GDPR se aplică la firmele mici?

Da. GDPR nu are un prag minim de mărime. O firmă cu 2 angajați care colectează date despre clienți trebuie să respecte GDPR. Există o singură excepție parțială: firmele cu sub 250 angajați nu trebuie să țină registrul de prelucrări pentru anumite activități ocazionale — dar obligațiile principale rămân.

Sunt PFA — trebuie să respect GDPR?

Da, dacă procesezi date cu caracter personal ale clienților, colaboratorilor sau angajaților tăi. Chiar și o agendă cu datele clienților sau un cont de email profesional intră sub incidența GDPR.

Care e diferența între GDPR și ANSPDCP?

GDPR (General Data Protection Regulation) este regulamentul european. ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) este autoritatea română de supraveghere care aplică GDPR în România și poate aplica amenzi.

Trebuie să cer consimțământ pentru orice?

Nu. Consimțământul este doar unul din cele 6 temeiuri legale de prelucrare. Poți prelucra date și pe baza unui contract, a unei obligații legale, a unui interes vital, a unei sarcini de interes public sau a unui interes legitim — fără a cere consimțământ.

Pot fi amendat dacă nu am politică de confidențialitate?

Da. Lipsa notei de informare / politicii de confidențialitate constituie încălcarea art. 13-14 GDPR și poate atrage amenzi. Mai mult, clienții și utilizatorii tăi au dreptul să cunoască cum le folosești datele — este o obligație fundamentală.

Ce este GDPR? Ghid complet pentru companii din România

GDPR se aplică oricărei firme din România care colectează, stochează sau folosește date despre persoane fizice — clienți, angajați, vizitatori ai site-ului. Nu este doar „o chestie UE" — este lege direct aplicabilă în România din 25 mai 2018, cu amenzi de până la 20 milioane EUR.

Ce înseamnă GDPR pe scurt?

GDPR = General Data Protection Regulation (Regulamentul General privind Protecția Datelor) — Regulamentul UE 679/2016. Stabilește regulile privind colectarea, stocarea și utilizarea datelor cu caracter personal ale cetățenilor UE.

Spre deosebire de o directivă (care trebuie transpusă în lege națională), GDPR este un regulament — adică se aplică direct, uniform, în toată UE, fără a necesita o lege separată românească.

Cui se aplică GDPR?

GDPR se aplică dacă:

Ești stabilit în UE (orice firmă înregistrată în România)
Oferi produse sau servicii persoanelor din UE (chiar dacă ești stabilit în afara UE)
Monitorizezi comportamentul persoanelor din UE (ex: tracking online)

Nu există prag de mărime, număr de angajați sau cifră de afaceri. O firmă cu 1 angajat care ține o bază de date cu clienți intră sub GDPR.

Termeni cheie pe care trebuie să îi știi

Date cu caracter personal

Orice informație care identifică sau poate identifica o persoană fizică: nume, email, telefon, IP, cookie, locație, biometrice etc.

Operator

Cel care decide de ce și cum se prelucrează datele. Firma ta este de regulă operator față de datele clienților și angajaților.

Împuternicit

Cel care prelucrează date în numele operatorului (ex: furnizorul tău de CRM, contabilul extern, platforma de email marketing).

Persoană vizată

Persoana fizică ale cărei date sunt prelucrate — clientul, angajatul, vizitatorul site-ului.

Categorii speciale (art. 9)

Date care necesită protecție sporită: sănătate, biometrice, genetice, rasiale/etnice, politice, religioase, sexuale.

Prelucrare

Orice operație cu date: colectare, stocare, consultare, modificare, transmitere, ștergere. Dacă „atingi" date despre o persoană — este prelucrare.

Cele 6 principii fundamentale GDPR

Liceitate, echitate, transparență — Prelucrezi datele pe un temei legal și informezi persoanele
Limitarea scopului — Colectezi datele pentru scopuri specifice și nu le folosești altfel
Minimizarea datelor — Colectezi doar ce îți trebuie cu adevărat
Exactitate — Datele trebuie să fie corecte și actualizate
Limitarea stocării — Nu păstrezi date mai mult decât e necesar
Integritate și confidențialitate — Protejezi datele de acces neautorizat sau pierdere

Drepturile persoanelor vizate

Dreptul de acces (art. 15)

Să știe ce date deții despre ei

Dreptul la rectificare (art. 16)

Să corecteze datele inexacte

Dreptul la ștergere (art. 17)

„Dreptul de a fi uitat"

Dreptul la restricționare (art. 18)

Să limiteze temporar prelucrarea

Dreptul la portabilitate (art. 20)

Să primească datele în format transferabil

Dreptul de opoziție (art. 21)

Să se opună prelucrării pentru marketing direct

Dreptul de a nu fi supus deciziei automate (art. 22)

Inclusiv profilare automată

Dreptul de a depune plângere (art. 77)

La ANSPDCP

Ce obligații are firma ta?

Notă de informare — Informează persoanele la momentul colectării datelor (art. 13-14)
Registru de prelucrări — Documentează intern toate activitățile de prelucrare (art. 30)
Contracte cu împuterniciții — DPA cu fiecare furnizor care atinge datele tale (art. 28)
Procedură de breșă — Plan de notificare ANSPDCP în 72h (art. 33)
DPIA — Evaluare de impact dacă activitatea prezintă risc ridicat (art. 35)
DPO — Responsabil cu Protecția Datelor, obligatoriu în anumite cazuri (art. 37)

Verifică exact ce se aplică firmei tale

Introdu codul CAEN și dimensiunea firmei — generăm instant lista obligațiilor GDPR și NIS2 specifice activității tale.

Verifică obligațiile pentru codul tău CAEN

Sancțiuni — cât poți fi amendat?

GDPR prevede două niveluri de amenzi:

Nivelul 1

Până la 10M EUR sau 2% CA globală

Încălcări de principiu: lipsa DPO, nerespectarea art. 25 (privacy by design), probleme cu împuterniciții

Nivelul 2

Până la 20M EUR sau 4% CA globală

Principii fundamentale, drepturi ale persoanelor vizate, transfer internațional ilegal

GDPR în 10 pași pentru firma ta

Fă un inventar al datelor pe care le prelucrezi
Identifică temeiul legal pentru fiecare categorie
Creează registrul de evidență a prelucrărilor (art. 30) (template gratuit →)
Redactează nota de informare și pune-o la dispoziția clienților
Verifică dacă ai nevoie de DPO (ghid DPO →)
Semnează contracte DPA cu toți furnizorii care accesează datele
Implementează politica de cookies (dacă ai site)
Redactează procedura de notificare breșe
Instruiește angajații despre obligațiile GDPR
Revizuiește anual — GDPR este un proces continuu, nu un proiect