluare anuală a măsurilor tehnice raportat la tipul și volumul de date prelucrate
    • Testare de penetrare, nu doar audit intern de conformitate
    • Documentare explicită a raționamentului din spatele fiecărei măsuri — de ce e suficientă pentru riscul identificat
    • Procedura de notificare 72h tot contează — un avertisment azi poate deveni amendă la un al doilea incident

    Cazul 4: Renault Commercial Roumanie SRL — 125.000 EUR (martie 2026)

    Cazul 4 125.000 EUR Martie 2026

    Faptele: Multinaționala a suferit o breșă de securitate care a expus date personale ale clienților: nume, numere de telefon, adrese, numere de permis de conducere, CNP-uri, numere de șasiu, date de naștere, copii ale cărților de identitate și funcții profesionale. ANSPDCP a stabilit că măsurile tehnice și organizatorice nu erau adecvate riscului, iar gestionarea împuterniciților (procesatori IT externi) era deficitară.

    Articolele încălcate: Art. 28(1) GDPR (obligații contractuale față de împuterniciți) + Art. 32(1)(b)(d) + 32(2) GDPR (securitatea prelucrării).

    Amendă: 125.000 EUR.

    De ce e relevant: Cea mai mare amendă din această perioadă în România. Demonstrează că ANSPDCP poate aplica sancțiuni semnificative chiar și pentru multinaționale cu resurse importante — și că datele de risc ridicat (CNP, permis, date identitate) cer măsuri tehnice pe măsură.

    Lecția pentru firma ta — două puncte critice:

    1. Lanțul de aprovizionare contează enorm. Dacă datele tale sunt procesate de un partener IT extern (cloud, software, integrări), contractul de împuternicire art. 28 nu este o formalitate. Trebuie să includă:

    • Măsuri tehnice și organizatorice specifice, enumerate explicit
    • Obligația de notificare în caz de incident de securitate
    • Dreptul de audit al operatorului
    • Lista sub-împuterniciților autorizați explicit
    • Responsabilitate clară în caz de incident

    2. Datele de risc ridicat necesită protecție sporită. CNP, permise, copii CI — acestea sunt date cu risc ridicat de prejudiciu pentru persoanele vizate. Bar-ul tehnic și organizatoric e semnificativ mai sus față de un simplu email sau număr de telefon.

    Cazul 5: Vellea Home SRL — 5.000 EUR (octombrie 2025)

    Cazul 5 5.000 EUR Octombrie 2025

    Faptele: Magazinul online a suferit un atac cibernetic care a dus la acces neautorizat la datele clienților. ANSPDCP a constatat că măsurile tehnice de securitate implementate nu erau adecvate riscului prelucrării — sistemele nu asigurau confidențialitatea și integritatea necesare.

    Articolele încălcate: Art. 32(1)(b) + 32(2) GDPR (securitatea prelucrării — pseudonimizare, confidențialitate, integritate, capacitate de restaurare).

    Amendă: 5.000 EUR.

    Lecția pentru firma ta: Pentru magazinele online și e-commerce în general, această amendă subliniază că securitatea tehnică e o cerință GDPR, nu un bonus opțional. Măsurile minime pentru orice platformă cu date de clienți:

    • MFA pe toate conturile cu acces la date personale ale clienților
    • Actualizări regulate ale platformei, temelor și pluginurilor
    • Monitorizare activă a acceselor și alertare automată la anomalii
    • Backup zilnic cu procedură testată de restaurare
    • Criptare HTTPS și certificate valide pe tot site-ul

    Cazul 6: Accounting Audit SRL — 10.000 EUR (mai 2025)

    Cazul 6 10.000 EUR Mai 2025

    Faptele: Firma de contabilitate a suferit un atac cibernetic care a expus date personale ale angajaților clienților săi: date de identificare, state de plată, acte constitutive și alte documente financiar-contabile confidențiale. ANSPDCP a constatat că măsurile tehnice și organizatorice implementate nu asigurau confidențialitatea și integritatea datelor prelucrate.

    Articolele încălcate: Art. 32(1)(b) + Art. 32(2) GDPR (securitatea prelucrării — confidențialitate și integritate a sistemelor de prelucrare).

    Amendă: 10.000 EUR.

    De ce e relevant: Firmele de servicii profesionale — contabilitate, juridic, IT, consultanță — prelucrează frecvent date cu risc ridicat aparținând angajaților și clienților altor firme: CNP-uri, salarii, date bancare, acte de identitate. ANSPDCP sancționează securitatea tehnică insuficientă indiferent de tipul de relație comercială în care se prelucrează datele.

    Lecția pentru firma ta: Dacă activitatea ta implică prelucrarea de date personale ale unor terți (angajații clienților, pacienți, clienți finali ai partenerilor), securitatea tehnică trebuie să fie adecvată naturii datelor:

    • Segregarea logică a datelor pe clienți — o breșă nu trebuie să expună datele tuturor clienților simultan
    • MFA pe toate conturile cu acces la date sensibile
    • Criptare la rest pentru documentele financiare și contabile stocate
    • Audit logs complete pentru toate accesările
    • Backup testat și capacitate de recuperare rapidă după incident
    • Notificare imediată a clientului în caz de breșă — el, ca operator al datelor respective, trebuie să notifice ANSPDCP în 72h

    Pattern-uri care apar repetat

    Din analiza acestor șase cazuri și a multor altora, patru pattern-uri se evidențiază constant:

    1. Măsuri tehnice insuficiente — cea mai comună cauză

    În aproape toate cazurile, măsurile tehnice de bază — criptare, MFA, backup, control acces, log-uri, hardening — erau absente sau implementate incomplet. Acestea sunt costul minim pentru a procesa date personale, indiferent de mărimea firmei.

    2. Contracte deficitare cu împuterniciții

    Lanțul de aprovizionare e adesea ignorat. Furnizorii IT, partenerii cloud, contabilii, agențiile de marketing — toți trebuie să aibă contracte specifice art. 28 GDPR. Lipsa lor sau contractele incomplete au apărut în mai mult de jumătate din cazurile analizate.

    3. Notificarea tardivă a breșelor

    72 de ore de la constatare — termenul e strict. ANSPDCP a emis sancțiuni și pentru notificare tardivă, iar un avertisment primit azi poate deveni amendă la un al doilea incident. Notificarea preliminară incompletă în 72h e preferabilă notificării „complete" peste 4 zile.

    4. Lipsa documentației

    Registrul de evidență a prelucrărilor, politicile, procedurile, notele de informare — toate trebuie să existe în scris și să fie actualizate. Lipsa lor e o încălcare separată de cauzele rădăcină și poate adăuga amenzi peste amenzi.

    Cum să eviți să fii următorul caz pe listă

    Pașii minimi pentru orice firmă din România care procesează date personale:

    1. Verifică obligațiile GDPR pentru codul tău CAEN

    Diferite sectoare au cerințe diferite. Folosește instrumentul nostru gratuit pentru a primi un raport personalizat în 30 de secunde.

    2. Asigură măsurile tehnice de bază

    • MFA pe toate conturile administrative cu acces la date personale
    • Criptare la rest pentru bazele de date sensibile
    • Backup zilnic, testat lunar
    • Patch management documentat — actualizări la zi
    • Audit logs pentru toate accesările critice
    • Penetration test extern cel puțin anual

    3. Documentează obligațiile fundamentale

    • Registru de evidență a prelucrărilor (art. 30) — template gratuit
    • Politică de confidențialitate publicată și actualizată
    • Note de informare pentru persoanele vizate
    • Procedură scrisă de notificare a breșelor (72 ore)
    • Procedură de răspuns la solicitările persoanelor vizate

    4. Gestionează corect împuterniciții

    • Contracte art. 28 semnate cu fiecare furnizor care procesează date pentru tine
    • Listă actualizată a tuturor procesatorilor (cloud, software, contabilitate, marketing)
    • Verificare periodică a măsurilor tehnice pe care le aplică

    5. Numește un DPO dacă e obligatoriu

    Pentru cabinete medicale, farmacii, școli, servicii de securitate, autorități publice și companii care procesează date la scară mare — DPO este obligatoriu. Vezi când și cum.

    6. Training anual pentru personal

    Cele mai multe breșe încep cu o eroare umană — phishing, parolă slabă, dispozitiv pierdut. Training-ul anual e cea mai eficientă investiție anti-amendă, cu impact imediat și cost redus.

    Ce face BrainTrust pentru clienții noștri

    La BrainTrust, ajutăm companii din România să se conformeze GDPR fără să devină studiu de caz în articole de tipul acesta. Serviciile noastre includ:

    • Audit GDPR complet — evaluare detaliată în 5-7 zile lucrătoare, raport cu plan de acțiune prioritizat
    • Implementare măsuri tehnice — criptare, MFA, hardening, monitorizare, logging
    • Documentație completă — politici, proceduri, registre, template-uri art. 28 și art. 30
    • DPO externalizat — soluție eficientă pentru companii care nu justifică DPO intern
    • Training echipă — sesiuni adaptate sectorului și riscurilor specifice
    • Răspuns la incidente — sprijin operațional în caz de breșă, inclusiv notificare ANSPDCP

    Prima consultație este gratuită — discută cu un expert BrainTrust.

    Întrebări frecvente

    Cum aflu dacă am primit o amendă ANSPDCP?

    Notificarea este oficială, prin executor judecătoresc, către sediul firmei. Dacă ai primit o sesizare informală sau o cerere de clarificări — nu e încă amendă, dar e momentul să acționezi proactiv și să consulți un specialist.

    ANSPDCP publică amenzile pe site?

    Da. Deciziile finale se publică pe dataprotection.ro, la secțiunea „Comunicate" și „Decizii". Sumele și firmele sunt publice; motivele detaliate sunt rezumate în comunicatele de presă.

    Pot fi sancționat pentru date personale ale angajaților?

    Da, integral. Datele angajaților sunt date personale și firma are toate obligațiile GDPR față de ele — informare, securitate, drept de acces, ștergere, registru de evidență. Nu există excepție pentru relația de muncă.

    Amenzile sunt deductibile fiscal?

    Nu. Conform Codului Fiscal, amenzile administrative nu sunt cheltuieli deductibile. Costul real al unei amenzi e mai mare decât suma în sine — adaugă și costurile de remediere, juridice și de comunicare.

    Asigurarea cyber acoperă amenzile GDPR?

    Depinde de polița. Cele mai multe acoperă costurile de remediere (analiză forensic, notificare persoane vizate, comunicare publică), dar amenzile administrative ANSPDCP nu sunt acoperite în majoritatea polițelor românești. Verifică condițiile specifice înainte de a presupune că ești acoperit.

    Cât durează ca ANSPDCP să aplice o amendă?

    De la sesizare la decizie finală, procesul durează între 6 luni și 2 ani, în funcție de complexitatea cazului. Asta înseamnă că o breșă din 2026 poate genera o amendă publicată în 2027 sau 2028. Lipsa unei reacții imediate nu înseamnă siguranță.

    Concluzie

    Amenzile GDPR aplicate de ANSPDCP în România arată un pattern clar: sancțiunile vizează atât omisiunile mici (1.000 EUR pentru un cabinet stomatologic) cât și cele mari (125.000 EUR pentru o multinațională). Mărimea firmei tale nu te protejează — măsurile tehnice și documentația te protejează.

    Implementarea măsurilor de bază GDPR costă semnificativ mai puțin decât o singură amendă. Începe cu o evaluare clară: verifică obligațiile GDPR pentru codul tău CAEN cu instrumentul nostru gratuit și vezi exact ce trebuie să faci.

    Surse

    Toate cazurile prezentate sunt verificate direct față de comunicatele oficiale publicate de ANSPDCP pe dataprotection.ro:

    1. Cazul 1 — Dent Estet Clinic SA (comunicat ANSPDCP, 31 ianuarie 2023)
    2. Cazul 2 — WEBRASOFT SRL (comunicat ANSPDCP, 4 martie 2025)
    3. Cazul 3 — NTT DATA ROMÂNIA S.A. (comunicat ANSPDCP, 25 martie 2025)
    4. Cazul 4 — Renault Commercial Roumanie S.R.L. (comunicat ANSPDCP, 25 martie 2026)
    5. Cazul 5 — Vellea Home SRL (comunicat ANSPDCP, 13 octombrie 2025)
    6. Cazul 6 — Accounting Audit SRL (comunicat ANSPDCP, 10 iunie 2025)

    Acest articol este orientativ și nu constituie consultanță juridică. Ultima actualizare: 3 iunie 2026.

    Articole Similare

    Ai Nevoie de Ajutor Cu Asta?

    Echipa noastră te poate ajuta să implementezi aceste strategii pentru afacerea ta.

    Înapoi la Toate Articolele

    Mai Multe Articole

    Vezi Toate

    Obține Sfaturi de la Experți

    Contactează echipa noastră pentru îndrumare personalizată privind provocările tale IT.

    Folosim cookie-uri

    Folosim cookie-uri pentru a îmbunătăți experiența de navigare și a analiza traficul site-ului. Făcând clic pe „Acceptă", sunteți de acord cu utilizarea cookie-urilor. Politica de cookie-uri