Amenzile GDPR lovesc acum direct companiile de hosting

Pana acum, amenzile GDPR cadeau aproape exclusiv pe capul companiilor care colecteaza datele — asa-numitii controlleri. Furnizorii de hosting, cloud si SaaS erau considerati simpli procesatori si scapau de obicei nevatamati. In 2025, lucrurile s-au schimbat fundamental.

Doua decizii importante — una din Marea Britanie si una din Franta — au stabilit un precedent clar: companiile de hosting si SaaS pot fi amendate direct pentru incalcari ale GDPR, chiar daca datele apartin clientilor lor.

Cazul 1: Advanced Computer Software Group — £3,07 milioane (UK)

In martie 2025, ICO (Information Commissioner's Office) din Marea Britanie a amendat compania Advanced Computer Software Group cu £3,07 milioane. Advanced furniza servicii IT pentru NHS (sistemul national de sanatate britanic).

In august 2022, un atac ransomware a compromis sistemele subsidiare ale companiei. Rezultatul: 82.946 de persoane afectate, inclusiv fise medicale si detalii de acces la domiciliu pentru 890 de pacienti ingrijiti acasa.

Ce a gasit ICO:

• Lipsa autentificarii multi-factor (MFA) pe sisteme care contineau date de sanatate
• Scanare de vulnerabilitati inadecvata
• Management deficitar al patch-urilor de securitate
• Incalcarea Articolului 32 UK GDPR — masuri tehnice si organizatorice insuficiente

Amenda provizorie fusese de £6,1 milioane, dar a fost redusa la jumatate dupa negociere. Important de retinut: Advanced nu colecta datele pacientilor — le procesa in numele NHS. Si totusi, amenda a cazut pe ei.

Cazul 2: Mobius Solutions — 1 milion € (Franta)

In decembrie 2025, CNIL (autoritatea franceza de protectia datelor) a amendat Mobius Solutions Ltd cu 1 milion €. Mobius este o companie SaaS care furniza servicii de date pentru Deezer, platforma de streaming muzical.

Investigatia, care a durat 3 ani (noiembrie 2022 — decembrie 2025), a descoperit ca Mobius a pastrat si folosit datele personale a peste 46 de milioane de utilizatori Deezer dupa incheierea contractului, fara nicio instructiune din partea clientului.

Incalcarile constatate:

• Retinerea datelor dupa terminarea contractului — incalcarea Art. 28(3)(g)
• Procesarea datelor in afara instructiunilor controllerului — incalcarea Art. 28(3)(a)
• Lipsa registrului de activitati de procesare — incalcarea Art. 30

Practic, Mobius a folosit datele utilizatorilor Deezer pentru a-si imbunatati propriul serviciu — fara permisiune si fara nicio baza legala.

Ce inseamna asta pentru industria de web hosting

Pana in 2025, furnizorii de hosting puteau argumenta ca responsabilitatea pentru datele personale apartine exclusiv clientilor. Aceste doua cazuri spulbera aceasta aparare.

Cifrele la nivel european sunt elocvente: in 2025, autoritatile de supraveghere au primit peste 160.000 de notificari de brese — aproximativ 443 pe zi, o crestere de 22% fata de anul anterior. Totalul amenzilor GDPR a ajuns la 7,1 miliarde € pana in ianuarie 2026, cu aproximativ 1,2 miliarde € aplicate anual in 2024 si 2025.

Un alt caz relevant: Vodafone Germania a primit in iunie 2025 o amenda de 45 milioane €, din care 15 milioane explicit pentru supravegherea inadecvata a procesatorilor sai de date.

Mesajul este clar: daca esti furnizor de hosting, cloud sau SaaS, nu mai poti spune «nu e treaba mea, eu doar gazduiesc datele». Autoritatile de reglementare se uita acum si la tine.

Ce ar trebui sa faci daca ai un site web

1. Verifica furnizorul de hosting — are certificari de securitate? Ofera autentificare MFA? Cum gestioneaza patch-urile?
2. Citeste DPA-ul (Data Processing Agreement) — multi furnizori il ofera, dar putini clienti il citesc. Asigura-te ca este semnat si actualizat.
3. Asigura-te ca site-ul tau este compliant — cookie-urile, formularele de contact, analytics — toate trebuie sa respecte GDPR.
4. Monitorizeaza regulat — conformitatea nu e un task pe care il bifezi o data. Regulile se schimba, cookie-urile se adauga, plugin-urile se actualizeaza.

Amenzi GDPR si in Romania

Daca te intereseaza situatia din Romania, am scris un articol detaliat despre amenzile GDPR din Romania — ce risti si cum te protejezi in 2026. Acolo gasesti exemple concrete de companii romanesti amendate de ANSPDCP, sumele aplicate si ce greseli sa eviti.

Verifica daca site-ul tau este compliant

Ai un site si nu esti sigur daca respecta regulile GDPR privind cookie-urile? Foloseste Scanner-ul nostru gratuit de cookies pentru a verifica in cateva secunde ce cookie-uri seteaza site-ul tau, care sunt necesare si care necesita consimtamantul utilizatorilor. Primesti un raport complet cu recomandari de conformitate — fara sa fie nevoie sa fii expert in legislatie.