Retrospectiva amenzilor GDPR aplicate între 1 și 23 octombrie 2025 în România și UE.
| 09.10.2025 | EON Energie Romania S.A. | 126.797 lei (≈25.000 €)[1] | Art. 32 alin. (1) lit. b) și alin. (2) | Breșă de securitate: acces neautorizat la conturi de utilizatori (e-mail și parole) din cauza lipsei măsurilor tehnice și organizatorice adecvate (încălcarea confidențialității datelor)[2]. |
| 13.10.2025 | Vellea Home S.R.L. | 25.376 lei (≈5.000 €)[3] | Art. 32 alin. (1) lit. b) și alin. (2) | Breșă de securitate provocată de un atac informatic, ce a condus la acces neautorizat la datele clienților; operatorul nu implementase măsuri de securitate adecvate (lipsă măsuri tehnice și organizatorice corespunzătoare riscului)[4]. |
| 16.10.2025 | PRIME TRANSACTION S.A. | 10.162,2 lei (≈2.000 €)[5] | Art. 32 alin. (1) lit. b) și d) și alin. (2) | Breșă de securitate cauzată de un atac cibernetic (9–10.06.2025) cu expunerea unui volum mare de date personale (nume, CNP, venituri etc.); operatorul nu a implementat măsuri suficiente și nu a testat periodic eficacitatea lor, încălcând cerințele de securitate (art. 32)[6]. |
| 20.10.2025 | S.P.E.E.H. Hidroelectrica S.A. | 25.392 lei (≈5.000 €)[7] | Art. 32 alin. (1) lit. b) și d) și alin. (4) | Breșă de securitate: trimiterea eronată a unei facturi către alt client din cauza unei erori tehnice a sistemului informatic, ceea ce a dus la divulgarea neautorizată a datelor mai multor clienți (nume, adresă, date contractuale etc.) – indică lipsa unor măsuri tehnice adecvate și a controalelor interne necesare[8]. |
| 22.10.2025 | Agency for Control of Outstanding Debts S.R.L. | 10.192 lei (≈2.000 €)[9] | Art. 12 alin. (3)–(4) și art. 15 alin. (3) | Nerespectarea dreptului de acces al persoanei vizate: operatorul nu a răspuns în termen legal solicitării de acces la date și nu a furnizat o copie a datelor (înregistrări audio), nici motivele refuzului, încălcând obligațiile de transparență și acces la date[10]. |
Uniunea Europeană
| Data comunicării | Entitatea sancționată | Suma amenzii | Articol GDPR încălcat | Natura încălcării |
| 17.10.2025 | Experian Nederland (Țările de Jos) | 2,7 milioane €[11] | Principiul legalității și transparenței (ex. art. 6 și art. 12–14) | Prelucrare ilegală a datelor personale pentru scoruri de credit fără un temei legal valid și fără informarea adecvată a persoanelor vizate (încălcare a obligațiilor de informare și a principiului legalității)[11]. |
| 01.10.2025 | O bancă nespecificată (Italia) | 100.000 €[12] | Art. 12 alin. (3) și (4) | Întârziere nejustificată în soluționarea unei cereri de acces la date: banca nu a furnizat clientului, victimă a unei fraude, în termenul legal înregistrările convorbirilor telefonice solicitate și nici motivele întârzierii, încălcând termenele și obligațiile prevăzute de GDPR privind dreptul de acces[13]. |
| 22.10.2025 | O instituție de învățământ (școală) – director (Italia) | ~20.000 €[14] | Art. 5(1)(a) și art. 6(1) (lipsă consimțământ) | Divulgare nelegală de date personale ale elevilor: directorul școlii a publicat online listele cu componența claselor (nume ale elevilor și clasa) fără consimțământul părinților sau al elevilor majori, încălcând principiile de protecție a datelor (prelucrare fără temei legal, contrar cerințelor GDPR)[15]. |
| 13.10.2025 | 16 entități diverse (Franța, procedură simplificată) | Total 108.000 € (amenzi între 3.000 € și 20.000 €)[16] | Art. 5(1)(b)–(c) și art. 31 (RGPD); art. 6 (consimțământ, via legislația ePrivacy) | Multiple investigații ale CNIL finalizate cu sancțiuni privind: supraveghere video excesivă la locul de muncă (camere ascunse sau filmare nejustificată a angajaților/elevilor – încălcarea principiului minimizării datelor)[17]; trimiterea de comunicări comerciale nesolicitate fără consimțământul destinatarlor (încălcarea obligației de a obține consimțământul pentru marketing direct); precum și necooperarea cu autoritatea de supraveghere (refuzul de a răspunde solicitărilor CNIL – încălcarea obligației de cooperare)[18]. (Fiecare entitate a fost amendată între ~3.000 € și 20.000 € în funcție de gravitatea cazului, însumând ~108.000 €)[16]. |
Surse oficiale: ANSPDCP – Comunicate de presă ale autorității din România (amenzi din octombrie 2025)[1][10];
Autorități naționale din UE – comunicări oficiale (ex: Autoriteit Persoonsgegevens[11], Garante Privacy[13], CNIL[16]).
[1] [2] Comunicat_Presa_09_10_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2025&lang=ro
[3] [4] Comunicat_Presa_13_10_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_13_10_2025&lang=ro
[5] [6] Comunicat_Presa_16.10.2025
https://www.dataprotection.ro/?page=Comunicat_Presa_16.10.2025&lang=ro
[7] [8] Comunicat_Presa_20_10_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_20_10_2025&lang=ro
[9] [10] Comunicat_Presa_22_10_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_22_10_2025&lang=ro
[11] Experian krijgt boete van 2,7 miljoen euro voor privacyovertredingen | Autoriteit Persoonsgegevens
[12] [13] Sanzione del Garante Privacy alla Banca che non fornisce tempestivamente al cliente le registrazioni delle chiamate con il servizio clienti – Studio Claudio Scognamiglio Avvocati
[14] [15] Privacy a scuola: pubblicati online elenchi delle classi, sanzione al DS – Scuolalink
[16] [17] [18] La CNIL prononce 16 nouvelles sanctions dans le cadre de la procédure simplifiée | CNIL