 |
|
Protecția datelor cu caracter personal Retrospectivă 2025
|
| 2025 – Sinteză Protecția datelor cu caracter personal | ||
| Evoluțiile GDPR din 2025 au demonstrat, la nivel european, o atenție sporită acordată aplicării transfrontaliere a legii, integrării inteligenței artificiale (IA) și simplificării administrative. Printre schimbările esențiale s-au numărat noile reguli procedurale menite să eficientizeze termenele de investigație, propunerea „Digital Omnibus” destinată facilitării păstrării evidențelor pentru companiile mai mici (până la 750 de angajați) și orientările/ghidurile specifice privind antrenarea modelelor de inteligență artificială, inclusiv recunoașterea „interesului legitim” ca temei juridic, sub rezerva implementării garanțiilor adecvate.
|
| GDPR – Dezvoltări-cheie și tendințe în 2025 | Intenția declarată a Comisiei Europene în domeniul Protecției datelor personale a fost ca întreprinderile din Europa, de la fabrici la start-up-uri, să alocemai puțin timp pentru îndeplinirea sarcinilor administrative și de asigurare a conformității și să dispună de mai mult timp pentru inovare și extindere, precum și alinierea GDPR cu alte norme în domeniul digital.
Autoritățile de supraveghere au păstrat în 2025 un ritm crescut de sancționare (amenzi cumulate de aproximativ 1,2 mld. EUR la nivel european), confirmând că riscul reprezentat de neconformare rămâne în primul rând unul operațional și financiar. Totodată, analiza datelor furnizate de autoritățile europene de supraveghere a protecției datelor relevă o creștere anuală de 22% a numărului de încălcări ale securității datelor cu caracter personal notificate, ajungând la o medie de 443 de notificări pe zi. EDPB a continuat să clarifice, prin ghiduri, intersecția GDPR cu Digital Services Act și Digital Markets Act („DSA”/„DMA”) și a abordat teme emergente precum prelucrarea datelor prin tehnologii blockchain și transferurile de date către autorități din state terțe. Totodată, EDPB a prezentat două noi proiecte ale Fondului de Sprijin al Experților („SPE”), care oferă direcții privind utilizarea inteligenței artificiale și protecția datelor. În paralel, EDPB și-a orientat tot mai mult activitatea către drepturile persoanelor vizate, lansând pentru 2025 acțiunea coordonată Coordinated Enforcement Framework („CEF”) axată pe dreptul la ștergere („right to be forgotten”), după ce, în 2024, s-au desfășurat acțiuni coordonate cu privire la dreptul de acces. În România, temele recurente semnalate de ANSPDCP (și reflectate constant în comunicatele de sancțiuni din 2025) au fost dezvăluiri de date în mediul online, supraveghere video, nerespectarea drepturilor persoanelor vizate, lipsa implementării măsurilor tehnice și organizatorice adecvate, precum și comunicări comerciale nesolicitate, respectiv încălcări ale principiilor GDPR. Noul pachet de măsuri în domeniul digital a fost prezentat de Comisia Europeană la 19.11.2025. |
|
|
|
||
| Declarația nr. 01/2025 privind asigurarea în ce privește vârsta | Declarația adoptată în cadrul plenarei din 11 februarie 2025 oferă îndrumări referitoare la metodele utilizate pentru a determina vârsta sau intervalul de vârstă al unei persoane în mediul online, cunoscute sub denumirea de „asigurarea în ce privește vârsta“. Scopul principal este de a proteja copiii în mediul digital, asigurându-se în același timp respectarea drepturilor fundamentale și a legislației privind protecția datelor cu caracter personal. | |
|
Ghidul nr. 02/2025 privind prelucrarea datelor cu caracter personal prin intermediul tehnologiilor blockchain
|
Prin acest Ghid, EDPB explică funcționarea tehnologiilor blockchain și analizează diferite arhitecturi, arătând implicațiile lor asupra prelucrării datelor cu caracter personal. Subliniază că măsurile tehnice și organizatorice trebuie integrate încă din faza de proiectare a prelucrării (privacy by design/by default). În plus, prezintă tehnici de minimizare a datelor și de gestionare/stocare a datelor cu caracter personal. Ca regulă generală, recomandă evitarea stocării datelor cu caracter personal direct pe blockchain, în special atunci când aceasta intră în conflict cu principiile protecției datelor. |
|
|
DMA și GDPR: CEPD și Comisia Europeană aprobă orientări comune pentru clarificarea punctelor de contact comune
|
La 9 octombrie 2025, EDPB și Comisia Europeană au avizat orientări comune privind interacțiunea dintre Digital Markets Act („DMA”) și GDPR – primele ghiduri elaborate în comun de cele două instituții – cu scopul de a asigura o aplicare coerentă a celor două cadre legislative și de a spori certitudinea juridică pentru operatorii desemnați „controlori de acces” (gatekeepers), pentru utilizatorii comerciali și pentru persoanele vizate. Orientările clarifică, în special, modul în care acești controlori de acces pot implementa obligațiile prevăzute de „DMA” în acord cu GDPR, inclusiv cerințele relevante pentru a oferi opțiuni reale și specifice utilizatorilor și pentru a obține un consimțământ valabil. |
|
|
EDPB publică versiunea finală a Ghidului privind transferurile de date către autorități din state terțe |
Referitor la transferul de date către state terțe, ca regulă generală, un acord internațional poate oferi atât un temei juridic, cât și un motiv (sau temei) pentru transfer. EDPB subliniază că hotărârile din țări terțe nu sunt automat recunoscute în Europa și că transferurile de date pot avea loc, în lipsa unui acord internațional adecvat, doar în circumstanțe excepționale și de la caz la caz. |
|
|
|
||
|
Tiktok Technology Limited |
Autoritatea Irlandeză pentru Protecția Datelor („DPC”) a aplicat TIKTOK TECHNOLOGY LIMITED o amendă în cuantum de 530 milioane EUR pentru încălcări ale prevederilor GDPR. Ca urmare a investigației, s-a constatat că operatorul a transferat în mod ilegal date cu caracter personal către o țară terță și a încălcat obligația de transparență. În concret, clauzele contractuale standard acceptate de utilizatori la crearea contului pe platformă împreună cu măsurile suplimentare implementate nu oferă un nivel de protecție al datelor cu caracter personal echivalent cu cel garantat de GDPR. De asemenea, operatorul nu a informat persoanele vizate din SEE că datele acestora sunt stocate pe servere din China. Investigația a fost demarată în urma unor sesizări. |
|
|
Google LLC
|
Autoritatea Franceză pentru Protecția Datelor („DPA”) a aplicat GOOGLE LLC. o amendă în cuantum de 200 milioane EUR pentru încălcări ale Legii franceze „Loi Informatique et Libertés” și ale Codului poștal și al comunicațiilor electronice („CPCE”). Ca urmare a investigației, s-a constatat că operatorul a conceput mecanismul de obținere a consimțământului pentru cookie-uri astfel încât nu putea fi exprimat un consimțământ liber și informat. Astfel, persoana vizată putea alege doar între serviciul gratuit, care implica marketing personalizat, și o versiune cu plată, fără acest marketing. De asemenea, operatorul și-a conceput serviciul de e-mail astfel încât reclamele să poată fi afișate în zone în care persoanele vizate găsesc, de regulă, e-mailurile primite. Investigația a fost demarată în urma unei plângeri. |
|
|
Poczta Polska S.A. (Poșta poloneză) |
Autoritatea Poloneză pentru Protecția Datelor („UODO”) a aplicat Poczta Polska S.A. (Poșta poloneză) o amendă în cuantum de aprox. 6,44 milioane EUR și Ministrului Digitalizării o amendă de aprox 23.380,00 EUR pentru încălcări ale prevederilor GDPR. Ca urmare a investigației, s-a constatat că operatorul a prelucrat date cu caracter personal în lipsa unei baze legale. Astfel, în contextul pregătirilor pentru alegerile prezidențiale din 2020, la cererea Poștei poloneze, Ministrul Digitalizării a transferat date din registrul PESEL privind aproximativ 30 de milioane de persoane vizate, reprezentând aproximativ 80% din populația Poloniei. Aceste date au fost apoi prelucrate, în mod ilegal, de serviciul poștal. Investigația a fost demarată în urma transmiterii de către operator a unei notificări de încălcare a securității datelor. |
|
|
Aena, S.M.E., S.A. |
Autoritatea Spaniolă de Protecție a Datelor („AEPD”) a aplicat Aena, S.M.E., S.A. o amendă în cuantum de 10.043.002 EUR pentru încălcări ale prevederilor GDPR. Ca urmare a investigației, s-a constatat că operatorul nu a realizat, anterior începerii prelucrării, evaluarea impactului asupra protecției datelor. Operatorul a derulat un proiect pilot în mai multe aeroporturi, care a presupus utilizarea unor sisteme de recunoaștere facială (prelucrare de date biometrice, categorie specială de date). Cu toate acestea, operatorul nu a realizat, anterior începerii prelucrării, o Evaluare a impactului asupra protecției datelor (DPIA), deși prelucrarea era susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate. Investigația a fost demarată în urma unei plângeri. |
|
|
|
||
|
Webrasoft SRL |
WEBRASOFT SRL – amendă în cuantum de 99.518,00 LEI (echivalentul a 20.000 EUR) pentru încălcarea prevederilor Art. 32 alin. (1) lit. b) și d) și Art. 32 alin. (2) GDPR. Ca urmare a investigației, s-a constatat faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului reprezentat de prelucrare. În concret, datele cu caracter personal (nume, prenume, cod numeric personal, adresa de domiciliu, telefonul, adresa de e-mail, numărul de cont bancar) aparținând unui număr semnificativ de clienți au fost accesate de o persoană neautorizată, în urma unui atac informatic asupra serverului operatorului pe care era stocată baza de date a clienților. Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor. |
|
|
Partidul alianța pentru unirea românilor („AUR”) |
PARTIDUL ALIANȚA PENTRU UNIREA ROMÂNILOR („AUR”) – amendă în cuantum de 126.467,5 LEI (echivalentul a 25.000 EUR) pentru încălcarea prevederilor Art. 32 alin. (1) lit. b) și d) și alin. (2) coroborat cu art. 25 alin. (1) și (2) și Art. 5 alin. (1) lit. c) și alin. (2) raportat la Art. 6 alin. (1) din GDPR. Ca urmare a investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare și a prelucrat în mod ilegal date cu caracter personal. În concret, date cu caracter personal (numele și prenumele, numărul de telefon, adresa de e-mail, adresa de reședință, codul numeric personal, data nașterii, naționalitatea, cetățenia, sexul, religia, profesia etc.) aparținând unui număr foarte mare de persoane vizate, au fost divulgate în mod neautorizat în urma unui atac cibernetic asupra aplicatiei aur.mobi deținută de operator. De asemenea, Autoritatea Electorală Permanentă a semnalat prelucrarea in mod neautorizat de date cu caracter personal (nume, prenume, serie și număr CI, adresa de domiciliu, data nașterii, email, număr de telefon, semnătură) prin platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro pentru un număr semnificativ de persoane vizate. Investigația a fost demarată ca urmare a două notificări de încălcare a securității datelor. |
|
|
Data Diggers Market Research S.R.L. |
DATA DIGGERS MARKET RESEARCH S.R.L. – amendă în cuantum de 59.726,40 LEI (echivalentul a 12.000 EUR) pentru încălcarea prevederilor Art. 15 și Art. 14 raportate la Art. 12 alin. (1) și Art. 6 alin. (1) din GDPR. Ca urmare a investigației, s-a constatat că operatorul a prelucrat în mod ilegal date cu caracter personal. Astfel, operatorul nu a furnizat petenților informații complete ca urmare a exercitării dreptului de acces la datele personale. Mai mult, acesta nu a furnizat nici la momentul primei comunicări cu petenții informațiile pe care acesta era obligat să le comunice. Investigația a fost demarată ca urmare a sesizărilor venite din partea altor două autorități pentru protecția datelor din UE, cu privire la plângerile formulate de două persoane fizice din aceste țări împotriva operatorului. |
|
|
Unicredit Bank S.A. |
UNICREDIT BANK S.A. – amendă în cuantum de 74.652 de LEI (echivalentul a 15.000 EUR) pentru încălcarea prevederilor Art. 25 alin. (1) din GDPR. Ca urmare a investigației, s-a constatat faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare. Astfel, atât soluția de comunicare a clienților cu operatorul, cât și aplicația acestuia de creare nume de utilizator au fost implementate fără efectuarea unei testări prealabile într-un mediu de test, fapt ce a condus la divulgarea neautorizată a datelor cu caracter personal aparținând unui număr semnificativ de clienți ai operatorului. Investigația a fost demarată ca urmare a transmiterii de către operator a două notificări de încălcare a securității datelor cu caracter personal. |
|
|
|
|
|
|
|
În acest context legislativ dinamic, organizațiile sunt nevoite să adopte o abordare proactivă și structurată în ceea ce privește conformitatea cu normele de protecție a datelor, asigurând atât reziliența operațională, cât și alinierea la standardele europene în continuă evoluție. Evoluțiile din 2025 – de la consolidarea aplicării transfrontaliere a legii până la noile orientări privind IA, blockchain și transferurile internaționale de date – subliniază importanța integrării considerentelor legate de confidențialitate în procesele de administrare, tehnologie și luare a deciziilor comerciale.
|
|
|
|
||
