București, România
+40 774 044 872
contact@privacymanager.ro
Facebook-f Instagram Linkedin-in
SOLICITA DEMO
Acces GDPR 360

BLOG

Ce înseamnă GDPR? Ghid complet despre protecția datelor personale în România (2026)

gdpr-3777612_1280

Rezumat: GDPR (Regulamentul General privind Protecția Datelor) este legislația europeană care reglementează colectarea, stocarea și prelucrarea datelor cu caracter personal. Se aplică tuturor companiilor din România care prelucrează date personale ale cetățenilor UE, indiferent de dimensiune. Nerespectarea GDPR poate duce la amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală.

GDPR (General Data Protection Regulation) sau Regulamentul General privind Protecția Datelor este cadrul legislativ european care protejează datele cu caracter personal ale cetățenilor din Uniunea Europeană. Intrat în vigoare pe 25 mai 2018, GDPR a transformat fundamental modul în care companiile din România și din întreaga Europă colectează, stochează și utilizează informațiile personale ale clienților, angajaților și partenerilor.

Dacă deții o afacere, administrezi un site web sau prelucrezi în orice mod date personale, înțelegerea GDPR nu este opțională — este o obligație legală. În acest ghid complet, vei afla ce presupune GDPR, cum te afectează concret și ce pași trebuie să urmezi pentru a fi în conformitate.

Ce este GDPR? Definiție și context

GDPR (General Data Protection Regulation) este Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, adoptat pe 27 aprilie 2016 și aplicabil din 25 mai 2018. Acesta stabilește reguli unitare pentru protecția datelor cu caracter personal în toate cele 27 de state membre ale Uniunii Europene.

Înainte de GDPR, protecția datelor în Europa era reglementată de Directiva 95/46/CE, care lăsa fiecărui stat membru libertatea de a implementa propriile reguli. Rezultatul era un peisaj legislativ fragmentat, cu standarde diferite de la o țară la alta. GDPR a eliminat această fragmentare prin introducerea unui regulament unic, direct aplicabil în toate statele UE — inclusiv în România.

În România, autoritatea responsabilă cu supravegherea aplicării GDPR este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), înființată prin Legea nr. 102/2005 și consolidată prin Legea nr. 190/2018, care stabilește măsuri de aplicare a GDPR la nivel național.

Cui se aplică GDPR în România

GDPR se aplică oricărei organizații care prelucrează date cu caracter personal ale persoanelor din Uniunea Europeană. Concret, regulamentul se aplică:

  • Companiilor cu sediul în UE — indiferent de dimensiune: de la SRL-uri cu un singur angajat la corporații multinaționale
  • Companiilor din afara UE — care oferă produse sau servicii cetățenilor UE sau care monitorizează comportamentul acestora
  • Autorităților publice — primării, spitale, școli, universități, instituții guvernamentale
  • ONG-urilor și asociațiilor — care colectează date ale membrilor, voluntarilor sau beneficiarilor
  • Freelancerilor și PFA-urilor — care gestionează liste de clienți, contracte sau facturi cu date personale

Regulă practică: Dacă ai cel puțin un client, un angajat sau un utilizator al cărui nume, email sau telefon îl stochezi într-un fișier Excel, CRM sau bază de date — GDPR se aplică afacerii tale.

Ce sunt datele cu caracter personal

Conform Articolului 4 din GDPR, datele cu caracter personal reprezintă orice informație referitoare la o persoană fizică identificată sau identificabilă (numită „persoana vizată”). Aceasta include orice informație prin care o persoană poate fi identificată direct sau indirect.

Categorii de date personale

Categorie Exemple Nivel de protecție
Date de identificare Nume, prenume, CNP, serie CI, pașaport Standard
Date de contact Email, telefon, adresă poștală Standard
Date digitale Adresă IP, cookies, localizare GPS, ID dispozitiv Standard
Date financiare IBAN, salariu, istoric tranzacții Ridicat
Date sensibile (Art. 9) Origine rasială, opinii politice, convingeri religioase, date genetice, date biometrice, date privind sănătatea, orientare sexuală Foarte ridicat — prelucrare interzisă, cu excepții limitate

Important: Chiar și datele aparent inofensive, cum ar fi o adresă de email de tipul ion.popescu@companie.ro, sunt considerate date cu caracter personal deoarece permit identificarea unei persoane fizice.

Cele 8 drepturi ale persoanei vizate conform GDPR

GDPR acordă cetățenilor europeni un set de 8 drepturi fundamentale privind protecția datelor lor personale. Companiile sunt obligate să respecte și să faciliteze exercitarea acestor drepturi:

  1. Dreptul la informare (Art. 13-14) — Persoanele trebuie informate clar despre cum le sunt folosite datele, încă din momentul colectării
  2. Dreptul de acces (Art. 15) — Orice persoană poate solicita o copie a tuturor datelor pe care o companie le deține despre ea
  3. Dreptul la rectificare (Art. 16) — Datele inexacte sau incomplete pot fi corectate la cererea persoanei vizate
  4. Dreptul la ștergere / „dreptul de a fi uitat” (Art. 17) — În anumite condiții, persoana vizată poate solicita ștergerea completă a datelor sale
  5. Dreptul la restricționarea prelucrării (Art. 18) — Persoana vizată poate cere limitarea modului în care datele sale sunt utilizate
  6. Dreptul la portabilitatea datelor (Art. 20) — Datele pot fi transferate de la un furnizor la altul, într-un format structurat
  7. Dreptul la opoziție (Art. 21) — Persoana vizată se poate opune prelucrării datelor în scopuri de marketing direct
  8. Dreptul de a nu fi supus deciziilor automatizate (Art. 22) — Protecție împotriva profilării automate care produce efecte juridice

Conform statisticilor ANSPDCP, în perioada 2018-2025, au fost înregistrate peste 15.000 de plângeri ale cetățenilor români privind încălcarea acestor drepturi, cele mai frecvente fiind legate de dreptul la ștergere și dreptul la informare.

Obligațiile companiilor conform GDPR

GDPR impune companiilor un set clar de obligații pe care trebuie să le respecte în mod continuu, nu doar o singură dată. Iată cele mai importante:

1. Ținerea registrului de evidență a activităților de prelucrare

Conform Articolului 30 din GDPR, companiile cu peste 250 de angajați (și, în anumite cazuri, cele mai mici) trebuie să mențină un registru detaliat al tuturor activităților de prelucrare a datelor. Acest registru trebuie să conțină: scopurile prelucrării, categoriile de date, destinatarii, transferurile internaționale și termenele de ștergere.

2. Implementarea măsurilor tehnice și organizatorice

Articolul 32 impune măsuri de securitate „adecvate” riscurilor: criptarea datelor, pseudonimizarea, controlul accesului, backup-uri regulate și testarea periodică a securității sistemelor.

3. Desemnarea unui DPO (acolo unde este obligatoriu)

Anumite organizații trebuie să numească un Responsabil cu Protecția Datelor (DPO). Află mai multe despre ce este un DPO și când este obligatoriu.

4. Notificarea breșelor de securitate

În cazul unei breșe de securitate care afectează date personale, companiile au obligația de a notifica ANSPDCP în maximum 72 de ore de la descoperirea incidentului (Art. 33). Dacă breșa prezintă un risc ridicat pentru persoanele vizate, acestea trebuie notificate direct.

5. Evaluarea de impact (DPIA)

Pentru prelucrări cu risc ridicat (supraveghere video, profilare, date sensibile la scară largă), este obligatorie realizarea unei Evaluări de Impact asupra Protecției Datelor (DPIA) conform Art. 35.

6. Obținerea consimțământului valid

Consimțământul trebuie să fie liber, specific, informat și lipsit de ambiguitate (Art. 7). Casetele pre-bifate, formulările vagi sau lipsa opțiunii de retragere a consimțământului sunt considerate neconforme.

Sancțiuni și amenzi GDPR în România

GDPR prevede două niveluri de sancțiuni financiare, în funcție de gravitatea încălcării:

Nivel Amendă maximă Tipuri de încălcări
Nivel 1 (Art. 83 alin. 4) Până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală Obligații tehnice și organizatorice, registrul prelucrărilor, breșe de securitate neraportate, lipsa DPO
Nivel 2 (Art. 83 alin. 5) Până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală Încălcarea drepturilor persoanelor vizate, prelucrare fără temei legal, transfer ilegal de date în afara UE

Situația din România: Conform datelor publice, ANSPDCP a aplicat amenzi GDPR în valoare totală de peste 230.000 EUR doar în primele 4 luni ale anului 2025. Printre cele mai mari amenzi aplicate în România se numără sancțiunea de 150.000 EUR aplicată Raiffeisen Bank în 2019 și 100.000 EUR aplicată ING Bank în același an.

Legea nr. 190/2018 prevede și posibilitatea aplicării de avertismente pentru încălcări minore, dar tendința ANSPDCP este de a aplica amenzi din ce în ce mai substanțiale, aliniindu-se cu practica la nivel european.

Cum te conformezi GDPR — Pași practici

Conformarea GDPR nu trebuie să fie un proces copleșitor. Iată un plan structurat în 6 pași pe care orice companie din România îl poate urma:

  1. Realizează un audit al datelor — Identifică ce date personale colectezi, de unde, în ce scop și unde le stochezi. Creează o hartă a fluxurilor de date.
  2. Creează registrul de evidență — Documentează toate activitățile de prelucrare conform Art. 30. Include scopurile, temeiurile legale, categoriile de date și perioadele de retenție.
  3. Actualizează documentația — Politica de confidențialitate, politica de cookies, acordurile de prelucrare cu terții (DPA), informările pentru angajați.
  4. Implementează măsuri tehnice — Criptare, controlul accesului, backup-uri, protocoale de securitate, proceduri de ștergere.
  5. Pregătește proceduri de răspuns — Proceduri pentru cereri ale persoanelor vizate (acces, ștergere, portabilitate) și pentru notificarea breșelor de securitate.
  6. Formează echipa — Instruiește angajații despre GDPR, obligațiile lor și cum să gestioneze datele corect.

Simplifică conformarea GDPR cu Privacy Manager. Platforma automatizează registrul prelucrărilor, gestionează consimțămintele, generează documentația necesară și te ajută să răspunzi cererilor persoanelor vizate — totul într-un singur loc. Solicită o demonstrație →

Întrebări frecvente despre GDPR

Ce este GDPR și cui se aplică în România?

GDPR (General Data Protection Regulation) este regulamentul european care protejează datele cu caracter personal. Se aplică tuturor companiilor, instituțiilor publice, ONG-urilor și persoanelor fizice autorizate din România care colectează sau prelucrează date personale ale cetățenilor din Uniunea Europeană, indiferent de dimensiunea organizației.

Ce date personale sunt protejate de GDPR?

GDPR protejează orice informație prin care o persoană fizică poate fi identificată: nume, email, telefon, CNP, adresă IP, cookie-uri, date de localizare, date biometrice, date medicale și orice altă informație care poate duce la identificarea directă sau indirectă a unei persoane.

Ce sancțiuni risc dacă nu respect GDPR?

Amenzile GDPR pot ajunge până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală, în funcție de gravitatea încălcării. ANSPDCP poate aplica și avertismente pentru încălcări minore. În România, amenzi de peste 230.000 EUR au fost aplicate doar în primele 4 luni din 2025.

Am nevoie de un DPO pentru compania mea?

Numirea unui DPO (Responsabil cu Protecția Datelor) este obligatorie pentru: autoritățile publice, companiile care prelucrează date sensibile pe scară largă și companiile care realizează monitorizare sistematică pe scară largă. Pentru celelalte companii, numirea este recomandată dar nu obligatorie. Citește ghidul complet despre rolul DPO și când este obligatoriu.

Cine este ANSPDCP și ce rol are în aplicarea GDPR?

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) este autoritatea independentă din România responsabilă cu supravegherea aplicării GDPR. Aceasta primește plângeri de la cetățeni, realizează investigații, aplică sancțiuni și emite recomandări pentru conformarea cu legislația de protecție a datelor.

Concluzie

GDPR nu este doar un regulament birocratic — este instrumentul care protejează drepturile fundamentale ale cetățenilor în era digitală. Pentru companiile din România, conformarea GDPR este atât o obligație legală, cât și un avantaj competitiv: clienții au mai multă încredere în organizațiile care demonstrează transparență și respect pentru datele lor personale.

Conformarea nu trebuie să fie complicată. Cu instrumentele potrivite și un plan clar de acțiune, orice companie poate atinge și menține conformitatea GDPR. Află cum te poate ajuta Privacy Manager să simplifici întregul proces de conformare sau consultă ghidul nostru despre conformitatea GDPR pentru companii.

Ultima actualizare: Martie 2026

PROTEJEAZĂ-ȚI AFACEREA

Descoperă cum Privacy Manager simplifică conformitatea GDPR

Programează o demonstrație personalizată și vezi platforma în acțiune.

SOLICITĂ O DEMONSTRAȚIE →
Scrie-ne pe WhatsApp