Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat finalizarea unei investigații în luna septembrie 2025, în urma căreia operatorul S.C. PRIMONET RO S.R.L. a fost sancționat pentru nerespectarea prevederilor Regulamentului (UE) 2016/679 (GDPR) privind securitatea datelor.

Compania a primit o amendă de 101.544 lei (echivalentul a 20.000 euro), conform cursului BNR din ziua aplicării sancțiunii.

Cum a început investigația ANSPDCP

Investigația a fost declanșată după ce operatorul a notificat Autoritatea despre o încălcare a securității datelor personale, conform obligațiilor din art. 33 GDPR. În urma unui atac cibernetic, au fost compromise informații sensibile ale clienților care au efectuat plăți online pe platforma de e-commerce a companiei.

Datele afectate au inclus:

-numărul cardului bancar,

-codul CVc

-numele și prenumele titularului de card,

-data expirării cardului.

Totodată, după notificare, ANSPDCP a primit și două plângeri din partea clienților afectați.

Constatările Autorității

În cadrul investigației, s-a stabilit că operatorul nu implementase măsuri de securitate adecvate pe site-ul propriu. Utilizarea unei versiuni învechite a platformei de e-commerce a permis modificarea codului și accesul neautorizat la date.

Încălcarea securității a avut consecințe financiare grave pentru persoanele vizate, printre care:

-tranzacții neautorizate pe cardurile clienților,

-pierderea unor sume de bani din conturi,

-blocarea cardurilor,

-timpi de așteptare pentru emiterea unor carduri noi.

Obligațiile impuse companiei

Pe lângă amendă, în baza art. 58 alin. (2) lit. d) din GDPR, ANSPDCP a dispus ca S.C. PRIMONET RO S.R.L. să implementeze măsuri corective:

-sistem de jurnalizare a tuturor accesărilor platformei,

-realizarea de back-up pentru fișierele de jurnalizare (log-uri).

Compania a achitat amenda aplicată.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat în luna august finalizarea unei investigații la operatorul Dr. Max SRL, care s-a soldat cu aplicarea unei amenzi contravenționale de 5.057,8 lei (1.000 EUR).

Sancțiunea a fost aplicată pentru încălcarea prevederilor art. 12 alin. (3) și (4) și art. 17 din Regulamentul General privind Protecția Datelor (GDPR), referitoare la drepturile persoanelor vizate și obligațiile operatorilor.

Cum a început investigația ANSPDCP

Investigația a fost declanșată în urma unei plângeri prin care o persoană a reclamat faptul că Dr. Max SRL a refuzat să îi șteargă datele personale, deși depusese o solicitare oficială în acest sens.

Pe parcursul verificărilor, autoritatea a constatat că:

-un angajat al operatorului a păstrat o copie a cărții de identitate a petentei fără consimțământul acesteia;

-operatorul nu a prezentat dovezi că ar fi comunicat un răspuns la cererea de ștergere a datelor, încălcând astfel obligațiile GDPR privind transparența și respectarea termenelor legale.

Măsuri corective dispuse

Pe lângă amendă, ANSPDCP a impus și măsuri corective, conform art. 58 alin. (2) lit. c) și d) din Regulamentul (UE) 679/2016:

-revizuirea și actualizarea procedurilor interne privind soluționarea cererilor persoanelor vizate (art. 12-22 GDPR);

-respectarea termenelor legale pentru analizarea și rezolvarea solicitărilor de ștergere, acces sau rectificare a datelor personale;

-instruirea periodică a angajaților privind protecția datelor cu caracter personal;

-transmiterea unui răspuns oficial către persoana vizată cu privire la cererea sa de ștergere.

Concluzie

Operatorul Dr. Max SRL a achitat amenda aplicată de Autoritatea de Supraveghere. Cazul reprezintă încă un exemplu concret al modului în care nerespectarea cererilor de ștergere a datelor personale poate atrage sancțiuni și măsuri corective din partea ANSPDCP.

Pentru companii, acest incident subliniază importanța:

-implementării unor proceduri clare de răspuns la solicitările GDPR,

-instruirii angajaților în domeniul protecției datelor,

-și documentării fiecărei etape a procesării datelor personale.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat finalizarea unei investigații în luna august 2025, care a vizat compania Lenjeria Magică SRL. Operatorul a fost sancționat contravențional cu amendă de 15.000 lei pentru încălcarea prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Cum a început investigația ANSPDCP

Investigația a fost declanșată în urma unei sesizări privind o posibilă încălcare a Regulamentului (UE) 2016/679 (GDPR) și a Legii nr. 506/2004. În urma verificărilor, autoritatea a constatat că pe site-ul deținut de Lenjeria Magică SRL erau instalate și stocate cookies neesențiale pe echipamentele utilizatorilor, fără:

• o informare clară și completă privind existența acestora,
• obținerea consimțământului explicit al persoanelor vizate.

Situația a fost documentată începând cu data de 15 aprilie 2025, iar lipsa transparenței și a consimțământului a fost considerată o încălcare gravă a regulilor privind protecția datelor personale.

Baza legală a sancțiunii

Amenda a fost aplicată pentru încălcarea dispozițiilor art. 4 alin. (5) lit. a) și b) din Legea nr. 506/2004, în temeiul art. 13 alin. (1) lit. i) și alin. (2) din același act normativ. Legea prevede sancțiuni cuprinse între 5.000 lei și 100.000 lei, iar în cazul companiilor mari, amenda poate ajunge până la 2% din cifra de afaceri.

Concluzie

Cazul Lenjeria Magică SRL reprezintă încă un exemplu al importanței respectării legislației privind protecția datelor personale și utilizarea corectă a modulelor cookies. Companiile care operează site-uri web trebuie să acorde o atenție deosebită transparenței și obținerii consimțământului utilizatorilor pentru a evita sancțiunile aplicate de ANSPDCP.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna august 2025, o investigație la operatorul Unita Turism Holding S.A., constatând încălcarea obligațiilor privind securitatea datelor personale prevăzute la art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016 (GDPR).

În urma acestei investigații, compania a fost sancționată cu o amendă în valoare de 25.368 Lei (echivalentul a 5.000 Euro).

Cum a început investigația

Cazul a pornit după ce operatorul Unita Turism Holding S.A. a transmis către ANSPDCP o notificare de încălcare a securității datelor cu caracter personal, conform art. 33 din GDPR.

Notificarea a vizat un atac informatic prin care au fost extrase și divulgate în mod neautorizat date personale ale unor actuali și foști angajați. Printre informațiile compromise s-au regăsit:

• nume și prenume,
• funcția ocupată,
• localitatea de domiciliu,
• codul numeric personal,
• documente medicale și informații financiar-bancare.

Lipsa măsurilor de securitate

Pe parcursul investigației, ANSPDCP a constatat că operatorul nu avea implementate la momentul atacului măsuri tehnice și organizatorice adecvate pentru a proteja datele împotriva riscurilor.

Astfel, nu era asigurată confidențialitatea, integritatea și disponibilitatea datelor, iar sistemele IT nu dispuneau de suficientă rezistență la incidente de securitate. Această lipsă de conformitate a condus la accesul neautorizat la datele personale ale mai multor persoane vizate, încălcând dispozițiile GDPR menționate.

Concluzie

În final, Unita Turism Holding S.A. a achitat amenda aplicată de ANSPDCP.

Această sancțiune reprezintă un nou exemplu al importanței implementării unor măsuri de securitate cibernetică și protecție a datelor cu caracter personal, pentru a preveni breșe de securitate și pentru a evita sancțiuni semnificative conform Regulamentului GDPR.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în august 2025, o investigație la operatorul Dumitrescu Mihai-Ovidiu. În urma verificărilor, instituția a constatat încălcarea prevederilor Legii nr. 506/2004 privind protecția vieții private în sectorul comunicațiilor electronice.

Ca urmare, operatorul a fost sancționat contravențional cu o amendă de 37.000 lei.

Neregulile constatate de ANSPDCP

Investigația a fost declanșată în urma unei sesizări și a evidențiat mai multe probleme:

-pe site-urile administrate de operator au fost instalate cookie-uri care nu erau strict necesare din punct de vedere tehnic, înainte ca utilizatorii să își dea consimțământul;

-au fost utilizate tehnologii de monitorizare a traficului online, prin care erau generate și afișate reclame malițioase pe dispozitivele utilizatorilor finali;

-operatorul a obținut venituri din aceste practici în perioada 1 septembrie 2023 – 1 aprilie 2025.

Ce înseamnă „reclame malițioase”?

Reclamele malițioase (malicious ads) nu sunt simple bannere de promovare, ci anunțuri care ascund cod periculos sau linkuri către site-uri nesigure. Acestea pot redirecționa utilizatorii către pagini frauduloase, pot instala programe nedorite sau pot colecta ilegal date personale, punând în pericol securitatea și confidențialitatea datelor online.

Concluzii

Cazul subliniază importanța respectării legislației privind protecția datelor și a regulilor de utilizare a cookie-urilor. Operatorii de site-uri trebuie să obțină consimțământul explicit al utilizatorilor înainte de a instala cookie-uri sau de a folosi tehnologii de monitorizare.

ANSPDCP atrage atenția că astfel de practici pot duce nu doar la sancțiuni financiare semnificative, ci și la pierderea încrederii utilizatorilor și afectarea reputației online.

Amendă GDPR pentru La Fântâna S.R.L. – încălcarea securității datelor cu caracter personal

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna iulie 2025, o investigație privind compania La Fântâna S.R.L., constatând încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016 (GDPR).

În urma verificărilor, operatorul a fost sancționat cu o amendă GDPR de 50.693 Lei (echivalentul a 10.000 Euro).

Cum a început investigația

Investigația a fost declanșată după ce La Fântâna S.R.L. a notificat ANSPDCP cu privire la o încălcare a securității datelor cu caracter personal, conform art. 33 din GDPR. Compania a raportat că, în urma unui atac informatic, au fost compromise date sensibile ale unui număr semnificativ de clienți, printre care:

-nume și prenume,

-date de card bancar (număr card, dată expirare, cod CVV).

Lipsa măsurilor de securitate adecvate

În cadrul investigației, autoritatea a constatat că operatorul nu implementase măsuri tehnice și organizatorice corespunzătoare pentru protejarea datelor personale. Mai exact, compania nu a asigurat un nivel de securitate adecvat riscurilor asociate prelucrării datelor, precum:

-accesul neautorizat,

-pierderea sau modificarea datelor,

-divulgarea ilegală a informațiilor.

Această deficiență a condus la divulgarea neautorizată a datelor personale și la expunerea persoanelor vizate la riscuri majore, inclusiv fraudă bancară.

Concluzii și sancțiune

Prin urmare, ANSPDCP a stabilit că au fost încălcate prevederile art. 32 alin. (1) lit. b) și alin. (2) din GDPR. Operatorul a recunoscut situația și a achitat amenda contravențională aplicată.

👉 Dacă dorești să eviți astfel de sancțiuni, este esențial să implementezi măsuri de securitate cibernetică și protecție a datelor personale, astfel încât afacerea ta să fie conformă cu cerințele GDPR.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în iulie 2025, o investigație privind operatorul SC Elite Conta SRL, constatând încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

În urma verificărilor, compania a fost sancționată cu o amendă de 15.227,70 lei (echivalentul a 3.000 de euro).

Cum a început investigația?

Procedura a fost declanșată după ce firma a notificat ANSPDCP, conform art. 33 GDPR, despre o încălcare a securității datelor cu caracter personal în urma unui atac cibernetic.

Incidentul a dus la compromiterea mai multor tipuri de date personale aparținând unui număr semnificativ de persoane, inclusiv:

-nume și prenume;

-cod numeric personal (CNP);

-seria și numărul actului de identitate;

-semnătura;

-domiciliul;

-funcția și salariul de încadrare.

Ce a descoperit ANSPDCP?

Investigația a arătat că operatorul nu implementase măsuri adecvate de securitate la momentul atacului cibernetic. Lipsa unor cerințe clare pentru accesul securizat la echipamentele de stocare în rețea a permis riscul unui acces neautorizat la datele personale.

Mai mult, compania nu avea implementat un proces eficient pentru:

-testarea și evaluarea periodică a măsurilor tehnice și organizatorice;

-asigurarea confidențialității sistemelor și serviciilor de prelucrare.

Consecințe și măsuri corective

Această situație a dus la divulgarea și accesarea neautorizată a datelor cu caracter personal, ceea ce a determinat ANSPDCP să aplice amenda menționată.

În plus, autoritatea a impus și măsuri corective obligatorii, printre care:

-utilizarea unor sisteme de operare cu suport activ din partea producătorului;

-instalarea de soluții antivirus complete și actualizate pe toate echipamentele IT (servere și stații de lucru);

-securizarea accesului extern la infrastructură prin VPN, autentificare multifactor (MFA) și restricționarea adreselor IP.

Compania a achitat amenda aplicată și are obligația de a îmbunătăți nivelul de protecție a datelor personale pentru a preveni incidente similare în viitor.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în iunie 2025, o investigație privind Asociația Casa de Ajutor Reciproc „FLEXICREDIT”, în urma căreia a constatat încălcarea art. 32 alin. (2) din Regulamentul General privind Protecția Datelor (GDPR).

În consecință, operatorul a fost sancționat cu o amendă de 15.141,6 lei (echivalentul a 3.000 euro).

Cum a început investigația?

Cazul a pornit de la o sesizare transmisă chiar de FLEXICREDIT, care a semnalat faptul că o angajată a unei școli gimnaziale a obținut acces neautorizat la adresa de e-mail oficială a unității de învățământ. Aceasta a trimis documente false către Flexicredit pentru a contracta 17 credite.

Constatările ANSPDCP

În urma investigației, autoritatea a descoperit că, în perioada 2023–2024:

-FLEXICREDIT a acordat 17 credite pe baza unor documente falsificate, transmise electronic de o persoană terță, fără consimțământul real al persoanelor vizate;

-operatorul nu a verificat corespunzător identitatea solicitanților în cazul cererilor de credit la distanță;

-nu au fost implementate măsuri tehnice și organizatorice adecvate pentru protecția datelor personale, ceea ce a dus la expunerea unor informații sensibile (nume, prenume, CNP, adresă, seria și numărul actului de identitate, date de valabilitate și emitent, domiciliu).

Astfel, un număr semnificativ de persoane a fost afectat de prelucrarea datelor în mod nelegal, în contextul acordării creditelor pe baza documentelor falsificate.

Sancțiunea aplicată

Ținând cont de criteriile de individualizare a sancțiunilor prevăzute de art. 83 GDPR, ANSPDCP a aplicat o amendă de 3.000 de euro pentru încălcarea art. 32 alin. (2) GDPR privind securitatea datelor personale.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în iulie 2025, o investigație privind Ordinul Biochimiștilor, Biologilor și Chimiștilor în Sistemul Sanitar din România. În urma verificărilor, s-au constatat încălcări ale prevederilor Regulamentului (UE) 2016/679 (GDPR), articolele 12, 15 și 58.

Amenzi și sancțiuni aplicate

Ca urmare a nerespectării obligațiilor legale privind protecția datelor personale, operatorul a primit:

-o amendă de 5.079,5 lei (1.000 euro) pentru încălcarea art. 12 alin. (3) și (4) și art. 15 GDPR;

-un avertisment pentru nerespectarea art. 58 alin. (1) lit. a) și e) GDPR.

Cum a început investigația?

Ancheta a pornit de la plângerea unei persoane fizice care a reclamat faptul că Ordinul Biochimiștilor, Biologilor și Chimiștilor nu a răspuns solicitărilor privind exercitarea dreptului de acces la date personale, prevăzut de art. 15 GDPR.

Pe parcursul investigației, ANSPDCP a constatat că operatorul:

-nu a transmis persoanei vizate un răspuns complet și corespunzător la cererile depuse;

-nu a respectat termenul legal pentru soluționarea cererilor;

-nu a dat curs solicitării Autorității de Supraveghere de a comunica petentului un răspuns conform GDPR.

Concluziile și măsurile impuse

Prin aceste acțiuni, operatorul a încălcat articolele 12 și 15 din GDPR, ceea ce a atras aplicarea amenzii, dar și articolele 58 alin. (1) lit. a) și e), pentru care a fost sancționat cu avertisment.

În plus, ANSPDCP a dispus următoarele măsuri corective:

-adoptarea unor proceduri interne clare pentru soluționarea cererilor persoanelor vizate (drepturile prevăzute la art. 12-22 GDPR);

-respectarea termenelor legale pentru răspunsuri și asigurarea comunicării fără întârziere cu persoanele vizate;

-instruirea periodică a personalului privind aplicarea corectă a GDPR;

-transmiterea unui răspuns complet către petent pentru cererile depuse privind dreptul de acces la date personale.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în iunie 2025 o investigație privind compania Agricola International SA, în urma căreia a constatat încălcarea prevederilor Regulamentului (UE) 2016/679 (GDPR), articolul 32.

În consecință, operatorul a fost sancționat contravențional cu o amendă de 25.226,50 lei (echivalentul a 5.000 de euro).

Cum a început investigația?

Agricola International SA a notificat ANSPDCP, conform art. 33 GDPR, despre o încălcare a securității datelor personale ca urmare a unui atac cibernetic. Incidentul a vizat un număr semnificativ de angajați, membri ai familiilor acestora și clienți.

Printre datele cu caracter personal compromise se numără:

-date de identificare (nume, prenume, CNP, data nașterii, sex, fotografie act de identitate);

-informații profesionale (funcție, departament, tipul angajării, statutul angajatului, istoric carte de muncă, evidența salariilor, concediilor și asigurărilor de sănătate);

-date de contact (telefon, e-mail, adresă);

-documente personale și financiare (carte de muncă, fișă de aptitudine, cont bancar, atestate profesionale, cursuri, evidență sporuri).

Concluziile ANSPDCP

În urma verificărilor, autoritatea a stabilit că societatea nu avea implementate măsuri tehnice și organizatorice suficiente pentru protecția datelor cu caracter personal. Mai exact, lipseau cerințe de securitate privind accesul la echipamentele de stocare în rețea, ceea ce a crescut riscul de acces neautorizat.

Astfel, Agricola International SA nu a respectat obligațiile GDPR referitoare la:

-asigurarea confidențialității sistemelor și serviciilor de prelucrare;

-testarea și evaluarea periodică a eficienței măsurilor de securitate;

-implementarea unor soluții adecvate pentru prevenirea accesului neautorizat.

Măsuri corective impuse

Pe lângă amendă, ANSPDCP a dispus măsuri corective, printre care:

-utilizarea de sisteme de operare cu suport activ din partea producătorului;

-instalarea de soluții antivirus actualizate pe toate echipamentele IT;

-securizarea accesului extern la infrastructura companiei (VPN, autentificare multifactor – MFA, restricționare IP).

Compania a achitat amenda aplicată de autoritate.