De la intrarea în vigoare a Regulamentului General privind Protecția Datelor în mai 2018, GDPR a devenit unul dintre cele mai discutate și mai puțin înțelese acte normative din mediul de afaceri european. Multe companii din România au reacționat la GDPR prin adăugarea unui banner de cookie-uri pe site și publicarea unei politici de confidențialitate — și au considerat că sunt conforme.
Nu sunt.
Conformitatea GDPR este un sistem continuu de obligații juridice, nu un proiect cu dată de finalizare. Acest ghid îți explică ce înseamnă conformitatea GDPR în practică, ce documente și proceduri sunt obligatorii, ce riscuri există și cum te pregătești pentru un eventual control al ANSPDCP.
1. Ce este GDPR și cui se aplică în România
GDPR — Regulamentul (UE) 2016/679 — este un regulament european cu aplicabilitate directă în toate statele membre ale Uniunii Europene, inclusiv România. Spre deosebire de directive, regulamentul nu necesită transpunere în legislația națională — se aplică direct și uniform în toată UE.
În România, autoritatea de supraveghere responsabilă cu aplicarea GDPR este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — ANSPDCP.
Cui se aplică GDPR
GDPR se aplică oricărei organizații care prelucrează date cu caracter personal ale persoanelor fizice aflate în Uniunea Europeană, indiferent de dimensiunea organizației, de sectorul de activitate sau de locul în care organizația este stabilită.
Concret, GDPR se aplică:
– companiilor din afara UE care oferă bunuri sau servicii persoanelor din UE sau care le monitorizează comportamentul
-oricărei companii românești care prelucrează date ale clienților, angajaților sau partenerilor persoane fizice
– organizațiilor nonprofit, asociațiilor și fundațiilor
– liber-profesioniștilor și persoanelor fizice autorizate care prelucrează date în activitatea profesională
Ce sunt datele cu caracter personal
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Această definiție este extrem de largă și include numele și prenumele, adresa de email, numărul de telefon, adresa poștală, codul numeric personal, adresa IP, datele de localizare, cookie-urile de identificare, fotografiile și imaginile video, datele biometrice și orice altă informație care permite identificarea directă sau indirectă a unei persoane.
2. Cele 6 principii fundamentale ale GDPR
GDPR este construit pe șase principii fundamentale care guvernează orice activitate de prelucrare a datelor personale. Nerespectarea acestor principii este baza majorității sancțiunilor aplicate de autoritățile de supraveghere.
Principiul legalității, echității și transparenței: prelucrezi datele doar în baza unui temei juridic valid, în mod corect față de persoanele vizate și cu informarea lor transparentă asupra prelucrării.
Principiul limitării scopului: colectezi datele pentru scopuri determinate, explicite și legitime și nu le prelucrezi ulterior într-un mod incompatibil cu aceste scopuri. Nu poți colecta date cu un scop și să le folosești pentru altul.
Principiul minimizării datelor: colectezi doar datele care sunt adecvate, relevante și limitate la ce este necesar pentru scopul prelucrării. Nu colectezi date pe care nu le folosești.
Principiul exactității: datele personale trebuie să fie exacte și, acolo unde este necesar, actualizate. Datele inexacte trebuie rectificate sau șterse fără întârziere.
Principiul limitării stocării: datele personale sunt păstrate doar atât timp cât este necesar pentru scopul pentru care au fost colectate. Nu stochezi date la nesfârșit fără un motiv justificat.
Principiul integrității și confidențialității: prelucrezi datele în condiții de securitate adecvate, protejând împotriva accesului neautorizat, pierderii accidentale sau distrugerii.
3. Temeiul juridic al prelucrării — condiția de bază pe care mulți o ignoră
Una dintre cele mai frecvente erori de conformitate GDPR este prelucrarea datelor personale fără un temei juridic valid. GDPR prevede șase temeiuri juridice posibile pentru prelucrarea datelor obișnuite și condiții suplimentare pentru categoriile speciale de date.
Cele șase temeiuri juridice
Consimțământul: persoana vizată și-a dat acordul liber, specific, informat și neechivoc pentru prelucrarea datelor sale în scopul specificat. Consimțământul trebuie să fie la fel de ușor de retras pe cât este de dat.
Executarea unui contract: prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru luarea unor măsuri precontractuale la cererea acesteia. Acesta este temeiul pentru prelucrarea datelor clienților în vederea livrării produselor sau prestării serviciilor.
Obligația legală: prelucrarea este necesară pentru respectarea unei obligații legale care îi revine operatorului. Acesta este temeiul pentru prelucrarea datelor angajaților în scopuri de salarizare și raportare fiscală.
Interesele vitale: prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
Sarcina de interes public: prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice.
Interesul legitim: prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care aceste interese sunt prevalate de drepturile și libertățile persoanei vizate. Acesta este cel mai flexibil dar și cel mai complex temei juridic — necesită o evaluare de balansare a intereselor înainte de a fi invocat.
De ce contează alegerea temeiului juridic
Temeiul juridic ales determină drepturile pe care le poate exercita persoana vizată față de tine. De exemplu, dacă prelucrezi pe baza consimțământului, persoana poate retrage consimțământul oricând. Dacă prelucrezi pe baza interesului legitim, persoana se poate opune prelucrării. Alegerea greșită a temeiului juridic sau absența oricărui temei este una dintre cele mai frecvente constatări în investigațiile ANSPDCP.
4. Documentele și procedurile obligatorii
Conformitatea GDPR nu se rezumă la un banner de cookie-uri și o politică de confidențialitate pe site. Iată lista completă a documentelor și procedurilor obligatorii pentru majoritatea companiilor.
Registrul activităților de prelucrare
Registrul activităților de prelucrare este obligatoriu pentru organizațiile cu peste 250 de angajați și pentru orice organizație care prelucrează date ce pot genera riscuri pentru persoanele vizate, care prelucrează categorii speciale de date sau care prelucrează date privind condamnări penale.
În practică, marea majoritate a companiilor cu activitate comercială reală ar trebui să aibă un registru al activităților de prelucrare — chiar dacă nu sunt obligate strict legal — deoarece este instrumentul fundamental de demonstrare a conformității.
Registrul trebuie să conțină pentru fiecare activitate de prelucrare: scopul prelucrării, categoriile de date prelucrate, categoriile de persoane vizate, destinatarii datelor, termenele de ștergere și măsurile de securitate implementate.
Politica de confidențialitate
Politica de confidențialitate — sau notificarea de prelucrare — este documentul prin care informezi persoanele vizate despre prelucrarea datelor lor. Trebuie să fie clară, accesibilă și să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR.
O politică de confidențialitate conformă trebuie să includă identitatea și datele de contact ale operatorului, datele de contact ale DPO dacă a fost numit, scopurile și temeiul juridic al fiecărei prelucrări, destinatarii sau categoriile de destinatari, transferurile în afara UE și garanțiile aplicabile, termenele de stocare, drepturile persoanelor vizate și modul de exercitare a acestora și dreptul de a depune plângere la ANSPDCP.
Contractele cu persoanele împuternicite — DPA
Orice furnizor extern care prelucrează date personale în numele tău — un furnizor de software, o platformă de email marketing, un contabil extern, un furnizor de servicii cloud — este o persoană împuternicită în sensul GDPR. Relația cu aceștia trebuie formalizată printr-un contract de prelucrare a datelor conform art. 28 GDPR.
Absența contractelor DPA cu furnizorii este una dintre cele mai frecvente constatări în investigațiile ANSPDCP și poate genera amenzi semnificative.
Procedura de răspuns la cererile persoanelor vizate
Trebuie să ai o procedură internă clară pentru primirea și gestionarea cererilor persoanelor vizate — cereri de acces, rectificare, ștergere, portabilitate sau opoziție. Termenul de răspuns este de o lună, cu posibilitate de prelungire cu încă două luni în cazuri complexe.
Procedura de răspuns la incidente de securitate
Orice incident de securitate care implică date personale trebuie evaluat imediat pentru a determina dacă generează un risc pentru persoanele vizate. Dacă da, trebuie notificat ANSPDCP în termen de 72 de ore de la descoperire. Dacă riscul este ridicat, persoanele vizate afectate trebuie și ele notificate.
Termenul de 72 de ore este absolut — nu poate fi prelungit și curge din momentul în care organizația a luat cunoștință de incident.
Evaluarea de impact — DPIA
Evaluarea de impact asupra protecției datelor este obligatorie când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Situațiile tipice care necesită DPIA includ prelucrarea la scară largă a categoriilor speciale de date, monitorizarea sistematică a unui spațiu public, profilarea sistematică a persoanelor și prelucrarea datelor biometrice în scopul identificării unice.
5. Drepturile persoanelor vizate — obligațiile tale practice
GDPR acordă persoanelor fizice ale căror date le prelucrezi o serie de drepturi concrete pe care ești obligat să le respecți. Nerespectarea acestor drepturi este o sursă frecventă de plângeri la ANSPDCP.
Dreptul de acces: persoana vizată poate solicita o copie a datelor personale pe care le prelucrezi despre ea și informații despre prelucrare. Trebuie să răspunzi în termen de o lună.
Dreptul la rectificare: persoana vizată poate solicita corectarea datelor inexacte sau completarea datelor incomplete. Trebuie să acționezi fără întârzieri nejustificate.
Dreptul la ștergere: cunoscut și ca dreptul de a fi uitat, permite persoanei vizate să solicite ștergerea datelor în anumite condiții — când datele nu mai sunt necesare pentru scopul pentru care au fost colectate, când consimțământul a fost retras și nu există alt temei, sau când datele au fost prelucrate ilegal.
Dreptul la portabilitate: persoana vizată poate solicita primirea datelor sale într-un format structurat, utilizat în mod curent și care poate fi citit automat, și transmiterea lor către un alt operator.
Dreptul de opoziție: persoana vizată se poate opune prelucrării bazate pe interesul legitim sau pe sarcina de interes public, inclusiv profilării. Trebuie să încetezi prelucrarea dacă nu demonstrezi motive legitime imperative.
Dreptul de a nu face obiectul unei decizii automate: persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilarea, care produce efecte juridice sau o afectează în mod similar semnificativ.
6. Transferul datelor în afara UE
Transferul datelor personale către țări din afara Spațiului Economic European este permis doar în anumite condiții stricte prevăzute de GDPR.
Decizia de adecvare: Comisia Europeană a constatat că țara de destinație asigură un nivel adecvat de protecție. Exemple: Regatul Unit, Elveția, Canada, Japonia.
Clauze contractuale standard: seturi de clauze contractuale aprobate de Comisia Europeană, incluse în contractele cu destinatarii din țări terțe.
Reguli corporative obligatorii: pentru transferuri în cadrul unui grup multinațional.
Consimțământul explicit: persoana vizată și-a dat consimțământul explicit pentru transferul propus, după ce a fost informată despre riscuri.
Transferul datelor către SUA este o zonă de risc semnificativ după invalidarea Privacy Shield în 2020. Dacă folosești servicii americane — Google, Meta, Amazon Web Services, Mailchimp, Salesforce — trebuie să verifici dacă există mecanisme legale de transfer valide și să le documentezi.
7. Amenzile ANSPDCP — cât de mari sunt și ce sancționează
ANSPDCP a devenit semnificativ mai activă în ultimii ani în aplicarea GDPR. Amenzile aplicate în România variază de la câteva mii de euro până la sute de mii de euro, în funcție de gravitatea încălcării și de circumstanțele specifice.
Categoriile de amenzi
GDPR prevede două niveluri de amenzi administrative.
Amenzi de până la 10 milioane euro sau 2% din cifra de afaceri globală anuală: pentru încălcări privind obligațiile operatorilor și persoanelor împuternicite, condițiile aplicabile consimțământului copiilor, obligațiile organismelor de certificare și ale organismelor de monitorizare.
Amenzi de până la 20 milioane euro sau 4% din cifra de afaceri globală anuală: pentru încălcările cele mai grave, inclusiv nerespectarea principiilor de bază ale prelucrării, nerespectarea drepturilor persoanelor vizate și transferuri ilegale de date în afara UE.
Ce sancționează cel mai frecvent ANSPDCP
Din investigațiile publice ale ANSPDCP, cele mai frecvente motive de sancțiune sunt absența sau inadecvarea contractelor DPA cu furnizorii, politici de confidențialitate incomplete sau incorecte, nerespectarea cererilor persoanelor vizate în termenul legal, absența măsurilor tehnice și organizatorice adecvate de securitate, notificarea tardivă sau omisă a incidentelor de securitate și prelucrarea datelor fără temei juridic valid.
Factori care influențează cuantumul amenzii
ANSPDCP ia în considerare la stabilirea amenzii natura, gravitatea și durata încălcării, numărul de persoane vizate afectate, prejudiciul suferit, caracterul intenționat sau neglijent al încălcării, măsurile luate pentru atenuarea prejudiciului, gradul de cooperare cu autoritatea și orice încălcări anterioare.
Contestarea amenzilor ANSPDCP
O amendă aplicată de ANSPDCP poate fi contestată în contencios administrativ. Multe sancțiuni sunt reduse sau anulate în instanță — fie pentru vicii de procedură în desfășurarea investigației, fie pentru că sancțiunea aplicată este disproporționată față de gravitatea faptei. Reprezentarea juridică specializată în această etapă este esențială.
8. Cum te pregătești pentru un control ANSPDCP
ANSPDCP poate desfășura investigații din oficiu, la sesizarea unor persoane vizate sau ca urmare a unor incidente de securitate mediatizate. Iată cum te pregătești.
Documentația pe care trebuie să o ai la îndemână
Registrul activităților de prelucrare actualizat. Politicile de confidențialitate în vigoare pentru toate categoriile de persoane vizate — clienți, angajați, parteneri. Contractele DPA cu toți furnizorii care procesează date în numele tău. Procedura internă de răspuns la incidente. Procedura de gestionare a cererilor persoanelor vizate și evidența cererilor primite și soluționate. Dovezile de instruire a angajaților cu privire la obligațiile GDPR.
Cum reacționezi la o notificare de investigație
Contactează imediat un avocat specializat în GDPR. Nu transmite documente sau declarații către ANSPDCP fără o analiză prealabilă — răspunsurile date în faza de investigație pot influența semnificativ rezultatul. Cooperează cu autoritatea în limitele obligațiilor legale — cooperarea este un factor de reducere a amenzii, dar nu înseamnă să te autoincriminezi.
Cel mai bun moment pentru conformitate
Este înainte de investigație. Costul unui audit GDPR și al implementării unui sistem de conformitate este incomparabil mai mic decât costul unei amenzi, al unui litigiu și al daunelor reputaționale asociate unei investigații publice a ANSPDCP.
Întrebări frecvente
Sunt obligat să am un DPO? Obligația de numire a unui Responsabil cu Protecția Datelor există pentru autoritățile și organismele publice, pentru operatorii care efectuează monitorizare sistematică la scară largă și pentru cei care prelucrează la scară largă categorii speciale de date. Dacă nu ești în niciuna dintre aceste categorii, numirea DPO este voluntară — dar recomandată dacă prelucrezi volume semnificative de date personale.
Un banner de cookie-uri este suficient pentru conformitate GDPR? Nu. Bannerul de cookie-uri este doar o componentă a conformității — și adesea una implementată incorect. Conformitatea GDPR implică registrul activităților de prelucrare, politici de confidențialitate corecte, contracte DPA cu furnizorii, proceduri interne și, în anumite cazuri, evaluări de impact. Un banner de cookie-uri fără restul sistemului nu îți oferă nicio protecție reală.
Cât timp pot păstra datele clienților? Nu există un termen universal — depinde de scopul prelucrării și de obligațiile legale aplicabile. Datele necesare pentru executarea unui contract pot fi păstrate pe durata contractului și a termenului de prescripție a acțiunilor contractuale. Datele fiscale trebuie păstrate conform legislației fiscale — de regulă 5 sau 10 ani. Datele de marketing se păstrează până la retragerea consimțământului. Trebuie să documentezi termenele de stocare în registrul activităților de prelucrare.
Ce fac dacă un angajat trimite din greșeală un email cu date personale la o adresă greșită? Este un incident de securitate și trebuie evaluat imediat. Dacă incidentul generează un risc pentru drepturile persoanelor vizate — de exemplu, emailul conținea date sensibile și a ajuns la o persoană neautorizată — trebuie notificat ANSPDCP în 72 de ore. Documentează incidentul intern, indiferent de concluzia privind notificarea.
GDPR se aplică și datelor angajaților? Da. Datele angajaților sunt date personale în sensul GDPR, iar angajatorul este operator. Trebuie să ai o notificare de prelucrare pentru angajați, să ai temei juridic pentru fiecare prelucrare și să respecți drepturile angajaților ca persoane vizate.
Avem clienți doar în România. GDPR se aplică tot? Da. GDPR se aplică oricărei prelucrări de date ale persoanelor fizice aflate în UE, indiferent de dimensiunea organizației sau de numărul clienților. Nu există un prag minim de clienți sau de date prelucrate sub care GDPR să nu se aplice.
Vrei să știi dacă compania ta este cu adevărat conformă cu GDPR sau ai primit o notificare de la ANSPDCP?
Solicită o evaluare juridică: răspundem în maximum 24 de ore în zilele lucrătoare.
[ Solicită evaluare juridică ] [ +40 720 530 400 ]
