Rezumat: DPO (Data Protection Officer) sau Responsabilul cu Protecția Datelor este persoana desemnată să supravegheze conformitatea GDPR într-o organizație. Numirea unui DPO este obligatorie pentru autoritățile publice, companiile care prelucrează date sensibile pe scară largă și cele care realizează monitorizare sistematică. Funcția poate fi internalizată sau externalizată, iar salariul mediu al unui DPO în România este de aproximativ 1.200 EUR net/lună.
DPO (Data Protection Officer), cunoscut în legislația română drept Responsabilul cu Protecția Datelor (cod COR 242231), este specialistul care asigură conformitatea unei organizații cu Regulamentul General privind Protecția Datelor (GDPR). Rolul DPO este definit în Articolele 37-39 din GDPR și reprezintă o funcție independentă în cadrul organizației.
Dacă te întrebi dacă afacerea ta are nevoie de un DPO, care sunt obligațiile acestuia sau dacă poți externaliza această funcție, acest ghid îți oferă toate răspunsurile, actualizate pentru contextul legislativ și de piață din România în 2026.
Ce este un DPO — Definiție și rol
DPO (Data Protection Officer) este persoana desemnată de o organizație pentru a supraveghea strategia și implementarea protecției datelor cu caracter personal, asigurând conformitatea cu GDPR. Rolul DPO este unul de consiliere, monitorizare și intermediere — nu de executare directă a operațiunilor de prelucrare a datelor.
DPO-ul acționează ca un punct de legătură între trei părți:
- Organizație — consilier intern pentru toate aspectele legate de protecția datelor
- Persoanele vizate — punct de contact pentru cetățenii care își exercită drepturile GDPR
- ANSPDCP — interlocutor oficial cu autoritatea de supraveghere
Important: DPO-ul nu este responsabil personal pentru neconformitatea organizației — această responsabilitate revine operatorului de date (compania). DPO-ul oferă expertiză și supraveghere, dar deciziile finale aparțin conducerii.
Când este obligatorie numirea unui DPO
Conform Articolului 37 din GDPR, numirea unui DPO este obligatorie în trei situații distincte:
1. Autorități și organisme publice
Toate autoritățile și organismele publice din România trebuie să numească un DPO, cu excepția instanțelor judecătorești care acționează în exercitarea funcției lor jurisdicționale. Aceasta include: primării, consilii județene, ministere, agenții guvernamentale, spitale publice, universități de stat, școli publice.
2. Monitorizare sistematică pe scară largă
Companiile a căror activitate principală constă în operațiuni de prelucrare care necesită monitorizarea regulată și sistematică a persoanelor vizate pe scară largă. Exemple: companii de securitate cu sisteme CCTV extensive, platforme de e-commerce cu profilare comportamentală, rețele de publicitate online, companii de telecomunicații.
3. Prelucrare de date sensibile pe scară largă
Companiile a căror activitate principală constă în prelucrarea pe scară largă a categoriilor speciale de date (Art. 9) sau a datelor referitoare la condamnări penale (Art. 10). Exemple: spitale și clinici private, companii de asigurări, laboratoare de analize medicale, centre de cercetare genetică.
| Tip organizație | DPO obligatoriu? | Exemplu |
|---|---|---|
| Primărie / Instituție publică | DA — întotdeauna | Primăria Sector 1 |
| Spital / Clinică | DA — date sensibile pe scară largă | Clinică privată cu 500+ pacienți/lună |
| Companie de securitate | DA — monitorizare sistematică | Firmă cu 100+ camere CCTV în spații publice |
| Platformă e-commerce | DA / NU — depinde de profilare | DA dacă face profilare comportamentală |
| SRL cu 5 angajați | NU — dar recomandat | Firmă de consultanță fără date sensibile |
| Magazin fizic mic | NU — dar recomandat | Brutărie cu 2 angajați |
Notă: Chiar și atunci când numirea nu este obligatorie, GDPR încurajează desemnarea voluntară a unui DPO. O companie care numește un DPO demonstrează angajament față de protecția datelor și reduce riscul de sancțiuni.
Responsabilitățile și atribuțiile unui DPO
Articolul 39 din GDPR definește un set minim de atribuții pentru DPO. Iată cele mai importante responsabilități:
- Informare și consiliere — Informează și consiliază operatorul/împuternicitul și angajații privind obligațiile GDPR
- Monitorizarea conformității — Verifică respectarea GDPR, a politicilor interne și a altor dispoziții de protecție a datelor
- Consilierea DPIA — Oferă consiliere privind Evaluarea de Impact asupra Protecției Datelor (DPIA) și monitorizează realizarea acesteia
- Cooperarea cu ANSPDCP — Acționează ca punct de contact cu autoritatea de supraveghere și cooperează cu aceasta
- Gestionarea cererilor — Primește și gestionează cererile persoanelor vizate (acces, ștergere, rectificare, portabilitate)
- Instruirea personalului — Organizează programe de formare și conștientizare pentru angajați
- Documentare — Menține la zi registrul activităților de prelucrare și documentația GDPR
- Raportarea breșelor — Coordonează procesul de notificare a breșelor de securitate în termenul de 72 de ore
Un aspect esențial: DPO-ul trebuie să aibă acces direct la cel mai înalt nivel de conducere al organizației și nu poate primi instrucțiuni referitoare la modul în care își exercită atribuțiile (Art. 38 alin. 3).
Ce calificări trebuie să aibă un DPO
GDPR nu impune o certificare specifică sau un nivel de studii obligatoriu, dar cere ca DPO-ul să fie desemnat pe baza calităților profesionale, în special a cunoștințelor de specialitate în legislația și practica protecției datelor (Art. 37 alin. 5).
Competențe esențiale
- Cunoștințe juridice — Înțelegerea profundă a GDPR, a Legii nr. 190/2018 și a legislației conexe
- Cunoștințe tehnice — Înțelegerea sistemelor IT, securității cibernetice și a fluxurilor de date
- Abilități de comunicare — Capacitatea de a explica concepte complexe conducerii și angajaților
- Management de proiect — Coordonarea programelor de conformitate și a auditurilor
- Cunoștințe sectoriale — Înțelegerea specificului industriei în care activează organizația
Certificări recunoscute în România
| Certificare | Emitent | Recunoaștere |
|---|---|---|
| Curs DPO acreditat ANC | Diverși furnizori acreditați | Recunoscut la nivel național, codul COR 242231 |
| CIPP/E | IAPP (International Association of Privacy Professionals) | Standard internațional, recunoscut global |
| CIPM | IAPP | Focus pe managementul programelor de confidențialitate |
| CDPSE | ISACA | Focus pe ingineria soluțiilor de protecție a datelor |
DPO intern vs. DPO externalizat — Ce variantă alegi?
GDPR permite atât numirea unui DPO intern (angajat al companiei), cât și angajarea unui DPO extern prin contract de servicii (Art. 37 alin. 6). Fiecare variantă are avantaje și dezavantaje:
| Criteriu | DPO intern | DPO externalizat |
|---|---|---|
| Cost lunar | 1.200-2.500 EUR (salariu + beneficii) | 300-1.200 EUR (contract servicii) |
| Disponibilitate | Full-time, prezent fizic | La cerere, de obicei remote |
| Cunoașterea organizației | Profundă — face parte din echipă | Moderată — învață în timp |
| Independență | Risc de conflict de interese | Independență mai mare |
| Expertiză | Limitată la experiența individuală | Diversificată — experiență multi-client |
| Scalabilitate | Limitată | Echipă dedicată, resurse suplimentare |
| Ideal pentru | Corporații mari, instituții publice | IMM-uri, companii cu resurse limitate |
Recomandat: Pentru majoritatea IMM-urilor din România, DPO-ul externalizat este soluția optimă — oferă expertiza necesară la un cost predictibil, fără overhead-ul unui angajat permanent. Companiile mari cu volume semnificative de date beneficiază mai mult de un DPO intern dedicat.
Gestionează eficient activitatea DPO cu Privacy Manager. Platforma oferă instrumente digitale pentru registrul prelucrărilor, gestionarea cererilor persoanelor vizate, evaluări de impact (DPIA) și documentare completă — esențiale pentru orice DPO, intern sau externalizat. Solicită o demonstrație →
Cum numești un DPO — Procedura legală
Procesul de numire a unui DPO în România implică următorii pași:
- Evaluează necesitatea — Verifică dacă organizația ta se încadrează în cele 3 cazuri de obligativitate (autoritate publică, monitorizare sistematică, date sensibile pe scară largă)
- Selectează candidatul — Alege o persoană cu cunoștințe solide de legislația protecției datelor și securitate informatică
- Asigură independența — DPO-ul nu poate ocupa funcții care generează conflict de interese (ex: nu poate fi și Director IT sau Director HR). Conform ghidului WP29 (Grupul de Lucru Articolul 29), funcțiile de CEO, CFO, Director HR, Director IT sau Director Marketing sunt considerate incompatibile
- Emite actul de numire — Decizie internă / act adițional la contractul de muncă / contract de prestări servicii
- Publică datele de contact — Comunică datele de contact ale DPO pe site-ul organizației și în politica de confidențialitate
- Notifică ANSPDCP — Comunică autorității de supraveghere numele și datele de contact ale DPO prin formularul disponibil pe www.dataprotection.ro
Cât câștigă un DPO în România
Piața DPO din România a crescut semnificativ din 2018, pe măsură ce cererea pentru specialiști în protecția datelor a depășit oferta. Iată o estimare a salariilor în 2026:
| Nivel experiență | Salariu net/lună (EUR) | Profil |
|---|---|---|
| Junior DPO (0-2 ani) | 700-1.000 EUR | Curs ANC + primele proiecte |
| DPO cu experiență (3-5 ani) | 1.200-1.800 EUR | Certificări CIPP/E, portofoliu clienți |
| Senior DPO (5+ ani) | 1.800-2.500+ EUR | Experiență multinațională, CIPM + CIPP/E |
| DPO externalizat (per client) | 300-1.200 EUR | Contract servicii, variază per complexitate |
Conform datelor de pe piața muncii din România, cererea pentru specialiști DPO a crescut cu aproximativ 40% între 2022 și 2025, pe fondul creșterii numărului de investigații ANSPDCP și a conștientizării importanței conformității GDPR.
Întrebări frecvente despre DPO
Cine are obligația de a numi un DPO conform GDPR?
Numirea unui DPO este obligatorie pentru: autoritățile și organismele publice (cu excepția instanțelor), organizațiile a căror activitate principală presupune monitorizarea sistematică pe scară largă a persoanelor vizate și organizațiile care prelucrează pe scară largă categorii speciale de date (date de sănătate, biometrice, genetice etc.).
Care este diferența dintre un DPO intern și un DPO externalizat?
DPO-ul intern este un angajat al companiei care preia și această funcție (sau este angajat dedicat), în timp ce DPO-ul externalizat este un specialist sau o firmă contractată prin contract de prestări servicii. DPO-ul extern oferă de obicei costuri mai mici și independență mai mare, fiind ideal pentru IMM-uri.
Ce calificări trebuie să aibă un Responsabil cu Protecția Datelor?
GDPR nu impune o certificare obligatorie, dar cere cunoștințe de specialitate în legislația și practica protecției datelor. În România, cele mai recunoscute calificări sunt cursul DPO acreditat ANC (cod COR 242231), certificarea CIPP/E emisă de IAPP și certificarea CIPM pentru managementul programelor de confidențialitate.
Cât câștigă un DPO în România?
Salariul mediu al unui DPO cu experiență (3-5 ani) în România este de aproximativ 1.200-1.800 EUR net pe lună. Un DPO senior cu certificări internaționale poate câștiga peste 2.500 EUR net/lună, în timp ce serviciile de DPO externalizat costă între 300-1.200 EUR per client, per lună.
Poate o companie mică să externalizeze funcția de DPO?
Da, GDPR permite explicit externalizarea funcției de DPO prin contract de prestări servicii (Art. 37 alin. 6). Aceasta este soluția recomandată pentru IMM-uri: oferă acces la expertiza unui specialist la un cost semnificativ mai mic decât angajarea unui DPO intern dedicat, cu independență sporită și experiență multi-sectorială.
Concluzie
Responsabilul cu Protecția Datelor (DPO) nu este doar o cerință formală a GDPR — este pilonul central al conformității oricărei organizații în materie de protecție a datelor personale. Fie că optezi pentru un DPO intern sau externalizat, esențial este ca această funcție să fie exercitată cu independență, competență și acces la resursele necesare.
Pentru a facilita munca unui DPO, instrumentele digitale sunt indispensabile. Privacy Manager oferă o platformă completă pentru gestionarea conformității GDPR — de la registrul prelucrărilor la evaluări de impact și gestionarea cererilor persoanelor vizate. Consultă și ghidul nostru despre ce înseamnă GDPR sau despre pașii practici de conformitate GDPR pentru companii.
Ultima actualizare: Martie 2026