Comitetul European pentru Protecția Datelor (European Data Protection Board - EDPB) a publicat raportul anual de activitate pentru 2025, intitulat "Clarity in Action: Supporting stakeholders through guidance and dialogue". Anul a fost marcat de Declarația de la Helsinki privind simplificarea aplicării RGPD, de trei ghiduri noi și primul set de ghiduri comune cu Comisia Europeană, precum și de amenzi cumulate de peste 1,145 miliarde de euro aplicate în întreaga Uniune Europeană și Spațiul Economic European. România apare cu 102 amenzi, totalizând 437.000 de euro, și cu două cazuri transfrontaliere în care ANSPDCP a acționat ca autoritate de supraveghere principală. Raportul oferă operatorilor și responsabililor cu protecția datelor din România un reper detaliat pentru prioritățile de conformitate ale anului 2026.
1. EDPB: rolul instituțional și activitatea din 2025
Comitetul European pentru Protecţia Datelor reunește autorităţile naţionale de supraveghere din Uniunea Europeană și din Spaţiul Economic European, cu rolul de a asigura aplicarea consecventă a Regulamentului General privind Protecţia Datelor. Deciziile și ghidurile sale nu au caracter direct obligatoriu pentru operatori, dar orientează, în practică, modul în care fiecare autoritate naţională inclusiv ANSPDCP - interpretează și aplică RGPD.
1.1. Structura, bugetul și resursele Comitetului
Activitatea EDPB este susţinută de un secretariat propriu, integrat administrativ în structura Autorităţii Europene pentru Protecţia Datelor (EDPS), dar aflat sub instrucţiunile exclusive ale Președintelui Comitetului. În 2025, secretariatul a numărat 47 de angajaţi și a organizat peste 500 de reuniuni, continuând tendinţa anului anterior. Bugetul adoptat pentru 2025 s-a ridicat la 8,823 milioane de euro, alocat activităţii de reglementare, litigiilor și cooperării dintre autorităţi. Secretariatul a redactat sau contribuit, în cursul anului, la 21 de opinii proprii și la alte opt opinii comune.
Pe partea de infrastructură tehnică, secretariatul a răspuns la peste 800 de solicitări de suport privind sistemul IMI (Internal Market Information) și la peste 10.000 de solicitări pe ansamblul sistemelor IT ale EDPB, o creștere semnificativă faţă de cele 4.200 de solicitări înregistrate în 2024 - un indiciu al intensificării cooperării digitale dintre autorităţile naţionale.
1.2. Litigii, transparență și protecția datelor proprii ale EDPB
Comitetul a fost parte în 15 cauze aflate pe rolul Curţii de Justiţie a Uniunii Europene în 2025, majoritatea vizând platforme digitale de mari dimensiuni (Meta Platforms Ireland, WhatsApp Ireland, TikTok Technology), și a intervenit într-o a șaisprezecea cauză, în sprijinul Autorităţii Europene pentru Protecţia Datelor. Niciuna dintre aceste cauze nu privește direct operatori din România, însă soluţiile pronunţate de CJUE în aceste dosare influenţează interpretarea RGPD la nivelul întregii Uniuni, inclusiv al autorităţii de supraveghere române.
Pe partea de transparenţă instituţională, EDPB a primit 20 de cereri de acces la documente, dintre care șase au generat cereri confirmatorii, fără nicio sesizare a Ombudsmanului European. În calitate de operator propriu de date, EDPB a gestionat 12 cereri individuale întemeiate pe
drepturile prevăzute de art. 17-24 din Regulamentul (UE) 2018/1725, precum și nouă incidente de securitate a datelor, dintre care unul a necesitat notificarea propriei autorităţi de supraveghere, EDPS.
2. Declarația de la Helsinki: simplificare fără compromisuri
Punctul de reper al anului a fost întâlnirea la nivel înalt de la Helsinki, din 1-2 iulie 2025, unde EDPB a adoptat Declaraţia privind claritatea, sprijinul și implicarea sporită. Președinta EDPB, Anu Talus, a subliniat, în cuvântul de deschidere al raportului, că simplificarea reglementărilor nu trebuie confundată cu o reducere a protecţiei drepturilor fundamentale ale persoanelor vizate.
2.1. Cele patru direcții de acțiune
Declaraţia de la Helsinki stabilește patru direcţii de acţiune, fiecare cu obiective concrete pentru perioada 2025-2026:
- simplificarea aplicării RGPD ghiduri mai clare, concise și practice, împreună cu șabloane standardizate (notă de informare, registru de prelucrări) utile organizaţiilor mici și mijlocii.
- consolidarea consecvenţei și a cooperării în materie de aplicare a legii inclusiv un raport privind eventualele inconsecvenţe dintre ghidarea naţională și cea europeană, anunţat pentru începutul anului 2026.
- un dialog mai activ cu părţile interesate implicare timpurie în procesul de consultare publică și raportare periodică asupra rezultatelor consultărilor.
- cooperare mai strânsă cu celelalte reglementări digitale ale Uniunii ghiduri comune privind interacţiunea RGPD cu DSA, DMA și, din 2026, cu Actul privind Inteligenţa Artificială.
Până la finalul anului 2025, Comitetul raportează progrese pe toate cele patru direcţii: ghidurile comune adoptate împreună cu Comisia Europeană, un eveniment dedicat părţilor interesate pe tema anonimizării și pseudonimizării, organizat în decembrie 2025, și lucrul pregătitor pentru setul de șabloane standardizate.
2.2. Dezbaterea privind "Digital Omnibus" și poziția EDPB
În paralel cu eforturile proprii de simplificare, Comisia Europeană a lansat, în 2025, propunerea "Digital Omnibus", menită să reducă sarcina administrativă pentru întreprinderile mici și mijlocii, inclusiv prin modificarea derogării de la obligaţia de a ţine un registru al activităţilor de prelucrare, prevăzută de art. 30 alin. (5) RGPD. EDPB și EDPS au adoptat, la 8 iulie 2025, o opinie comună prin care au susţinut obiectivul general al propunerii, condiţionat de păstrarea neafectată a principiilor esenţiale ale RGPD și a drepturilor persoanelor vizate. Cele două instituţii au atras atenţia asupra necesităţii ca derogarea de la obligaţia de evidenţă să nu se aplice prelucrărilor susceptibile de a genera un risc ridicat pentru drepturile persoanelor.
3. Ghidurile și recomandările adoptate în 2025
EDPB a adoptat, în 2025, trei ghiduri noi, un ghid definitivat în urma consultării publice, două seturi de recomandări și primul set de ghiduri comune elaborate împreună cu Comisia Europeană un total de șapte documente de orientare relevante pentru practica de zi cu zi a operatorilor și a responsabililor cu protecţia datelor.
| Document | Dată adoptare |
Obiect |
|---|---|---|
| Ghidurile 1/2025 | 16 ianuarie 2025 |
Pseudonimizarea, ca măsură de siguranţă pentru protecţia prin design și securitatea datelor. |
| Document | Dată adoptare |
Obiect |
|---|---|---|
| Ghidurile 02/2025 | 8 aprilie 2025 | Prelucrarea datelor prin tehnologii blockchain; recomandă evitarea stocării datelor personale în lanţ. |
| Ghidurile 3/2025 | 11 septembrie 2025 |
Interacțiunea dintre Digital Services Act (DSA) și RGPD, pentru platformele online. |
| Ghidurile 02/2024 (versiune finală) |
4 iunie 2025 | Art. 48 RGPD - răspunsul la cererile de transfer de date venite din partea autorităților din state terțe. |
| Ghiduri comune EDPB–Comisia Europeană |
9 octombrie 2025 |
Interacțiunea dintre Digital Markets Act (DMA) și RGPD, pentru operatorii de platforme centrale (gatekeepers). |
| Recomandările 1/2025 | 11 februarie 2025 |
Compatibilitatea Codului Mondial Anti-Doping 2027 (WADA) cu RGPD. |
| Recomandările 2/2025 | 4 decembrie 2025 |
Condițiile în care site-urile de comerț electronic pot impune crearea unui cont de utilizator. |
3.1. Pseudonimizare, blockchain și interacțiunea cu legislația digitală europeană
Ghidurile 1/2025 privind pseudonimizarea clarifică rolul acestei tehnici drept măsură de siguranță pentru protecția prin design și securitatea prelucrărilor, fără a o echivala cu anonimizarea. Ghidurile 02/2025 privind tehnologiile blockchain analizează diferitele arhitecturi posibile și recomandă, ca regulă generală, evitarea stocării directe a datelor cu caracter personal în lanțul de blocuri, dată fiind imutabilitatea acestuia - o caracteristică greu de conciliat cu drepturile de rectificare și ștergere prevăzute de RGPD.
Ghidurile 3/2025 privind interacțiunea dintre Digital Services Act și RGPD reprezintă primul document al Comitetului dedicat exclusiv raportului dintre RGPD și o altă reglementare digitală europeană. Documentul clarifică modul în care principiile RGPD se aplică mecanismelor de raportare a conținutului ilegal, sistemelor de recomandare, transparenței publicității și măsurilor de protecție a minorilor pe platformele online, inclusiv interzicerea publicității bazate pe profilarea acestora. Ghidurile comune cu Comisia Europeană privind Digital Markets Act, adoptate în octombrie 2025, urmăresc un obiectiv similar pentru operatorii de platforme centrale de mari dimensiuni, clarificând, printre altele, condițiile de consimțământ valabil impuse de art. 5 alin. (2) din DMA pentru combinarea datelor între diferite servicii.
3.2. Recomandările privind WADA și crearea conturilor pe site-urile de comerț electronic
Recomandările 1/2025 evaluează compatibilitatea Codului Mondial Anti-Doping 2027 cu RGPD, la solicitarea Comisiei Europene, și semnalează, în continuare, rezerve privind temeiul juridic al prelucrării, limitarea scopului și atribuirea clară a rolurilor între organizațiile antidoping. Recomandările 2/2025, adoptate la finalul anului, vizează o problemă frecventă în practica operatorilor din comerțul electronic: condițiile în care poate fi impusă crearea unui cont de utilizator. EDPB recomandă, ca regulă generală, ca site-urile de comerț electronic să ofere alternativa unei achiziții fără cont ("mod invitat"), în acord cu principiile protecției prin design și al minimizării datelor, admițând totuși excepții justificate - de exemplu, pentru serviciile pe bază de abonament.
4. Puterile corective ale autorităților naționale: peste 1,1 miliarde de euro în amenzi
Autorităţile naţionale de supraveghere dispun de o gamă de măsuri corective: avertismente, mustrări, dispoziţii de conformare și, în cazurile mai grave, amenzi. În 2025, valoarea cumulată a amenzilor aplicate de toate autorităţile din Uniune și din Spaţiul Economic European a atins 1.145.760.374 de euro.
| Autoritate | Număr amenzi | Valoare totală |
|---|---|---|
| Irlanda | 4 | 530.773.000 € |
| Franţa | 84 | 486.854.500 € |
| Germania (toate landurile) | 499 | 48.117.083 € |
| Spania | 324 | 45.203.465 € |
| Italia | 190 | 14.977.860 € |
| Croaţia | 13 | 6.725.500 € |
| Finlanda | 3 | 3.765.000 € |
| Estonia | 5 | 3.088.100 € |
| Grecia | 24 | 1.582.000 € |
| Olanda | 4 | 1.205.000 € |
| România | 102 | 437.000 € |
| Slovacia | 542 | 468.953 € |
| Bulgaria | 81 | 782.532 € |
| TOTAL (toate autorităţile UE/SEE) | - | 1.145.760.374 € |
4.1. Analiza comparativă pe autorități
Cifrele arată un peisaj eterogen. Irlanda conduce clasamentul valoric, deși a aplicat doar patru amenzi - reflectând sancţiunile aplicate marilor platforme digitale, cu sediul european în această ţară, urmată de Franţa, cu 84 de amenzi și aproape 487 de milioane de euro. La polul opus, Slovacia a aplicat cele mai multe amenzi ca număr (542), urmată de Germania (499), semn al unei activităţi de control extinse la operatori mici și mijlocii, nu doar la platformele mari.
România a înregistrat, în 2025, 102 amenzi, totalizând 437.000 de euro - un profil moderat, situat sub media europeană atât ca număr, cât și ca valoare individuală a sancţiunilor, comparabil cu autorităţi precum Ungaria sau Polonia. Separat, în cadrul mecanismului de opinii de consecvenţă prevăzut de art. 64 alin. (1) RGPD, EDPB a emis 29 de opinii în 2025, ajungând la un total de 217 opinii adoptate din 2018 până în prezent.
4.2. Cooperarea transfrontalieră și mecanismul ghișeului unic
Pentru cazurile cu componentă transfrontalieră, autorităţile naţionale cooperează prin mecanismul "ghișeului unic" (One-Stop-Shop), prevăzut de art. 60 RGPD. EDPB raportează, pentru 2025, 414 cazuri transfrontaliere înregistrate în baza de date IMI și 1.299 de proceduri declanșate prin acest mecanism, dintre care 572 s-au finalizat prin decizii. Un semnal notabil: în 2025 nu a fost adoptată nicio decizie obligatorie în temeiul art. 65 sau 66 din RGPD - mecanismul folosit pentru soluţionarea dezacordurilor dintre autorităţi atunci când cooperarea directă eșuează. EDPB interpretează acest fapt ca dovadă a unei cooperări mai eficiente la nivel naţional, fără a fi nevoie de intervenţia Comitetului.
5. România în raportul EDPB
Raportul include o secţiune dedicată selecţiei de cazuri naţionale relevante, în care România apare atât cu date statistice proprii, cât și cu două speţe transfrontaliere în care autoritatea română a acţionat ca autoritate de supraveghere principală (Lead Supervisory Authority).
5.1. Activitatea de sancționare a ANSPDCP
Cu 102 amenzi aplicate în 2025, totalizând 437.000 de euro, ANSPDCP se situează printre autorităţile europene cu o activitate de control constantă, dar cu sancţiuni de valoare individuală relativ redusă - o medie de aproximativ 4.280 de euro per amendă, mult sub media europeană, influenţată puternic de amenzile aplicate marilor platforme digitale de către autorităţile irlandeză și franceză.
5.2. Cele două cazuri transfrontaliere cu România ca autoritate principală
- Klass Wagen S.R.L. (sectorul închirierilor auto) o notificare de încălcare a securităţii datelor cu caracter personal, analizată între ianuarie și octombrie 2025, cu autorităţi concernate din 13 state membre, finalizată cu o amendă administrativă și o măsură corectivă.
- Data Diggers Market Research S.R.L. (comunicaţii electronice) un caz privind informarea persoanelor vizate, dreptul de acces și legalitatea prelucrării, instrumentat între februarie 2023 și aprilie 2025, cu autorităţi concernate din șase state membre, finalizat cu trei amenzi administrative și o măsură corectivă.
Ambele cazuri confirmă un aspect adesea subestimat de operatorii români: chiar și societăţi de dimensiuni medii, active pe piaţa internă, pot genera proceduri transfrontaliere complexe, de îndată ce prelucrarea afectează persoane vizate din alte state membre - de exemplu, clienţi sau participanţi la sondaje din străinătate.
6. Priorități pentru 2026 și implicații practice pentru operatorii din România
6.1. Agenda legislativă 2026
Raportul anunţă o agendă densă pentru 2026, cu impact direct asupra activităţii de conformitate a operatorilor și responsabililor cu protecţia datelor din România:
- Ghidurile comune EDPB-Comisia Europeană privind interacţiunea dintre Actul privind Inteligenţa Artificială și RGPD, așteptate în cursul anului.
- Un raport dedicat evaluărilor de impact asupra protecţiei datelor (DPIA), menit să semnaleze inconsecvenţele dintre listele naţionale și ghidarea europeană.
- Finalizarea consultării publice pe tema blockchain și publicarea versiunii finale a ghidurilor 02/2025.
- Un șablon comun, la nivel european, pentru notificarea încălcărilor de securitate a datelor către autorităţile de supraveghere.
- Un atelier de lucru al autorităţilor naţionale pe tema soluţionării plângerilor, programat pentru martie 2026, precum și un nou eveniment dedicat anonimizării și pseudonimizării.
6.2. Ce înseamnă aceste priorități pentru operatorii români
- Operatorii care utilizează sisteme de inteligenţă artificială ar trebui să urmărească îndeaproape ghidurile EDPB-Comisia Europeană privind interacţiunea AI Act-RGPD, pentru a evita o dublă conformare costisitoare, aplicată tardiv.
-
Instituţiile și companiile care nu au realizat încă evaluări de impact (DPIA) pentru prelucrările cu risc ridicat ar trebui să anticipeze clarificările anunţate pentru 2026, dar să nu amâne o evaluare deja obligatorie conform art. 35 RGPD.
-
Site-urile de comerţ electronic ar trebui să revizuiască, în lumina Recomandărilor 2/2025, fluxul de creare a contului, oferind, acolo unde este posibil, opţiunea de achiziţie fără cont.
- Operatorii cu activitate transfrontalieră, chiar și indirectă, ar trebui să evalueze corect autoritatea de supraveghere principală aplicabilă, având în vedere complexitatea mecanismului ghișeului unic ilustrată de cazurile românești.
- Toţi operatorii ar trebui să monitorizeze publicarea, pe parcursul anului 2026, a șablonului comun de notificare a încălcărilor de securitate, pentru a-și actualiza procedurile interne de răspuns la incidente.
7. Concluzii
Raportul anual al EDPB pe 2025 confirmă o direcţie dublă, aparent contradictorie, dar coerentă în fapt: reguli mai simple de aplicat pentru operatori, în special pentru întreprinderile mici și mijlocii, dar cu aceleași garanţii pentru persoanele vizate, într-un context în care inteligenţa artificială devine, tot mai vizibil, subiectul central al reglementării europene pentru anii următori.
Pentru operatorii din România, semnalele din raport sunt clare: o activitate de control constantă a ANSPDCP, o cooperare europeană tot mai eficientă, care reduce nevoia deciziilor obligatorii ale EDPB, și o agendă legislativă 2026 densă, ce va impune actualizarea procedurilor interne de conformitate - de la evaluările de impact, la notificarea incidentelor de securitate și la interacţiunea cu Actul privind Inteligenţa Artificială.
Cifrele-cheie ale anului 2025
1.145.760.374 € - valoarea cumulată a amenzilor aplicate în UE/SEE de toate autorităţile de supraveghere.
102 amenzi și 437.000 € - activitatea de sancţionare a ANSPDCP în România.
29 de opinii de consecvenţă adoptate în baza art. 64 RGPD, dintr-un total de 217 din 2018 încoace.
0 decizii obligatorii adoptate în 2025 - semn al unei cooperări mai eficiente între autorităţile naţionale.
Vă pregătiți compania pentru prioritățile de conformitate ale anului 2026?
EMSAPHIR oferă servicii complete de consultanţă RGPD, aliniate permanent la ghidurile EDPB și la practica ANSPDCP: audituri de conformitate, desemnare DPO extern, evaluări de impact asupra protecţiei datelor (DPIA), proceduri interne de notificare a incidentelor de securitate și pregătire pentru interacţiunea dintre RGPD și noile reglementări digitale europene, inclusiv Actul privind Inteligenţa Artificială.
Actualizarea procedurilor interne înainte de intrarea în vigoare a noilor ghiduri europene reduce semnificativ riscul de sancţiuni și asigură continuitatea activităţii.
Pentru o evaluare a nivelului de conformitate al organizaţiei dumneavoastră, contactaţi echipa EMSAPHIR la contact@emsaphir.ro sau prin formularul de pe emsaphir.ro.
Notă: Prezentul articol are caracter informativ și de sinteză și nu constituie consultanță privind protecția datelor cu caracter personal individualizată. Analiza se bazează exclusiv pe raportul anual public al EDPB menționat mai jos.
Referință: European Data Protection Board, "Clarity in Action: Supporting stakeholders through guidance and dialogue" - Annual Report 2025, disponibil pe edpb.europa.eu.