Evoluții în protecția datelor în România: sancțiuni și recomandări (martie 2026)
Ultima săptămână din martie 2026 a adus noi decizii importante în domeniul protecției datelor cu caracter personal în România. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat sancțiuni semnificative și a emis recomandări cruciale pentru operatorii
Renault sancționat cu 125.000 euro pentru încălcarea securității datelor
Pe 25 martie 2026, ANSPDCP a anunțat sancționarea companiei RENAULT COMMERCIAL ROUMANIE S.R.L. cu amendă de 637.262,50 lei (125.000 euro). Investigarea a fost declanșată după o notificare de încălcare a securității datelor, rezultată dintr-un atac cibernetic asupra unei aplicații gestionate prin împuternicit.
Autoritatea a constatat accesarea și divulgarea neautorizată a unui volum impresionant de date personale, inclusiv: nume, prenume, numere de telefon, adrese, date de identificare și informații profesionale. Încălcările identificate se referă la articolul 32 alineatele (1) lit. b), d) și (2) corelat cu articolul 28 alineatul (1) din GDPR, privind implementarea insuficientă a măsurilor de securitate și selecția necorespunzătoare a împuterniciților.
ING Bank amendată pentru divulgarea neautorizată a extraselor de cont
În aceeași zi, 25 martie 2026, ING Bank NV Amsterdam – Sucursala București a primit o amendă de 20.388 lei (4.000 euro). Sancțiunea a fost aplicată pentru divulgarea unui extras de cont către o persoană neautorizată, cauzată de măsuri tehnice și organizatorice insuficiente de protecție a datelor.
Prelucrarea excesivă a datelor angajaților atrage amendă
Pe 20 martie 2026, compania Domeniul Public și Privat SA a fost sancționată cu 3.000 euro pentru mai multe încălcări ale GDPR. Printre acestea se numără utilizarea nejustificată a camerelor de corp pentru monitorizarea angajaților, informarea incompletă a acestora despre prelucrarea datelor și dezvăluirea neautorizată a datelor personale ale unui angajat către medicul său de familie.
Avertisment ANSPDCP pentru sistemul de recunoaștere facială
ARRISE LIVE SRL a primit pe 12 martie 2026 un avertisment oficial din partea ANSPDCP cu privire la intenția de a implementa un sistem de securitate bazat pe recunoaștere facială pentru accesul angajaților. Autoritatea a apreciat că această prelucrare a datelor biometrice nu îndeplinește cerințele de legalitate, necesitate și proporționalitate prevăzute de GDPR. Sistemul nu fusese încă implementat la momentul controlului.
Opinie comună EDPB privind legislația de securitate cibernetică
Pe 24 martie 2026, ANSPDCP a anunțat adoptarea unei opinii comune de către Comitetul European pentru Protecția Datelor (EDPB) și Autoritatea Europeană pentru Protecția Datelor (EDPS) privind pachetul legislativ de securitate cibernetică (CSA 2) și modificarea Directivei NIS 2. Decizia a fost luată în cadrul ședinței plenare EDPB din 18 martie 2026.
Aceste dezvoltări recente demonstrează vigilența continuă a autorităților române și europene în aplicarea regulilor de protecție a datelor, cu accent pe securitatea informațiilor și respectarea drepturilor persoanelor vizate. Operatorii sunt îndemnați să revizuiască practicile lor pentru a se conforma cerințelor GDPR.