dataconsulting.ro
Inapoi la Blog
GDPR 16 aprilie 2026 6 min citire

Amenzi GDPR in Romania — cazuri reale si ce poti invata din ele

ANSPDCP a aplicat peste 260 de amenzi de la intrarea in vigoare a GDPR in 2018. Valoarea totala depaseste 1,9 milioane de euro. Iata care sunt cele mai importante cazuri din Romania, ce greseli au dus la sanctiuni si ce poti face concret pentru a nu fi urmatorul.

Cat de activa este ANSPDCP?

Romania se afla in primele 4 tari din UE dupa numarul de amenzi aplicate anual — dupa Spania si Italia. In 2024, ANSPDCP a aplicat 83 de sanctiuni cu o valoare totala de aproximativ 373.000 EUR. In 2025, numarul a crescut la 105 amenzi, totalizand peste 511.000 EUR.

Spre deosebire de autoritatile din Irlanda sau Luxemburg, care aplica amenzi rare dar uriase (Irlanda: 4 miliarde EUR cumulate, in principal din cazul Meta), ANSPDCP aplica frecvent amenzi de dimensiune medie. Valoarea medie a unei amenzi in Romania este de aproximativ 5.000–15.000 EUR — suficienta sa fie dureroasa pentru orice firma, mica sau mare.

260+

Amenzi aplicate din 2018

1,9 mil.

EUR total cumulat

Top 4

in UE dupa frecventa

Cazuri reale — ce s-a intamplat si ce lectii raman

UniCredit Bank SA

2019Art. 25(1) GDPR — protectia datelor inca din faza de proiectare

130.000 EUR

Ce s-a intamplat: La platile online, datele personale ale platitorului (inclusiv CNP-ul si adresa) erau vizibile destinatarilor platii. Afectati: peste 350.000 de persoane.

Lectia: Sistemele IT trebuie gandite cu protectia datelor incorporata din faza de design, nu adaugata ulterior.

Rompetrol Downstream SRL

2023Art. 32 GDPR — masuri de securitate inadecvate

110.000 EUR

Ce s-a intamplat: Date ale clientilor (copii dupa buletine si adeverinte de salariu) au fost accesate intern fara autorizare si folosite pentru a obtine credite frauduloase de la IFN-uri in numele clientilor.

Lectia: Accesul angajatilor la datele clientilor trebuie strict controlat si monitorizat. Privilegiile de acces excesive sunt un risc GDPR direct.

Raiffeisen Bank SA

2019Art. 32 GDPR — securitate insuficienta a prelucrarii

150.000 EUR (redusa la 15.000 EUR in instanta)

Ce s-a intamplat: Doi angajati ai bancii au primit prin WhatsApp datele de identitate ale unor clienti de la o firma de brokeraj si au efectuat 1.194 de simulari de credit pe 1.177 de persoane fara acordul acestora.

Lectia: Transmiterea datelor personale prin aplicatii de mesagerie (WhatsApp, email personal) reprezinta o incalcare GDPR. Este necesara o politica clara privind canalele autorizate.

UiPath SRL

2023Art. 25 si 32 GDPR — masuri tehnice insuficiente

70.000 EUR

Ce s-a intamplat: Un fisier continand datele personale a aproximativ 600.000 de utilizatori ai platformei UiPath Academy (nume, email, companie, certificari) a fost expus public timp de circa 10 zile din cauza unei configurari gresite.

Lectia: O simpla greseala de configurare poate expune sute de mii de persoane. Auditurile de securitate periodice si testarea configuratiilor sunt obligatorii.

Orange Romania SA

2025Art. 12, 17 GDPR — nerespectarea dreptului la stergere

40.000 EUR

Ce s-a intamplat: Un client care nu a finalizat un abonament a solicitat stergerea datelor. Orange nu a raspuns in termenul legal si a pastrat copii ale actului de identitate mai mult decat era permis.

Lectia: Dreptul la stergere (dreptul de a fi uitat) trebuie respectat in maximum 30 de zile. Ignorarea cererilor venite din partea persoanelor vizate este una dintre cele mai frecvente cauze de amenzi.

EON Energie Romania SA

2025Art. 32 GDPR — masuri de securitate inadecvate

25.000 EUR

Ce s-a intamplat: Un atac cibernetic a permis accesul neautorizat si exfiltrarea conturilor de utilizatori, inclusiv adrese de email si parole.

Lectia: Victima unui atac cibernetic poate primi amenda GDPR daca masurile de securitate implementate anterior au fost insuficiente. A fi atacat nu exonereaza de raspundere.

Care sunt cele mai frecvente cauze de amenzi GDPR?

Analizand toate cazurile din Romania, trei tipuri de incalcari apar in mod repetat:

  • Masuri de securitate inadecvate (Art. 32 GDPR)

    Cel mai frecvent motiv de amenda. Include: date transmise prin canale neprotejate (WhatsApp, email personal), configuratii gresite ale sistemelor, parole slabe, acces nerestrictionat la datele clientilor.

  • Lipsa notificarii incidentelor in 72 de ore (Art. 33 GDPR)

    Daca are loc o bresa de securitate, organizatia are obligatia sa notifice ANSPDCP in cel mult 72 de ore. Intarzierea sau omiterea notificarii atrage amenzi separate.

  • Nerespectarea drepturilor persoanelor vizate (Art. 12, 17 GDPR)

    Lipsa raspunsului in termen de 30 de zile la cererile de stergere a datelor, acces sau rectificare. Cazul Orange (40.000 EUR) este cel mai recent exemplu.

Ce sectoare sunt cel mai des sanctionate?

ANSPDCP nu vizeaza exclusiv marile corporatii. Amenzile au fost aplicate in toate sectoarele:

Banci si institutii financiare

UniCredit, Raiffeisen, Hora Credit, BCR

Energie si utilitati

Rompetrol, EON — sectorul cel mai sanctionat in oct. 2025

Telecomunicatii

Orange, Telekom, Vodafone

Retail si e-commerce

Altex, Sephora, IKEA, Kaufland

Tech si software

UiPath — cea mai mare amenda din sectorul tech

Persoane fizice / politicieni

Calin Georgescu — cookies fara consimtamant

Dar amenzile AI Act — cand incep?

Pana in prezent, nu a fost aplicata nicio amenda AI Act in UE. Regulamentul a intrat in vigoare in august 2024, insa mecanismele de supraveghere sunt inca in curs de implementare. In Romania, autoritatea desemnata pentru AI Act este ANCOM, cu rol de coordonare, alaturi de ANSPDCP pentru sistemele AI ce implica date biometrice.

Primele amenzi AI Act la nivel european sunt asteptate dupa august 2026, cand obligatiile complete pentru sistemele de risc ridicat intra in vigoare. Sumele pot atinge 35 milioane EUR sau 7% din cifra de afaceri globala — semnificativ mai mari decat amenzile GDPR.

Compania care nu isi regleaza situatia acum va intra in raza de actiune a doua autoritati de reglementare simultan: ANSPDCP pentru GDPR si ANCOM/ANSPDCP pentru AI Act.

Ce poti face acum pentru a evita o amenda

  • 1
    Verifica canalele prin care circula datele personale

    WhatsApp, email personal, Excel nesecurizat — acestea sunt surse frecvente de incidente. Datele clientilor si angajatilor trebuie sa circule doar prin sisteme autorizate si securizate.

  • 2
    Implementeaza o procedura de notificare a breselor

    Angajatii trebuie sa stie ce fac daca identifica un incident. Ai 72 de ore sa notifici ANSPDCP — fara procedura scrisa, risti sa depasesti termenul.

  • 3
    Raspunde la cererile persoanelor vizate in 30 de zile

    Stergere, acces, rectificare — orice cerere primita de la un client sau angajat trebuie tratata si rezolvata in termen. Ignorarea ei atrage amenda.

  • 4
    Restrictioneaza accesul la datele personale

    Nu toti angajatii au nevoie de acces la toate datele. Principiul minimizarii accesului reduce semnificativ riscul de incident intern.

Nu stii daca firma ta ar rezista unui control ANSPDCP?

In 20 de minute iti facem un audit GDPR complet — identificam riscurile concrete si iti spunem exact ce trebuie remediat. Gratuit, fara obligatii.

Audit GDPR gratuit Servicii GDPR

Citeste si

GDPR si protectia datelor: ce trebuie sa stie orice firma din Romania