Schedule Consultation

Avocat GDPR București Conformitate și Protecția Datelor

GDPR nu este doar un set de documente pe care le pui pe site și uiți de ele. Este un cadru juridic viu, cu obligații continue, termene stricte și sancțiuni care pot ajunge la 4% din cifra de afaceri globală anuală sau 20 de milioane de euro oricare dintre acestea este mai mare.

Multe companii descoperă că nu sunt conforme abia când primesc o notificare de la ANSPDCP sau când un angajat, un client sau un partener depune o plângere. În acel moment, timpul de reacție este critic.

La Sava Law Firm, asistăm companii din toate sectoarele  magazine online, firme SaaS, companii cu date medicale sau HR, și operatori internaționali cu activitate în România atât în construirea conformității GDPR de la zero, cât și în apărarea lor în fața ANSPDCP și a instanțelor.

Solicită o evaluare juridică
Sună la +40 720 530 400

Ce servicii oferim

Audit GDPR și conformitate

Primul pas în orice relație cu un client nou este să înțelegem unde se află cu adevărat față de cerințele GDPR — nu față de ce cred că respectă. Realizăm audituri juridice complete ale activităților de prelucrare a datelor și identificăm lacunele care generează risc real.
Auditul acoperă:

  • identificarea și cartografierea tuturor activităților de prelucrare a datelor personale
  • verificarea existenței și corectitudinii temeiului juridic pentru fiecare prelucrare
  • analiza registrului activităților de prelucrare (obligatoriu pentru majoritatea companiilor)
  • evaluarea măsurilor tehnice și organizatorice implementate
  • verificarea relațiilor cu persoanele împuternicite și a contractelor DPA existente
  • analiza procedurilor interne de răspuns la incidente și la solicitările persoanelor vizate
  • raport scris cu constatări, riscuri prioritizate și plan de remediere

Drafting Privacy Policies Redactare politici de confidențialitate și cookie Cookie Policies

O politică de confidențialitate copiată de pe un alt site sau generată automat cu un tool online nu îți oferă protecție juridică reală. ANSPDCP verifică dacă politica reflectă efectiv activitățile de prelucrare ale companiei tale — și o politică generică poate deveni ea însăși un motiv de sancțiune.
Redactăm și actualizăm:

  • politici de confidențialitate adaptate specific activității tale
  • politici de utilizare a cookie-urilor conforme cu cerințele ANSPDCP și EDPB
  • notificări de prelucrare pentru angajați, clienți și parteneri
  • formulare de consimțământ valide din punct de vedere legal
  • politici interne de protecție a datelor pentru uz intern

Contracte cu operatori și persoane împuternicite (DPA)

Orice relație în care transmiți date personale unui terț un furnizor de software, o platformă de email marketing, un procesator de plăți, un contabil extern trebuie reglementată printr-un contract de prelucrare a datelor (Data Processing Agreement). Absența acestuia este una dintre cele mai frecvente constatări în investigațiile ANSPDCP.
Redactăm și revizuim:

  • contracte DPA conforme cu art. 28 GDPR
  • clauze contractuale standard pentru transferuri internaționale de date
  • acorduri între operatori asociați (joint controllers)
  • clauze GDPR în contractele comerciale generale

Răspuns la incident de date (Breach Response)

Un incident de securitate care implică date personale un atac cibernetic, un email trimis greșit, un laptop pierdut, un acces neautorizat trebuie evaluat și notificat ANSPDCP în termen de 72 de ore de la descoperire, dacă există risc pentru persoanele vizate. Acest termen nu poate fi prelungit.
Asistăm companiile în:

  • evaluarea imediată a incidentului și a riscului asociat
  • decizia motivată privind obligația de notificare
  • redactarea și transmiterea notificării către ANSPDCP
  • comunicarea către persoanele vizate afectate, dacă este obligatorie
  • redactarea și transmiterea notificării către ANSPDCP
  • implementarea măsurilor pentru prevenirea recurenței

Consultanță și răspuns la cererile persoanelor vizate

Persoanele ale căror date le prelucrezi au drepturi concrete: dreptul de acces, de rectificare, de ștergere, de portabilitate, de opoziție. Nerespectarea acestor drepturi în termenul legal de o lună poate genera plângeri la ANSPDCP și investigații.
Asistăm companiile în:

  • implementarea procedurilor de primire și gestionare a cererilor
  • analiza și formularea răspunsurilor la cereri complexe sau contestate
  • evaluarea temeiurilor de refuz al cererilor și documentarea lor
  • apărarea în cazul plângerilor depuse la ANSPDCP privind nerespectarea drepturilor

DPO Externalizat Responsabil cu Protecția Datelor

Anumite categorii de operatori sunt obligate prin lege să numească un Responsabil cu Protecția Datelor (DPO). Chiar și când numirea nu este obligatorie, un DPO externalizat oferă expertiză continuă la un cost incomparabil mai mic decât un angajat dedicat.
Serviciul nostru de DPO externalizat include:

  • formally taking on the DPO role and registering with ANSPDCP
  • continuous monitoring of GDPR compliance
  • point of contact for ANSPDCP and for data subjects
  • internal advisory for teams involved in data processing
  • participation in Data Protection Impact Assessments (DPIA) for high-risk processing
  • updating documentation in line with legislative changes and EDPB guidelines

Contestarea amenzilor ANSPDCP

O investigație ANSPDCP finalizată cu o sancțiune nu este neapărat o decizie definitivă. Sancțiunile pot fi contestate în contencios administrativ, atât pe fondul faptelor reținute, cât și pe proporționalitatea amenzii aplicate.
Intervenim pentru:

  • negocierea reducerii sancțiunii în cadrul procedurilor administrative
  • apărarea în fața instanțelor de contencios administrativ
  • formularea contestației administrative și a acțiunii în instanță
  • negocierea reducerii sancțiunii în cadrul procedurilor administrative

Cum lucrăm

Evaluare
inițială
rapidă

Înainte de orice angajament, îți oferim o evaluare scurtă a principalelor riscuri GDPR specifice activității tale fără costuri și fără obligații.

Plan de conformitate prioritizat

Nu toate riscurile sunt egale. Construim un plan de remediere care tratează mai întâi vulnerabilitățile, apoi pe cele cu impact mediu și scăzut.

Documentație juridică
solidă

Fiecare document politică, contract, procedură este redactat specific pentru activitatea ta, nu dintr-un șablon generic.

Suport continuu

GDPR nu este un proiect cu dată de finalizare este o obligație continuă. Rămânem alături de clienții noștri pe termen lung, cu actualizări la fiecare modificare legislativă sau de orientare ANSPDCP.

De ce ne aleg clienții

De ce clienții aleg Sava Law Firm
pentru GDPR

Expertiză juridică, nu doar consultanță IT

GDPR este în primul rând drept, nu tehnologie. Asistența noastră este juridică politici care rezistă în fața ANSPDCP, contracte valide, apărare reală în investigații și litigii.

DPO externalizat cu disponibilitate reală

Nu suntem un nume pe o hârtie. Când ANSPDCP sau o persoană vizată contactează DPO-ul tău, răspundem prompt și competent.

Experiență în toate sectoarele relevante

Lucrăm cu magazine online, companii SaaS, operatori cu date medicale și HR, și companii internaționale — fiecare cu specificul și riscurile lor proprii.

Apărare completă în investigații

Dacă ANSPDCP deschide o investigație, nu îți oferim doar sfaturi te reprezentăm activ în fața autorității și, dacă este necesar, în instanță.

FAQ-uri

Întrebări frecvente

Obligația de numire a unui DPO există pentru autoritățile publice, pentru operatorii care efectuează monitorizare sistematică la scară largă și pentru cei care prelucrează la scară largă categorii speciale de date (medicale, biometrice, genetice, date privind condamnări penale). Chiar dacă nu ești obligat, numirea voluntară a unui DPO externalizat este o decizie înțeleaptă dacă prelucrezi volume semnificative de date personale.

ANSPDCP a aplicat amenzi de la câteva mii de euro până la sute de mii de euro, în funcție de gravitatea încălcării, numărul de persoane afectate, cooperarea operatorului și măsurile luate după incident. Amenzile maxime prevăzute de GDPR sunt 20 milioane euro sau 4% din cifra de afaceri globală anuală.

Contactează-ne imediat. O notificare de deschidere a unei investigații declanșează termene scurte de răspuns. Reacția promptă și corectă în primele zile poate influența semnificativ rezultatul investigației inclusiv dacă aceasta se finalizează cu o sancțiune sau cu un avertisment.

Da, dacă ești operator de date și incidentul generează un risc pentru drepturile și libertățile persoanelor vizate. Termenul curge din momentul în care ai luat cunoștință de incident nu din momentul în care ai decis că este grav. De aceea, evaluarea imediată este esențială.

Nu. Politica de confidențialitate este doar unul dintre elementele conformității. GDPR impune și registrul activităților de prelucrare, contracte DPA cu furnizorii, proceduri interne de răspuns la incidente, mecanisme pentru exercitarea drepturilor persoanelor vizate și în anumite cazuri evaluări de impact (DPIA). Conformitatea este un sistem, nu un document.

Solicită o evaluare juridică

Vrei să știi unde te afli cu adevărat față de cerințele GDPR sau ai primit o notificare de la ANSPDCP?

răspundem în maximum 24 de ore în zilele lucrătoare.

Solicită o evaluare juridică
Sună la +40 720 530 400