mart. 31 2026
Obligațiile companiilor în prelucrarea datelor angajaților conform GDPR

Prelucrarea datelor angajaților reprezintă una dintre cele mai sensibile zone din perspectiva protecției datelor. Regulamentul General privind Protecția Datelor (GDPR) impune angajatorilor o serie de obligații clare, menite să asigure un echilibru între interesele organizației și drepturile fundamentale ale angajaților.

Respectarea acestor obligații nu este doar o cerință legală, ci și o componentă esențială a unei culturi organizaționale responsabile.

Principiile de bază în prelucrarea datelor angajaților

Orice prelucrare de date trebuie să respecte principiile fundamentale ale protecției datelor:

  • legalitate, echitate și transparență

  • limitarea scopului (datele sunt colectate doar pentru scopuri determinate)

  • minimizarea datelor (se colectează doar ce este necesar)

  • exactitate și actualizare

  • limitarea perioadei de stocare

  • integritate și confidențialitate

  • responsabilitate (accountability)

Aceste principii trebuie aplicate în toate procesele interne care implică datele angajaților.

Stabilirea unui temei legal pentru prelucrare

Companiile nu pot prelucra datele angajaților fără un temei legal valid. Cele mai frecvente temeiuri utilizate sunt:

  • executarea contractului de muncă

  • îndeplinirea unei obligații legale (ex: raportări fiscale)

  • interesul legitim al angajatorului

  • consimțământul (folosit limitat, deoarece raportul de subordonare îl face dificil de considerat valid)

Este esențial ca fiecare tip de prelucrare să fie documentat și justificat.

Obligația de informare a angajaților

Angajatorii trebuie să ofere informații clare și complete despre modul în care sunt prelucrate datele personale.

Informarea trebuie să includă:

  • ce date sunt colectate

  • scopurile prelucrării

  • temeiul legal

  • perioada de stocare

  • destinatarii datelor

  • drepturile angajaților

Această informare trebuie realizată într-un limbaj clar și accesibil, înainte de începerea prelucrării.

Respectarea drepturilor angajaților

Angajații beneficiază de aceleași drepturi ca orice persoană vizată:

  • dreptul de acces la date

  • dreptul la rectificare

  • dreptul la ștergere (în anumite condiții)

  • dreptul la restricționarea prelucrării

  • dreptul la opoziție

  • dreptul la portabilitatea datelor

Companiile trebuie să aibă proceduri interne pentru:

  • primirea solicitărilor

  • verificarea identității solicitantului

  • răspunsul în termen legal

Securitatea datelor personale

Angajatorii au obligația de a implementa măsuri tehnice și organizatorice adecvate pentru protejarea datelor.

Acestea pot include:

  • controlul accesului la informații

  • criptarea datelor

  • politici de parole și autentificare

  • backup-uri și planuri de recuperare

  • monitorizarea accesului și a activităților

Nivelul de securitate trebuie adaptat riscurilor asociate prelucrării.

Limitarea accesului și confidențialitatea

Datele angajaților nu trebuie să fie accesibile tuturor.

Este necesar:

  • acces diferențiat în funcție de rol

  • instruirea personalului care prelucrează date

  • semnarea acordurilor de confidențialitate

Orice acces nejustificat poate constitui o încălcare a GDPR.

Prelucrarea datelor sensibile

Datele sensibile (ex: date medicale) necesită un nivel suplimentar de protecție.

În aceste cazuri:

  • trebuie identificat un temei legal specific

  • accesul trebuie restricționat strict

  • trebuie implementate măsuri suplimentare de securitate

Prelucrarea acestor date este permisă doar în situații bine justificate.

Monitorizarea angajaților

Utilizarea mijloacelor de monitorizare (video, GPS, IT) trebuie realizată cu respectarea strictă a GDPR.

Companiile trebuie să:

  • justifice necesitatea monitorizării

  • utilizeze metode proporționale

  • informeze angajații în mod clar

  • evite soluțiile excesiv intruzive

Monitorizarea fără o bază legală clară este una dintre cele mai frecvente surse de sancțiuni.

Relația cu furnizorii și împuterniciții

Dacă datele angajaților sunt prelucrate de terți (ex: servicii HR, IT), compania trebuie să:

  • selecteze furnizori care oferă garanții de securitate

  • încheie contracte de prelucrare a datelor (DPA)

  • monitorizeze activitatea acestora

Responsabilitatea finală rămâne la operator.

Evidența și documentarea prelucrărilor

Companiile trebuie să poată demonstra conformitatea.

Acest lucru implică:

  • registrul activităților de prelucrare

  • politici interne documentate

  • proceduri pentru incidente de securitate

  • dovezi privind instruirea angajaților

Lipsa documentației poate atrage sancțiuni chiar și în absența unui incident.

Gestionarea incidentelor de securitate

În cazul unei breșe de securitate, compania trebuie:

  • să identifice rapid incidentul

  • să limiteze impactul

  • să notifice autoritatea (dacă este necesar)

  • să informeze persoanele afectate (în anumite situații)

Un plan de răspuns la incidente este esențial.

Prelucrarea datelor angajaților implică un nivel ridicat de responsabilitate. Companiile trebuie să adopte o abordare structurată, bazată pe prevenție, transparență și control.

Respectarea GDPR nu se rezumă la documente formale, ci presupune implementarea reală a unor procese și măsuri care să protejeze datele personale în mod efectiv.

Popescu Felix 0 Comments
nov. 6 2025
Sancțiune pentru încălcarea Legii nr. 506/2004 privind protecția vieții private în sectorul comunicațiilor electronice

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna octombrie 2025, o investigație la un operator, constatând încălcarea dispozițiilor art. 4 alin. (5) lit. a) și b) din Legea nr. 506/2004, care reglementează prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.
Ca urmare, compania a fost sancționată cu amendă în valoare de 30.000 lei.

Investigația a fost declanșată în urma unei sesizări depuse de o persoană fizică, referitoare la o posibilă încălcare a legislației privind protecția datelor personale. În cursul verificărilor, ANSPDCP a constatat că, pe site-ul operatorului, au fost stocate module cookies neesențiale (care nu sunt strict necesare funcționării tehnice a platformei), fără o informare clară și completă și fără consimțământul expres al utilizatorilor.

Prin urmare, autoritatea a concluzionat că operatorul a încălcat obligațiile prevăzute de art. 4 alin. (5) lit. a) și b) din Legea 506/2004, care impun operatorilor să asigure obținerea consimțământului înainte de stocarea sau accesarea informațiilor pe echipamentele utilizatorilor, precum și să furnizeze o informare completă privind scopurile utilizării cookie-urilor.

 Recomandări urgente pentru operatori

Pentru a evita sancțiuni similare, recomandăm implementarea următoarelor măsuri imediate:

  1. Auditarea bannerului de cookie-uri și a politicii de confidențialitate – verificați dacă sistemul de consimțământ respectă cerințele GDPR și Legea 506/2004.

  2. Implementarea unui mecanism valid de consimțământ – consimțământul trebuie să fie explicit, documentat și ușor de retras de către utilizator.

  3. Actualizarea documentației interne – includeți în registrul de prelucrare (ROPA) procesele care implică cookie-uri și tehnologii de tracking.

  4. Monitorizarea continuă a setărilor tehnice ale site-ului – evitați încărcarea automată a cookie-urilor non-esențiale înainte de acordul utilizatorului.

  5. Instruirea personalului și a echipei web – asigurați-vă că echipa de marketing și IT înțelege cerințele legale privind consimțământul.

  6. Consultanță periodică DPO / audit GDPR – solicitați verificări lunare privind conformitatea platformelor online.

📞 Pentru asistență specializată în alinierea site-urilor și aplicațiilor la cerințele GDPR și Legea 506/2004, contactați echipa noastra.

Vrei să afli dacă site-ul tău respectă legislația privind cookie-urile și confidențialitatea datelor?
Solicită acum un audit gratuit de conformitate cookie GDPRCompletează formularul de contact »

Adriana Ceausescu 0 Comments
oct. 24 2025
GDPR Fines Key Causes and Insights

A recent analysis of GDPR fines in Romania and EU reveals which compliance failures are most commonly leading to sanctions. The data shows a clear pattern: security-related issues top the list of causes for fines, followed by problems with consent and data subject rights.

Breakdown of Fines by Cause

  • Security breaches / Inadequate security measures – 12 fines (≈40% of total fines)

  • Lack of proper consent (e.g. for cookies or marketing) – 6 fines (≈20%)

  • Failure to respect data subjects’ rights – 5 fines (≈15%)

  • Unlawful processing (no valid legal basis) – 4 fines (≈13%)

  • Lack of transparency towards data subjects – 3 fines (≈10%)

  • Violation of data minimization principle – 1 fine (≈2%)

Read More

Adriana Ceausescu 0 Comments
oct. 23 2025
Analiza amenzilor GDPR – 1 septembrie – 31 octombrie 2025

În intervalul 1 septembrie – 31 octombrie 2025, autoritățile europene de protecție a datelor (inclusiv ANSPDCP în România) au aplicat numeroase amenzi GDPR, totalizând aproximativ €500 milioane. Perioada a fost marcată de sancțiuni record (ex. ~€480 milioane doar în septembrie 2025[1]) și a scos în evidență principalele cauze ale încălcărilor: breșe de securitate și măsuri de securitate inadecvate, nerespectarea consimțământului (ex. cookie-uri), precum și ignorarea drepturilor persoanelor vizate. De asemenea, au fost sancționate prelucrări de date fără temei legal (incluzând lipsa consimțământului valid) și încălcarea principiilor de transparență și minimizare a datelor. Tabelul de mai jos rezumă distribuția categoriilor de încălcări identificate: Read More

Adriana Ceausescu 0 Comments
oct. 16 2025
Retrospectivă amenzi GDPR – septembrie 2025

În luna septembrie 2025, autoritățile naționale pentru protecția datelor din UE au anunțat mai multe sancțiuni importante pentru încălcarea GDPR. Tabelul de mai jos prezintă cronologic aceste amenzi (inclusiv sancțiunile aplicate de ANSPDCP în România), cu detalii despre dată, autoritatea care a aplicat amenda, entitatea sancționată, valoarea amenzii, motivul și link-ul către sursa oficială a informației. Read More

Adriana Ceausescu 0 Comments
oct. 12 2025
25.000 Euro – Amenda primita de EON si anuntata de ANSPDCP pe 10 octombrie

Pe 10 octombrie 2025 ANSPDCP  a anuntat o noua sancțiune pentru neconformitatea cu Regulamentul GDPR – un semnal clar pentru companii: securitatea datelor nu mai este opțională

Într-un nou caz care subliniază importanța conformității, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o amendă de 25.000 euro unei companii pentru încălcarea prevederilor art. 32 din Regulamentul (UE) 2016/679 (GDPR) privind securitatea prelucrării datelor. Read More

Adriana Ceausescu 0 Comments
iul. 7 2025
25.000 EUR amendă pentru un partid politic

În luna iunie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o sancțiune semnificativă în valoare totală de 25.000 EUR unui partid politic, pentru încălcări grave ale Regulamentului General privind Protecția Datelor (GDPR). Cazul aduce în prim-plan riscurile reale la care se expun organizațiile care nu asigură protecția adecvată a datelor personale ale cetățenilor.

Contextul investigației

Read More

Adriana Ceausescu 0 Comments
iul. 4 2025
GDPR Fine for Cookies Installed Without Consent

A cookie is a small text file stored on a user’s device when visiting a website. These modules aim to retain information about user preferences and activity, thereby facilitating a personalized browsing experience. According to the General Data Protection Regulation (GDPR), cookies are considered personal data as they can indirectly identify an individual through unique identifiers associated with their device.

For instance, if a cookie collects information about a person’s online behavior (pages visited, products searched), this data can be combined with other existing information to create a detailed user profile, allowing for indirect identification of the individual.

Recently, the National Authority for Supervision of Personal Data Processing (ANSPDCP) sanctioned a company with a fine of 20,000 lei for violating the provisions regarding personal data processing and privacy protection in the electronic communications sector (Law no. 506/2004).

The investigation was initiated following a complaint from an individual who claimed that an online store had breached GDPR provisions.

During the investigation, ANSPDCP found that the company’s website installed cookie modules (such as those used for marketing and statistical purposes), which were not technically necessary, without previously obtaining user consent.

In addition to the imposed fine, the authority mandated a corrective measure, requiring the website to reconfigure cookie settings so that these modules are activated exclusively after explicit user consent is given.

This case underscores the importance of adhering to legal requirements regarding clear and explicit user consent, especially when processing personal data via cookies.

Companies managing websites are thus encouraged to review and update their consent mechanisms to avoid sanctions and ensure complete transparency toward users.

For additional details and specific recommendations on GDPR compliance, please contact us.

 

Adriana Ceausescu 0 Comments