Retrospectivă amenzi GDPR – septembrie 2025
În luna septembrie 2025, autoritățile naționale pentru protecția datelor din UE au anunțat mai multe sancțiuni importante pentru încălcarea GDPR. Tabelul de mai jos prezintă cronologic aceste amenzi (inclusiv sancțiunile aplicate de ANSPDCP în România), cu detalii despre dată, autoritatea care a aplicat amenda, entitatea sancționată, valoarea amenzii, motivul și link-ul către sursa oficială a informației.
Amenzi GDPR anunțate în septembrie 2025
| Data publicării | Țara / Autoritate | Entitatea sancționată | Valoarea amenzii | Motivul sancțiunii (pe scurt) | Sursa oficială |
| 01.09.2025 | România – ANSPDCP | La Fântâna S.R.L. | 50.693 lei (≈10.000 €) | Nerespectarea măsurilor de securitate (art. 32 GDPR) în urma unui atac cibernetic ce a expus date de card ale clienților[1]. | Comunicat ANSPDCP 01.09.2025[1] |
| 03.09.2025 | Franța – CNIL | Google LLC & Google Ireland Ltd. | 325.000.000 € | Afișarea de reclame în Gmail fără consimțământul utilizatorilor și plasarea de cookie-uri publicitare fără consimțământ valid[2]. | Comunicat CNIL 03.09.2025[2] |
| 03.09.2025 | Franța – CNIL | Infinite Styles Services Ltd. (SHEIN) | 150.000.000 € | Încălcarea regulilor privind cookie-urile – plasarea de trackere fără consimțământul prealabil al utilizatorilor pe site-ul shein.com[3]. | Comunicat CNIL 03.09.2025[3] |
| 05.09.2025 | Estonia – Andmekaitse Inspektsioon (DPI) | Allium UPI OÜ (operatorul programului de loialitate Apotheka) | 3.000.000 € | Măsuri de securitate insuficiente care au dus la o breșă de date masivă (datele a ~750.000 de clienți expuse în urma accesului neautorizat la baza de date)[4]. | Comunicat DPI Estonia 05.09.2025[4] |
| 09.09.2025 | România – ANSPDCP | Unita Turism Holding S.A. | 25.368 lei (≈5.000 €) | Securitate neadecvată a datelor (art. 32 GDPR); în urma unui atac informatic au fost divulgate neautorizat date ale angajaților (nume, CNP, date medicale/financiare)[5]. | Comunicat ANSPDCP 09.09.2025[6] |
| 18.09.2025 | România – ANSPDCP | Dr. Max S.R.L. | 5.057,8 lei (≈1.000 €) | Neîndeplinirea obligațiilor privind drepturile persoanei vizate – operatorul nu a răspuns la cererea de ștergere a datelor și a reținut copia actului de identitate fără consimțământ[7]. | Comunicat ANSPDCP 18.09.2025[8] |
| 23.09.2025 | Franța – CNIL | Samaritaine SAS | 100.000 € | Supraveghere video ascunsă a angajaților – instalarea de camere disimulate (sub formă de senzori de fum) în încăperile de rezervă ale magazinului, fără informarea corespunzătoare a personalului (încălcând principiul transparenței și legalității prelucrării)[9]. | Comunicat CNIL 23.09.2025[9] |
| 25.09.2025 | România – ANSPDCP | S.C. PRIMONET RO S.R.L. | 101.544 lei (≈20.000 €) | Încălcarea securității datelor (art. 32 GDPR) – un atac cibernetic a compromis datele cardurilor bancare ale unui număr semnificativ de clienți, din cauza măsurilor de securitate inadecvate implementate de operator[10]. | Comunicat ANSPDCP 25.09.2025[10] |
| 25.09.2025 | Italia – Garante Privacy (GPDP) | Comune di Langhirano | 12.000 € | Publicarea ilegală pe portalul de transparență al primăriei a datelor cu caracter personal din cererile cetățenilor (peste 1.400 de solicitări conținând nume, detalii și informații sensibile afișate online fără anonimizare)[11]. | Anunț Garante Privacy 25.09.2025[11] |
Note: Toate informațiile de mai sus au fost preluate din surse oficiale ale autorităților de protecție a datelor (comunicate de presă sau decizii publicate pe site-urile acestora) și reflectă sancțiunile GDPR făcute publice în cursul lunii septembrie 2025. Fiecare sancțiune evidențiază importanța respectării Regulamentului (UE) 2016/679, de la asigurarea securității datelor personale până la respectarea drepturilor persoanelor vizate și a regulilor privind consimțământul. În luna septembrie 2025, autoritățile europene au demonstrat o abordare fermă, aplicând amenzi semnificative atât pentru incidente de securitate, cât și pentru practici ilegale de prelucrare a datelor, subliniind necesitatea conformării riguroase la cerințele GDPR[12][13].
[1] Comunicat_Presa_01.09.2025
https://www.dataprotection.ro/?page=Comunicat_Presa_01.09.2025
[2] Publicités insérées entre les courriels et cookies : la CNIL sanctionne GOOGLE d’une amende de 325 millions d’euros | CNIL
[3] Cookies déposés sans consentement : la CNIL sanctionne SHEIN d’une amende de 150 millions d’euros | CNIL
[4] Allium UPI jättis kliendiandmed kaitseta – 3 miljoni euro suurune trahv | Andmekaitse Inspektsioon
https://www.aki.ee/uudised/allium-upi-jattis-kliendiandmed-kaitseta-3-miljoni-euro-suurune-trahv
[5] [6] Comunicat_Presa_09_09_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_09_09_2025
[7] [8] Comunicat_Presa_18_09_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_18_09_2025&lang=ro
[9] Caméras dissimulées : la CNIL sanctionne la SAMARITAINE | CNIL
https://www.cnil.fr/fr/cameras-dissimulees-la-cnil-sanctionne-la-samaritaine
[10] Comunicat_Presa_25_09_2025
https://www.dataprotection.ro/?page=Comunicat_Presa_25_09_2025&lang=ro
[11] Trasparenza sì, ma nel rispetto della privacy: il Garante sanziona un Comune per la pubblicazione illecita di dati personali – PA33
[12] [13] Top 5 GDPR Fines in September 2025: Critical Compliance Lessons for Your Organization