Home » Comunicat_Presa_25_05_2026
 Română | English | Francais

sigla_anspdcp_2.png

 

Regulament (UE) 2016/679 aplicabil din 25 mai 2018

Plângeri

Plângeri RGPD

 

Procedura de soluționare

 

Operatori

Formular declarare responsabil cu protecția datelor

 

Notificare Breșă RGPD

 

Notificare Breșă L.506/2004

 

Informații plată amendă persoane juridice

 

Regimul sancționator pentru sectorul public

 

Sancțiuni RGPD

Schengen

 

Schengen

Sistemul de Informatii privind Vizele

 

 

 

Sistemul de informaţii privind vizele

Stiri

Informaţii utile

Întrebări frecvente

Ghid întrebări RGPD

Ghid orientativ RGPD

Ghid privind aplicarea Legii nr. 363/2018

Ghid privind asociațiile de proprietari

Legături utile

 

Anunţuri posturi vacante/concursuri

 

 

Anunturi posturi vacante / concursuri ocupare posturi vacante

 

Rezultate concurs

TFTP-Programul de Urmarire a Finanţărilor Teroriste

 

 

 

 

Procedura

Formulare

Plangere catre Responsabilului cu Protectia Libertatilor Civile SUA

 

 

 

 

 

Formular plângere


Notă de Informare

 

Contacte

Contactaţi-ne

Protecţia Datelor Personale

 

Informarea persoanelor vizate cu privire la prelucrarea datelor personale de către ANSPDCP

 

Politica Cookie

25.05.2026

25 Mai 2026 – 8 ani de la aplicarea GDPR

 

Pe data de 25 mai 2026 se împlinesc opt ani de la aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR), la nivelul tuturor statelor membre ale Uniunii Europene.

Cu acest prilej, subliniem faptul că, pe parcursul celor opt ani de aplicare a GDPR, operatorii din mediul public și privat au continuat să pună în practică regulile de prelucrare a datelor personale, în special cele cu privire la informarea persoanelor fizice, la respectarea efectivă a drepturilor persoanelor fizice, la asigurarea confidențialității și securității prelucrărilor de date personale.

În contextul celebrării a opt ani de la aplicarea GDPR, prezentăm o sinteză a celor mai semnificative aspecte din activitatea Autorității Naționale de Supraveghere desfășurată pe parcursul primelor patru luni ale anului 2026.

Astfel, în perioada ianuarie – aprilie a anului curent, Autoritatea Națională de Supraveghere a primit 5.519 plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 228 investigații.

În urma investigațiilor efectuate, instituția noastră a aplicat 25 de amenzi în primele patru luni ale anului 2026, în cuantum total de 1.187.492 lei (echivalentul a 239.000 de euro). În același timp, au mai fost aplicate 42 de avertismente și au fost dispuse 41 de măsuri corective.

În ceea ce privește activitatea de soluționare a plângerilor, ANSPDCP a primit în primele patru luni ale anului curent 5.186 plângeri. Pentru soluționarea plângerilor considerate admisibile au fost demarate 90 de investigații.

De asemenea, în aceeași perioadă, operatorii de date au transmis 113 notificări privind încălcarea securității datelor și 220 de sesizări privind posibile neconformități cu dispozițiile GDPR.

Pe baza acestor 333 de sesizări și notificări privind incidente de securitate au fost demarate 138 de investigații.

Plângerile, sesizările și notificările privind încălcarea securității datelor primite de ANSPDCP în perioada ianuarie – aprilie 2026 au vizat, în principal, următoarele aspecte:

  • prelucrarea datelor cu caracter personal cu nerespectarea principiilor și a condițiilor de legalitate prevăzute la art. 5 și 6 din GDPR;
  • prelucrarea datelor prin intermediul sistemelor de supraveghere video;
  • prelucrarea datelor biometrice;
  • divulgarea datelor prin intermediul site-urilor și/sau al aplicațiilor de socializare;
  • pierderea corespondenței de către societăți cu activitate de servicii de curierat;
  • încălcarea drepturilor persoanelor vizate, în special a dreptului de acces și a dreptului la ștergerea datelor;
  • transmiterea de comunicări comerciale nesolicitate prin e-mail, telefon sau alte mijloace de comunicare;
  • prelucrarea datelor în domeniul jocurilor de noroc;
  • raportarea și prelucrarea datelor cu caracter personal în cadrul Biroului de Credit;
  • utilizarea modulelor cookies;
  • atacuri cibernetice.

Totodată, în primele 4 luni ale acestui an, se constată menținerea numărului ridicat de solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a GDPR și a celorlalte reglementări incidente. Astfel, Autoritatea Naţională de Supraveghere a primit un număr de 358 solicitări de emitere puncte de vedere din partea operatorilor și împuterniciților acestora (din domeniul public și privat), din partea altor entități, precum și din partea persoanelor fizice.

De asemenea, în aceeași perioadă, au fost emise avize asupra a 36 de proiecte de acte normative transmise de instituţii publice, ceea ce a implicat analizarea unor aspecte diverse și complexe privind aplicarea adecvată a regulilor de protecție a datelor în mai multe domenii de activitate.

Pe de altă parte, în perioada ianuarie - aprilie 2026 s-au continuat activitățile de comunicare destinate informării publicului larg, cu privire la regulile de prelucrare a datelor cu caracter personal.

Astfel, cu ocazia sărbătoririi Zilei Europene a Protecției Datelor, pe data de 28 ianuarie 2026, a fost organizată Conferința intitulată „Particularitățile investigațiilor pentru tratarea plângerilor – actualitate și perspectiva Noului Regulament referitor la soluționarea plângerilor cu impact transfrontalier”. La acest eveniment au participat reprezentanți ai autorităților și instituțiilor publice centrale naționale, ai forului executiv și ai celui legislativ, reprezentanții mediilor academice, organizațiilor nonguvernamentale, ai principalelor uniuni/asociații profesionale, precum și operatori/împuterniciți relevanți din sectorul public şi privat.

Tema conferinței a fost aleasă având în vedere adoptarea Regulamentului (UE) 2025/2518 al Parlamentului European și al Consiliului de stabilire a unor norme procedurale suplimentare referitoare la asigurarea respectării Regulamentului (UE) 2016/679.

Cu acest prilej, au fost aduse în atenția operatorilor cât și a persoanelor împuternicite aspecte specifice prelucrării datelor cu caracter personal, în special în ceea ce privește desfășurarea investigațiilor pentru tratarea plângerilor cu impact transfrontalier.

În contextul acestui eveniment, la propunerea instituției noastre, s-a difuzat clipul informativ dedicat Regulamentului General privind Protecția Datelor, pe postul național de televiziune TVR și în mijloacele de transport în comun ale Societății de Transport București.

În primele 4 luni ale anului 2026, ANSPDCP a continuat activitatea de informare a publicului larg prin publicarea a 21 comunicate de presă referitoare, în principal, la sancțiunile dispuse.

Raportat la activitatea de cooperare externă, precizăm că, în perioada ianuarie – aprilie a anului curent, instituția noastră a analizat 16 cereri de aprobare a BCRs transmise de companii multinaționale.

De asemenea, ANSPDCP a acționat, la cererea unor companii de aprobare a BCRs, în calitate de co-revizor pentru 2 seturi de BCRs, precum și în calitate de membru în echipa de redactare a opiniei Comitetului european pentru protecția datelor cu privire la 2 seturi de reguli corporatiste.

Referitor la activitatea de reprezentare în instanță, în primele patru luni ale anului 2026 au fost înregistrate un număr de 15 cereri noi de chemare în judecată dintre care 8 cereri au ca obiect contestarea unor procese – verbale de constatare/sancționare ale ANSPDCP.

În ceea ce privește contestarea sancțiunilor cu amendă dispuse de către Autoritatea Națională de Supraveghere după punerea în aplicare a GDPR, este de remarcat faptul că, din totalul de 448 amenzi aplicate operatorilor începând cu anul 2019 și până în luna mai 2026, în baza GDPR, au fost contestate în instanțe doar 135 de amenzi (30% din numărul amenzilor).

Astfel, din cele 96 de litigii finalizate până în prezent, 72 de litigii au fost soluționate în favoarea Autorității Naționale de Supraveghere, fie prin confirmarea integrală a amenzilor aplicate de instituția noastră, fie prin menținerea proceselor-verbale de constatare/sancționare în sensul reținerii caracterului contravențional al faptelor, cu diminuarea cuantumului amenzii sau înlocuirea acesteia cu avertisment.

În scopul asigurării unei depline informări a publicului larg și pentru a veni în sprijinul operatorilor preocupați de aplicarea corectă a regulilor de protecție a datelor, prezentăm, în continuare, spre exemplificare, unele extrase din câteva cauze relevante în care instanțele de judecată au reținut legalitatea și temeinicia proceselor verbale întocmite de Autoritatea Națională de Supraveghere, confirmând abordarea instituției noastre în evaluarea respectivelor situații.

♦ Curtea de Apel Timișoara a confirmat recent prin decizie definitivă amenzile aplicate de Autoritatea Națională de Supraveghere operatorului Restart Energy One SA, în cuantum de 25.000 de euro, pentru încălcarea art. 32 alin. (1) lit. b) și lit. d), coroborat cu art. 32 alin. (2) din Regulamentul (UE) nr. 2016/679, respectiv 40.000 lei pentru încălcarea art. 4 alin. (5) din Legea 506/2004, reținând că „apelanta a săvârşit contravenția prevăzută de art. 12 alin. 1 din Legea nr. 190/2018, prin raportare la art. 83 alin. 4 lit. a) din RGPD, criticile formulate nefiind de natura a dovedi nevinovăţia acesteia, fapta fiind săvârşită în forma de vinovăţie a neglijenţei, fiind netemeinică afirmaţia apelantei că, instanța de fond a ignorat total explicațiile tehnice furnizate.

În ceea ce priveşte individualizarea sancțiunii de 25.000 de euro, Curtea a constatat că „apelanta a considerat că lipsa prejudiciului şi lipsa sesizărilor din partea celor implicați fac ca fapta respectivă să apară fără a avea o gravitate sporită şi să o exonereze de la orice responsabilitate, însă, contravenţia stabilită în sarcina sa este una de pericol şi nu de rezultat, scopul incriminării acesteia fiind acela de a conştientiza necesitatea respectării regulilor de protecţie a datelor şi, implicit a persoanelor vizate, astfel că nu era necesar să se facă dovada vătămării efectivé a vreunei persoane, iar faptul că nu a avut loc niciun incident cu urmare socialmente periculoasă este lipsit de orice relevanță sub acest aspect.

Or, în raport de toate circumstanțele analizate, având în vedere şi cuantumul amenzii aplicate, Curtea constată că amenda, în cuantum de 124.150,00 lei, echivalentul sumei de 25.000 euro, conform cursului BNR din data de 11.09.2023, respectă principiul proporţionalității, fiind aplicată în acord cu criteriile menționate la art. 83 alin. 2 din Regulament, neimpunându-se reducerea sau înlocuirea acesteia cu sancţiunea contravențională a „avertismentului".

Amenda aplicată este mult sub limita maximă stabilită de legiuitor, respectiv de 10.000.000 euro, în situația în care a fost vorba de afectarea unui număr de cel puţin 750 de persoane vizate, întrucât apelanta-reclamanta, în calitatea sa de operator de date cu caracter personal nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată si accesul neautorizat la datele cu caracter personal ale persoanelor fizice, timp de 2 ani şi 6 luni, respectiv în perioada 28.04.2020-09.11.2022, deşi avea aceasta obligație potrivit art. 5 alin. 1 lit. f din RGPD.

Referitor la a doua contravenție, Curtea  constatat că „din verificările efectuate asupra site-ului https://restartenergy.ro/, a rezultat faptul că apelanta-reclamanta RESTART ENERGY. ONE S.A. a 28 .!. stocat informații, respectiv module cookies care nu erau necesare din punct de vedere tehnic în funcționarea site-ului https://restartenergy.ro, sau a obținut accesul la informația stocată în echipamentul terminal al utilizatorilor .site-ului administrat de operatorul RESTART ENERGY ONE S.A., fără obținerea acordului utilizatorului în cauză (prin apăsarea butonului de Accept), cel puțin în perioada 17.10.2022 - 9.11.2022, fără a respecta condițiile cumulative prevăzute de art. 4 alin. 5 lit. a) şi' b) din Legea nr. 506/2004, respectiv obţinerea acordului utilizatorului pentru cookie-urile existente la nivelul site-ului şi furnizarea informațiilor anterior exprimării acordului privind scopul general al procesării informațiilor stocate, durata de viață, ce informaţii sunt stocate şi accesate precum şi permiterea stocării şi/sau accesului unor terți la informațiile stocate în echipamentul terminal al utilizatorului, contravenţie prevăzută de art. 13 alin. 1 lit. i) din Legea nr. 506/2004, modificată şi completată.

Cât privește individualizarea sancţiunii contravenţionale, respectiv solicitarea apelantei-reclamante privind, înlocuirea sancțiunii amenzii cu avertisment sau diminuarea amenzii, instanța de apel a reținut că „această cerere este nefondată”.

De asemenea, Curtea a reținut că „Apelanta-reclamanta a susținut că imediat după control au fost îndreptate toate neregulile constatate şi că nu s-a produs nicio vătămare persoanelor vizate, invocând lipsa prejudiciului şi lipsa sesizărilor din partea celor implicaţi.

Curtea având în vedere şi aceste elemente, dar şi gravitatea faptei, numărul de persoane vizate, apreciază că nu se impune nici reindividualizarea sancțiunii în sensul reducerii acesteia la nivelul minimului special de 5.000 de lei ori în sensul înlocuirii cu avertisment, faptele săvârşite 29 fiind agravate, întrucât este vorba de un cumul de abateri, iar legiuitorul nu a avut în vedere producerea unui prejudiciu, ci sancţionarea unui eventual pericol social.”

♦ Prin decizie definitivă Curtea de Apel București a confirmat, la fel ca și instanța de fond (TMB), sancțiunea amenzii în cuantum de 10.000 euro, dispusă față de operatorul PPC Energie Muntenia SA pentru încălcarea art. 32 din GDPR.

Astfel, Curtea de Apel București a reținut că „Împrejurarea că incidentul de securitate din 23.11.2020 s-a produs accidental, ca urmare a unei erori de natură umană, fără ca apelanta-reclamantă să indice circumstanțe excepționale în acest sens, confirmă încălcarea art. 32 din RGPD raportat la conținutul concret al incidentului, respectiv faptul că nu s-au luat suficiente măsuri pentru înlăturarea riscului. Apelanta-reclamantă admite de altfel că s-ar fi încălcat anumite prevederi ale art. 32 şi susține că nu s-ar fi încălcat art. 32 în întregul său, însă nu face o demonstrație aplicată în acest sens, astfel că acest motiv de nelegalitate nu poate fi reținut, Curtea confirmând aşadar concluzia Tribunalului în sensul că descrierea faptei şi încadrarea juridică a încălcării s-au realizat în mod corespunzător de către autoritate.”

De asemenea, instanța de apel a reținut că Faptul că Enel a implementat măsuri de securitate nu este de natură a înlătura constatarea privind săvârşirea faptei, câtă vreme acestea s-au dovedit insuficiente şi inadecvate, permițând producerea incidentului de securitate, indiferent că la baza sa a stat o eroare operațională de natură umană, şi cu atât mai mult cu cât apelanta-reclamantă admite că nu se poate exclude componenta umană în mod complet din toate procesele operaționale şi nu indică totuşi măsurile adecvate implementate astfel încât să nu se mai producă asemenea erori umane. (…) apelanta-reclamantă este pe deplin răspunzătoare de erorile angajaților săi, inclusiv în situațiile în care aceștia nu respectă procedurile interne, cum a fost cazul în speță, cu mențiunea că nu se indică împrejurări excepționale care să fi făcut posibilă eroarea umană ce a condus la incidentul de securitate litigios, ci este vorba despre o neregulă susceptibilă de a se produce într-un număr nedeterminat de situații.”

Referitor la cuantumul amenzii aplicate operatorului, pentru încălcarea art. 32 din Regulamentul 2016/679, Curtea a constatat faptul că aplicarea unei amenzi de 10.000 euro reprezintă o sancțiune proporțională, în condițiile în care maximul prevăzut de lege este valoarea cea mai mare dintre 10.000.000 euro şi 2% din cifra de afaceri mondială totală anuală, dar mai ales prin raportare la împrejurarea că Enel mai fusese sancționată în trecut pentru fapte asemănătoare, cu amenzi de 3.000 euro, 4.000 euro, ceea ce denotă încălcarea repetată a aceloraşi prevederi din RGDP şi, implicit, justifică aplicarea unei sancțiuni mai drastice, ca reacție la persistența operatorului.”

Astfel, Curtea a concluzionat că amenda a fost temeinic individualizată, raportat la încălcarea reținută, la circumstanțele şi urmările acesteia şi, totodată, față de sancţiunile pentru încălcări similare aplicate anterior apelantei-reclamante, pe care aceasta fară fundament le ignoră.”

În ceea ce privește sancțiunea referitoare la faptul că același operator nu a notificat Autorității Naționale de Supraveghere incidentul de securitate, contrar art. 33 din GDPR, Curtea a reținut că „Susținerile privind probabilitatea redusă a incidentului de securitate de a genera un risc pentru drepturile şi libertățile persoanei fizice nu pot fi primite, câtă vreme s-au divulgat, printre altele, nu doar numele, ci şi codul de client al persoanei vizate, date care, coroborate, sunt susceptibile a asigura accesul la contul de client şi, astfel, accesarea neautorizată, în continuare, a facturilor şi a datelor din acestea, a căror utilizare abuzivă poate genera consecințe negative.”

De asemenea Curtea a reținut că „sunt lipsite de temei alegațiile apelantei-reclamante care se prevalează de excepția de la obligația de notificare incidentă în situația în care este puțin probabil ca încălcarea securității datelor cu caracter personal să genereze un risc pentru drepturile şi libertățile persoanelor fizice, evaluarea probabilității riscului realizată de Enel find eronată şi ignorând ansamblul datelor cu caracter personal divulgate şi impactul produs, dar şi cel susceptibil de a se produce asupra persoanei vizate prin prelucrarea lor neconformă.”

♦ În ceea ce privește sancțiunea amenzii în cuantum total de 10.000 euro, prin decizie definitivă, Curtea de Apel Iași a confirmat sancțiunea dispusă de Autoritatea Națională de Supraveghere operatorului Body Line SRL pentru încălcarea art. 5, 6, 9, 17 și 32 alin. (2) din Regulamentul (UE) 2016/679.

Astfel, în ceea ce privește prima amendă aplicată operatorului în cuantum de 5.000 euro pentru încălcarea art. 5, 6 și 9 din GDPR, instanța de apel a reținut faptul că:

În mod legal intimata a reținut prin procesul verbal contestat încălcarea de către petenta apelanta a prevederilor art. 5, 6 si 9 din Regulamentul 679/2016, în condițiile în care pe pagina de Facebook a apelantei a fost postată o înregistrare ce îl vizează pe numitul (...), fără consimțământul acestuia, postarea fiind însoțita de comentarii ce fac trimitere la originea etnica a persoanei in discuție (...). Subliniază Curtea de apel, în acest context, că dispozițiile art. 9 alin. 1 din Regulament interzic în mod expres publicarea unor date ce dezvăluie originea etnică a unei persoane, publicarea unei filmări însoțită de un comentariu în care se face trimitere la faptul că una din persoanele filmate ar fi arab fiind de natura să încalce aceste dispoziții.

Sunt neîntemeiate susținerile apelantei petente în sensul că intimata ar fi întocmit procesul verbal fără nicio probă doar pe baza afirmațiilor persoanei care a făcut sesizarea. Aşa cum rezultă din conținutul procesului verbal contestat, verificând conținutul sesizării ce i-a fost adresată, intimata a verificat postările efectuate pe pagina de Facebook constatând ca atât la data de 09.02.2023 cât si ulterior, la data întocmirii procesului verbal (28.07.2023) pe aceasta pagina se afla înregistrarea video în care era vizibilă imaginea petentului filmat atât din față cât și din spate (fără a fi blurată fizionomia acestuia), filmare însoțită de comentarii în legătura cu originea etnica a persoanei in discuție. De altfel, existența acestei filmări pe pagina sa de Facebook pe durata efectuării verificărilor de către intimată este recunoscută în mod expres chiar de administratorul societății apelante, care în adresa depusa în copie (...) a arătat in mod expres atât faptul că înregistrarea se regăseşte pe pagina de Facebook cât și faptul că aceasta postare nu fusese ștearsă până la data întocmirii răspunsului.”

De asemenea, referitor la amenda de 4.000 euro aplicată operatorului pentru încălcarea art. 17 din GDPR, Curtea a constatat că din înscrisurile de la dosar rezultă că anterior sesizării ANSPDCP, (...) a solicitat apelantei să procedeze la ștergerea înregistrării în discuție de pe pagina de Facebook, solicitare căreia apelanta nu a înțeles sa îi dea curs. (…)

Refuzând sa dea curs solicitării lui (...), apelanta petentă a încălcat dispozițiile art. 17 lit. d din Regulamentul UE 679/2016.”

Cât privește sancțiunea amenzii de 1.000 euro dispusă în sarcina operatorului pentru încălcarea 32 alin. (2) din GDPR, instanța de apel a reținut faptul că „în calitate de operator de date cu caracter personal, reclamanta nu a prezentat dovezi din care să rezulte că a adoptat suficiente măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității datelor personale prelucrate prin intermediul sistemului de supraveghere audio video instalat în sălile de fitness, fapt care a condus la accesarea şi diseminarea pe paginile de Facebook ale operatorului a înregistrării din 19.11.2022, cu încălcarea art. 32 alin.1 şi 2 din Regulamentul UE 2016/679.”

În ceea ce privește individualizarea sancțiunii aplicate, Curtea de apel a constatat că „apelantei i-a fost aplicata o amenda in cuantum total de 10.000 euro. Or potrivit art. 83 alin. 5 din regulament amenda pentru fiecare din cele trei contravenții reținute in sarcina apelantei era de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare. Cum cifra de afaceri a apelantei, conform celor reținute in cuprinsul procesului verbal este de 3.671.268 lei (fila 10 din procesul verbal) amenda maxima ce putea fi aplicată era de 146.850,72 lei. Apelantei i-a fost aplicata o amenda totală cu mult sub maximul prevăzut de regulament, amenda pe deplin justificata prin raportare la gravitatea faptelor imputate, ținând cont si de conduita apelantei.”

♦ Curtea de Apel Cluj a confirmat prin hotărâre definitivă amenda în cuantum de 100.000 de euro aplicată de Autoritatea Națională de Supraveghere Băncii Transilvania, pentru încălcarea art. 32 alin. (1) și (2) coroborat cu art. 5 alin. (1) lit. f) din Regulamentul General privind Protecția Datelor.

De asemenea, aceeași soluție favorabilă Autorității Naționale de Supraveghere a fost pronunțată și la fond, prin Sentința civilă nr. 1309 din 06 Mai 2021 a Tribunalului Cluj, menținută în întregime de instanța de apel.

Pentru a hotărî astfel,  Curtea de Apel Cluj care a reținut următoarele:

«În privinţa susţinerii conform căreia activitățile enumerate în art. 39 din Regulament nu ar echivala cu o obligație, „expresă" de instruire, se observă că din dispoziţie art. 39 al Regulamentului rezultă cu evidenţă obligația apelantei, prin intermediul prepuşilor săi desemnați anume, să asigure instruirea şi formarea personalului în domeniul protecţiei datelor cu caracter personal. (…)

Apare cu evidență din aceste dispoziții legale că apelanta are obligația de a instrui, forma, informa angajaţii în materia discutată. Este evident şi că apelanta avea obligația de a lua măsurile pentru a se asigura că prevederile Regulamentului sunt respectate, aceasta însemnând că trebuia să verifice (să ,,testeze") dacă informațiile primite de către angajaţi în cadrul sesiunilor de formare au fost corect însuşite. În acest sens sunt dispozițiile art. 39 lit. b) din Regulament care impun ,monitorizarea respeciării prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor (...)". Este real şi că prevederile art. 32 al. 1 lit. d) din Regulament dau naştere unei obligaţii intitulate anume „de testare" care fi revine apelantei.»

Instanța de apel a mai constat că în cadrul măsurilor organizatorice vizate de dispozițiile art. 32 al. 1 lit. d) din Regulament se includ în mod evident şi măsurile de informare şi instruire a personalului.

Este adevărat că Regulamentul permite apelantei a îşi exercita libertatea organizatorică de a stabili care este „modalitatea în care instruirea şi/sau testarea" ar trebui să se realizeze. Această abordare normativă este firească atât timp çât titularii obligaţiilor în materia GDPR au o varietate structurală şi organizatorică, iar aceasta nu poate fi inclusă într-un şablon normativ. Ceea ce este esențial este ca bucurându-se de această libertate, destinatarii normei să facă dovada că au luat măsuri eficiente, iar culpa acestora nu poate fi reținută.

Or, apelanta nu a luat măsuri eficiente în această privinţă deoarece, din modul de comitere a faptei a rezultat necunoaşterea procedurilor de lucru privind prelucrarea datelor cu caracter personal, inabilitatea angajaților de a identifica şi califica datele la care au acces ca fiind date cu caracter personal, angajatul care a transmis în exterior datele nu a urmat nicio formă de instruire efectivă în materia protecţiei datelor cu caracter personal, potrivit probelor, iar cu privire la celelalte trei persoane, nu s-a dovedit modalitatea în care s-au verificat şi complinit, lipsurile în însuşirea corectă şi integrală a procedurilor.

Pe de altă parte, măsurile tehnice şi organizatorice adecvate, prevăzute în Regulament, depăşesc sfera instruirii prin intermediul unui curs desfăşurat on-line", cu o serie de 10 întrebări la sfârşit pentru a fi considerat îndeplinit.”

De asemenea, în mod corect a reținut Curtea de Apel Cluj faptul cădezvăluirea acestor date s-a realizat cu intenţie, astfel cum în mod corect a reţinut instanţa de fond, deoarece mesajul clientului, pe care angajații 1-ar fi considerat amuzant, a fost transmis succesiv nu din culpă, ci în mod intenționat.(…)

Repeziciunea trimiterii mesajelor şi caracterul amuzant al mesajului clientului nu sunt de natură a atenua răspunderea apelantei, respectiv de a justifica acțiunile angajaților, deoarece este evident că un meşaj banal, care nu se deosebeşte cu nimic de celelalte zeci de mesaje opërate zilnic de către angajaţi, nu ar fi trezit dorinţa angajaților de a efectua fotografii şi a proceda la distribuire.

Or, tocmai aceasta era ipoteza în care s-ar fi dovedit utilă o reală instruire, verificare a înţelegerii regulilor în materie, a luării şi a altor măsuri adecvate şi a monitorizării implementării respectării regulilor.”

Instanța de apel a mai constatat că „Împrejurarea că apelanta nu poate controla numărul de persoane care prin intermediul internetului iau cunoştință de datele clientului este evidentă şi conturează nu o circumstanță atenuantă ci, dimpotrivă, o lipsă de diligență în luarea măsurilor de instruire şi a măsurilor organizatorice, de testare şi monitorizare, deoarece tocmai cunoaşterea împrejurării că mediul online este imposibil de controlat sub aspectul diseminării datelor cu caracter personal şi este accesibil, determina înțelegerea necesității de a se lua măsuri pentru a preîntâmpina intrarea datelor personale în circuitul internetului.

Caracterul mesajului care a determinat angajaţii să încalce normele în materia datelor cu caracter personal şi faptul că datorită conținutului mesajului, care nu aparține băncii, mesajul a fost atât de răspândit, nu este de natură a atenua răspunderea apelantei deoarece, astfel cum s-a arătat mai sus, este firesc şi previzibil pentru angajator că angajații nu ar fi fost tentați să răspândească mesaje banale de la clienți, deci în ipoteza acestei categorii de mesaje, precum cel din speţă, luarea măsurilor de instruire, a măsurilor organizatorice, de testare şi monitorizare îşi găsea utilitatea.”

În ceea ce privește criteriile pentru individualizarea sancțiunii, Curtea de Apel Cluj a reținut că «gravitatea faptei este determinată şi de modalitatea de diseminare a datelor, prin internet, e-mailul cuprinzând datele clientului círculând intens în spațiul public, informații sintetice fiind preluate inclusiv de bloguri, canale TV si site-uri de ştiri, numărul extrem de mare al persoanelor care au dobândit acces la datele clientului pentru o perioadă de timp imposibil de determinat, urmare a transmiterii informațiilor prin mijloacele cele mai diverse.

În ceea ce priveşte „lipsa controlului" apelantei asupra diseminării datelor prin internet, Curtea a arătat mai sus că tocmai această realitate, cunoscută de profesionistul operator al datelor cu caracter personal, trebuia să determine o mai mare diligenţă în luarea măsurilor de prevenire a încălcării regimului de protecţie a datelor cu caracter personal.

Din această perspectivă, susținerile referitoare la caracterul lipsit de fezabilitate al măsurilor luate ori la recunoaşterea acestei împrejurări nu au relevanță în privința atenuării răspunderii şi nici nu au fost decisive în opinia instanței de fond.

Aşadar, este relevantă modalitatea în care apelanta reclamantă a acţionat în cauza dedusă judecăţii, or, în această privinţă atât Curtea, cât şi instanța de fond au constatat că în mod evident măsurile de instruire, testare, monitorizare nu au fost adecvate.(…)

În ceea ce priveşte criteriul de la art. 83 alin. 2 lit. k) din Regulament, şi acesta în mod corect a condusa la aplicarea unei amenzi de 100.000 euro. În privința lipsei beneficiilor financiare, aspect invocat de către apelantă, se reține că lipsa acestora este tocmai un criteriu pentru a reține corecta proporționalizare a amenzii. Pentru aplicarea unei amenzi nu este necesar ca apelanta să fi obținut un beneficiu ca urmare a săvârşii faptei. Raportat la încrederea acordată băncii ca profesionist de către clienți în sensul că datele cu caracter personal nu vor fi divulgate fără drept, la obligațiile sale de operator de date cu caracter personal, la aparatul tehnic de care apelanta dispune pentru a se asigura că datele personale sunt protejate, față de criteriile mai sus menţionate, față de limita maximă a amenzii şi de criteriile prevăzute în art. 83 alin. 2 din Regulament, amenda de 100.000 euro a fost în mod corect individualizată, fiind necesar, potrivit art. 83 alin. 9, ca amenda impusă să fie nu doar proporţională, ci şi eficace şi disuasivă

♦ Prin decizie definitivă, Curtea de Apel București a confirmat, la fel ca și instanța de fond (TMB), sancțiunea amenzii în cuantum de 20.000 euro, dispusă față de operatorul Vreau Credit SRL pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) și art. 33 alin. (1) din GDPR.

Astfel, Curtea a reținut, raportat la criticile privind legalitatea procesului verbal, ”că la aplicarea sancţiunii autoritatea a avut în vedere toate elementele indicate de art. 83 [din RGPD], precum şi alte elemente suplimentare, toate acestea fiind de natură a asigura posibilitatea verificărilor ulterioare de legalitate, din partea instanţei de judecată.”

În ceea ce privește cuantumul amenzii aplicate operatorului, pentru încălcarea art. 32 alin. (1), (2) şi (4) din Regulamentul 2016/679, Curtea de Apel București a constatat faptul că: ”Aspectele invocate de recurenta-reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament în mod corect au fost înlăturate de instanţa de fond, fiind contrazise de faptele constatate, care atestă divulgarea în mod neautorizat a datelor cu caracter personal pentru un număr extrem de mare de clienţi - 1177 persoane fizice/clienţi - prin transmiterea de fotocopii ale actelor de identitate ale acestora, către persoane neautorizate (angajaţi ai unui alt operator de date — Raiffeisen Bank) care la rândul lor au dezvăluit aceste date unui terţ (Biroul de Credit SA).

Numărul mare al persoanelor afectate atestă faptul că acest mod de lucru era, în realitate, o practică obişnuită a operatorului, care deşi scriptic deţinea proceduri de lucru, nu a asigurat implementarea efectivă a acestora.”

Curtea de Apel București a mai reținut faptul că „În cauză nu s-a făcut dovada acelor „măsuri tehnice şi organizatorice adecvate" în vederea asigurării unui nivel de securitate corespunzător şi nici dovada instruirii angajaţilor în scopul prevenirii tipului de încălcare constatat. În mod corect a observat intimata că apelanta avea obligaţia nu doar de a redacta proceduri scrise, ci inclusiv de a institui reguli obligatorii pentru toți salariații în ceea ce priveşte securitatea prelucrărilor şi confidenţialitatea datelor, în lipsa acestora, precum şi a dovezilor cu privire la instruirea personalului propriu în mod efectiv şi suficient simpla redactare a unor proceduri rămânând ineficientă şi, astfel cum s-a constatat, cu grave consecinţe asupra vieţii private si intimităţii clienţilor săi.”

În ceea ce privește sancțiunea referitoare la faptul că același operator nu a notificat Autorității Naționale de Supraveghere incidentul de securitate, Curtea de Apel București a reținut în mod corect faptul că „În condițiile în care apelanta nu a făcut dovada acestei notificări a autorităţii în termenul prevăzut de Regulament, în mod corect s-a reținut în sarcina sa încălcarea obligaţiilor legale şi necesitatea aplicării de sancțiuni.

Instanța va înlătura susținerile recurentei-reclamante [Vreau Credit SRL] cu privire la existenţa acordului clienţilor cu privire la prelucrarea datelor, ceea ce a  condus-o pe aceasta la concluzia că nu ar fi necesară notificarea.

Va constata Curtea că din Anexele prezentate de apelantă [Vreau Credit SRL] la dosarul de fond (...) nu rezultă un consimţământ neechivoc al clienților acesteia de transmitere a datelor cu caracter personal/prelucrarea acestora de către un terţ, cu atât mai puţin utilizarea acestora pentru interogări în baza de date a Biroului de credite efectuate de un terț faţă de raportul contractual.

În mod corect s-a observat din studiul înscrisurilor transmise de apelantă că clienţii acesteia nu au fost în mod corect informați cu privire la operațiunile de prelucrare şi nu le-a fost solicitat un consimţământ expres, neechivoc aceştia neavând posibilitatea de a acționa în vreun mod pentru a-şi manifesta voința liberă, specifică şi informată, aşa cum se prevede în art. 7 alin. (1) coroborat cu art. 4 pct. 11 din RGPD.”

♦ Prin Hotărârea Tribunalul București a fost confirmată amenda dispusă de Autoritatea Națională de Supraveghere operatorului CDI Transport Intern si International SRL, în cuantum de 7.000 de euro, reținând, raportat la criticile privind legalitatea procesului verbal, că acesta „respectă condițiile art. 16 și 17 din OG nr. 2/2001, cuprinzând suficiente mențiuni pentru ca petenta să cunoască exact ce anume i se impută și pentru a-și putea prezenta apărările în fața instanței”.

De asemenea, instanța de fond a constatat că petenta a fost în mod corect sancționată pentru faptele descrise în procesul-verbal, aceasta neadministrând probe din care să rezulte că prelucrarea s-a efectuat în conformitate cu dispozițiile aplicabile.

Situația de fapt reținută în urma controlului nu este practic contestată, petenta considerând doar că aplicarea sancțiunii amenzii pentru prima faptă este excesivă și că procesul-verbal nu conține o descriere concretă a celei de a doua fapte” .

Tribunalul București a constatat și faptul că „petenta nu a invocat și nu a probat, cu privire la cea de a doua faptă, că ar fi comunicat persoanelor vizate ale căror date cu caracter personal le prelucrează toate informațiile prev. de art. 12-22 din RGPD, în condițiile art. 12 RGPD, nefiind depus vreun înscris din care să rezulte vreo informare a acestora, astfel că în mod corect a fost sancționată cu avertismentul pentru fapta de la pct. 2” .

În ceea ce privește cuantumul amenzii aplicate operatorului pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și e) și art. 12 alin. (1) din din Regulamentul (UE) nr. 679/2016, Tribunalul București a reținut că „amenda aplicată pentru fapta de la pct. 1, echivalentul a 7000 euro, corespunde scopului preventiv și punitiv al sancțiunilor contravenționale, împrejurărilor concrete în care a fost săvârșită fapta, cu respectarea art. 21 alin. 3 din OG nr. 2/2001.”

Curtea de Apel București a admis apelul formulat de operator și a redus amenda aplicată acestuia, reținând că „aplicarea unei amenzi în cuantum de 2000 euro societății apelante, pentru încălcarea prevederilor art. 58 alin. (1) lit. a) și e) din Regulament este proporțională cu gradul redus de pericol social al acestei fapte contravenționale, cu luarea în considerare a tuturor împrejurărilor în care aceasta a fost săvârșită”.

În același timp, Curtea de Apel București a reținut că „acest nivel scăzut al amenzii contravenționale este suficient pentru atingerea scopului sancționator și preventiv al dispozițiilor legale incidente, astfel încât apelanta pe viitor să nu mai săvârșească astfel de fapte, în caz contrar urmând ca sancțiunile să fie mult mai aspre.”

 

Direcția juridică şi comunicare

ANSPDCP