dataconsulting.ro
[back_to_blog]ART_003
GDPR 10 aprilie 2026 5 min

GDPR si protectia datelor: ce trebuie sa stie orice firma din Romania

Multe firme din Romania trateaza GDPR ca pe o bifa obligatorie. In realitate, este un cadru legal care protejeaza oamenii reali — clientii, angajatii, partenerii tai — si care pune obligatii concrete pe umerii oricarui antreprenor.

Ce este, de fapt, GDPR?

GDPR (Regulamentul General privind Protectia Datelor, UE 679/2016) este o lege europeana in vigoare din 25 mai 2018. Se aplica direct in Romania, fara sa fie nevoie de o lege nationala separata.

Scopul lui este simplu: sa dea oamenilor control asupra datelor lor personale si sa oblige organizatiile sa le trateze cu responsabilitate. Datele personale inseamna orice informatie care poate identifica o persoana — de la nume si email, pana la adresa IP, date medicale sau informatii despre comportamentul online.

De ce conteaza pentru firma ta?

Daca firma ta colecteaza date despre clienti, trimite newslettere, tine evidenta angajatilor sau foloseste un site cu formular de contact — esti operator de date personale. Asta inseamna ca GDPR se aplica obligatoriu.

Autoritatea care supravegheaza respectarea GDPR in Romania este ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal). Aceasta poate efectua controale si aplica amenzi.

Ce obligatii concrete ai?

Iata minimul pe care orice firma trebuie sa il aiba:

  • Temei legal pentru fiecare prelucrare

    Nu poti colecta date "pentru orice eventualitate". Fiecare prelucrare trebuie sa aiba un motiv legal: consimtamant, contract, obligatie legala sau interes legitim.

  • Politica de confidentialitate

    Trebuie sa informezi clar oamenii ce date colectezi, de ce, cat timp le pastrezi si ce drepturi au.

  • Registrul activitatilor de prelucrare

    Un document intern in care inregistrezi toate activitatile prin care prelucrezi date personale. Obligatoriu pentru firmele cu peste 250 de angajati sau care prelucreaza date sensibile.

  • Acorduri cu furnizorii

    Daca folosesti servicii externe care acceseaza datele clientilor tai (contabilitate, marketing, IT), ai nevoie de acorduri de prelucrare (DPA) cu fiecare furnizor.

  • Procedura pentru incidente

    Daca datele sunt compromise (ex: un angajat trimite gresit un email cu date personale), ai la dispozitie 72 de ore sa notifici ANSPDCP.

Ce se intampla daca nu respecti GDPR?

Amenzile pot ajunge la 20 milioane EUR sau 4% din cifra de afaceri globala pentru incalcari grave. Pentru incalcari mai putin grave, plafonul este 10 milioane EUR sau 2%.

In practica, ANSPDCP a aplicat amenzi si companiilor mici din Romania. Cuantumul depinde de gravitatea incalcarii, de cat de repede a reactionat firma si de daca a existat prejudiciu real.

Un aspect adesea ignorat: AI si GDPR merg impreuna

Daca angajatii tai folosesc ChatGPT, Copilot sau alt instrument AI si introduc date despre clienti sau colegi, acele date ajung pe serverele unui furnizor extern. Asta inseamna o prelucrare de date personale care trebuie sa respecte GDPR.

In plus, din 2025 intra in vigoare si obligatiile din EU AI Act, care adauga un strat suplimentar de cerinte pentru companiile care folosesc sisteme AI. Neconformitatea dubla inseamna risc din doua directii.

De unde incepi?

Cel mai bun prim pas este un audit — o evaluare rapida a ce date colectezi, cum le prelucrezi si unde sunt lacunele. Nu trebuie sa fie complicat sau scump. La dataconsulting.ro facem acest audit gratuit, in 20 de minute.

Vrei sa stii daca firma ta este conforma cu GDPR?

Facem impreuna un audit rapid, gratuit, si iti spunem exact ce lipseste si ce trebuie facut.

Audit gratuit Servicii GDPR

Articolul urmator

EU AI Act: ce inseamna pentru firma ta si de unde incepi