În 2021, ANSPDCP a efectuat 694 de investigații, în urma a 5.000 de plângeri, sesizări sau notificări, și a aplicat 36 de amenzi cu o valoare totală de circa 75.000 de euro. Cuantumul amenzilor aplicate este mai mic decât jumătatea celor date în 2020, care s-au ridicat la 180.000 euro.

Cele mai frecvente încălcări ale GDPR-ului descoperite de Autoritate au vizat divulgarea neautorizată a datelor cu caracter personal. Fie că este vorba despre transmiterea unor date inexacte sau neactualizate către un terț, a unor date ce nu priveau destinatarul final, trimise către destinatari greșiți, operatorii au fost amendați deoarece nu au implementat măsuri adecvate pentru asigurarea unui nivel de securitate corespunzător riscului de prelucrare și nu și-au instruit suficient de bine angajații privind responsabilitățile pe care le au pentru respectarea GDPR.

Instruirea angajaților în spiritul GDPR nu este opțională, ci este o obligație care reiese explicit din întregul cuprins al Regulamentului general privind protecția datelor. Pentru ca salariații să respecte regulile în domeniul GDPR, aceștia trebuie să cunoască și să înțeleagă foarte bine atribuțiilor pe care le au în privința protecției datelor, dar și să aplice măsurile de securitate adoptate la nivelul companiilor. 

Ca exemple, ANSPDCP menționează, în raportul său de activitate, trimiterea, prin email, a unei liste cu datele personale din dosarele de daună a 54 de persoane, divulgarea a peste 11.000 de date ale unor persoane fizice ce foloseau serviciul de Internet Banking sau publicarea pe o platformă dedicată a unor desene ale copiilor, depuse în cadrul unui concurs, însoțite de datele cu caracter personal cuprinse în formularul de participare (numele, prenumele și vârsta minorilor, numele, prenumele, orașul, țara, emailul, numărul de marcă al angajaților societății și semnătura olografă a părintelui/tutorelui legal).

Și dezvăluirea neautorizată a datelor în cazul unui magazin online a fost sancționată de ANSPDCP. În urma unei sesizări, s-a descoperit că pe un site, prin accesarea unui link, se puteau descoperi documentele de transport, care însoțesc expedierea coletelor, și datele cu caracter personal ale clienților unui magazin online, precum nume, prenume, numere de telefon, adrese de reședință și adresele locurilor de muncă. Investigația a scos la iveală faptul că societatea care deținea site-ul nu a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate potrivit riscului prelucrării, nefiind respectat principiul GDPR al "integrității și confidențialității". 

O altă situație pe care Autoritatea a scos-o în evidență în raportul său despre activitate din 2021 face referire la distrugerea datelor cu caracter personal ale clienților unei societăți financiar-bancare de către angajatul persoanei împuternicite de operator. Autoritatea națională de supraveghere a efectuat o investigație la persoana împuternicită de operator și a constatat că, urmare a efectuării a 1.372 de prescoringuri de către un agent de vânzări, angajat al persoanei împuternicite de către instituția financiar-bancară, a fost distrusă documentația originală aferentă prescoringurilor, deși aceasta trebuia predată de agent, fiind vizate datele a peste 1.000 de persoane fizice.

Și prelucrarea nelegală a datelor prin intermediul unui site aparținând unei persoane fizice a fost sancționată anul trecut. Autoritatea a descoperit că, prin intermediul unui site ce permitea generarea declarației pe propria răspundere pentru deplasarea în afara locuinței pe perioada stării de urgență, operatorul, persoană fizică, nu a putut prezenta dovezi din care să rezulte că a prelucrat în mod legal datele cu caracter personal, colectate și stocate pe site, nu a prezentat dovezi din care să rezulte că a asigurat informarea persoanelor vizate în legătură cu prelucrarea datelor lor personale, colectate prin intermediul site-ului și nu a efectuat configurările necesare împotriva accesării neautorizate prin intermediul internetului.

De pe altă parte, o societate a fost amendată deoarece prelucra datele personale ale angajaților, mai exact datele biometrice, pentru realizarea accesului și pontajului acestora. Autoritatea a stabilit că operatorul nu a respectat principiul reducerii la minimum a datelor, scopul urmărit, acela de a da acces și de a ponta angajații, putându-se realiza în mijloace mai puțin intruzive pentru viața privată a angajaților.

O altă prelucrare neautorizată prin intermediul sistemului de supraveghere video, de această dată, a fost amendată cu 5.000 de euro. Autoritatea a descoperit că operatorul montase sisteme de supraveghere audio-video în interiorul birourilor, fără a face dovada obținerii consimțământului persoanelor vizare, necesității îndeplinirii unei obligații legale și fără a respecta principiul obligației de a prelucra datele în mod legal, echitabil și transparent față de persoanele vizate.