Trebuie să am DPO dacă am sub 10 angajați?

Dimensiunea firmei nu contează pentru obligativitatea DPO. Dacă activitatea ta principală implică prelucrarea de categorii speciale de date la scară mare (ex: cabinet medical, farmacie), DPO este obligatoriu indiferent dacă ai 3 sau 3.000 de angajați.

DPO-ul poate fi același cu administratorul firmei?

Nu este recomandat. DPO-ul trebuie să fie independent și să nu aibă un conflict de interese. Un administrator care ia decizii de prelucrare nu poate în același timp supraveghea conformitatea acestora. ANSPDCP a sancționat această practică.

Poate avocatul nostru să fie DPO?

Da, un avocat extern poate fi DPO dacă are cunoștințele necesare în dreptul protecției datelor și nu are conflicte de interese cu clienții pe care îi reprezintă în legătură cu prelucrarea de date.

Cât costă un DPO externalizat?

Prețurile variază între 150-600 EUR/lună în funcție de complexitatea activității, volumul de solicitări ANSPDCP și nivelul de implicare necesar. BrainTrust oferă servicii DPO externalizat — contactează-ne pentru o ofertă adaptată.

Care e diferența între DPO și CISO?

DPO-ul (Responsabilul cu Protecția Datelor) este o funcție reglementată de GDPR, focusată pe drepturile persoanelor vizate și conformitatea cu legislația de protecție a datelor. CISO-ul (Chief Information Security Officer) gestionează securitatea tehnică a sistemelor informatice. Sunt roluri complementare, nu identice.

DPO — Responsabilul cu Protecția Datelor: ghid complet pentru România

„Trebuie să am DPO?" este una dintre cele mai frecvente întrebări pe care le primim. Răspunsul depinde de ce faci, nu de câți angajați ai. Dacă procesezi date de sănătate, biometrice sau faci supraveghere sistematică la scară mare, DPO-ul este obligatoriu prin lege — indiferent de dimensiunea firmei.

Ce este un DPO?

DPO (Data Protection Officer — Responsabilul cu Protecția Datelor) este o funcție introdusă de GDPR prin articolele 37-39. DPO-ul nu gestionează IT-ul, nu scrie politici de marketing și nu este același lucru cu un avocat sau cu directorul tehnic.

Rolul DPO-ului este să supravegheze conformitatea cu GDPR, să fie punct de contact cu ANSPDCP și cu persoanele vizate, și să consilieze conducerea în deciziile care implică prelucrarea datelor cu caracter personal. DPO-ul trebuie să fie independent — nu poate primi instrucțiuni de la conducere în exercitarea acestui rol.

Cine trebuie să aibă obligatoriu un DPO?

Articolul 37(1) GDPR prevede trei situații în care DPO-ul este obligatoriu:

1. Autorități și organisme publice

Orice autoritate publică sau organism public (cu excepția instanțelor judecătorești).

2. Monitorizare sistematică la scară largă

Activitatea principală implică monitorizarea sistematică a persoanelor la scară largă (ex: marketing comportamental, rețele de supraveghere video extinsă, scoring de credite).

3. Prelucrare la scară largă a categoriilor speciale

Activitatea principală implică prelucrarea la scară largă a datelor sensibile: date de sănătate, biometrice, genetice, rasiale/etnice, politice, religioase sau sexuale.

Verifică obligațiile GDPR și NIS2 pentru codul tău CAEN →

Verifică acum

Ce înseamnă „la scară largă"?

EDPB (Comitetul European pentru Protecția Datelor) a oferit orientări clare. „Scară largă" se evaluează prin combinarea mai multor factori:

Numărul de persoane vizate (absolut sau relativ față de populația relevantă)
Volumul de date prelucrate și varietatea categoriilor
Durata sau permanența prelucrării
Aria geografică acoperită

Exemplu practic: un cabinet medical cu 5 medici NU prelucrează la scară largă. Un spital cu 700 paturi DA. Un lanț de farmacii cu 200 de locații — PROBABIL DA.

Exemple pe sectoare (bazate pe CAEN)

Sector (CAEN)	DPO obligatoriu?	Motiv
Cabinete medicale (8621, 8622, 8623)	Da	Date de sănătate — art. 37(1)(c)
Farmacii (4773)	Da	Rețete = date de sănătate
Furnizori IT / software (6201)	Nu (de regulă)	Rol de împuternicit, nu operator principal
MSP / managed services (6203)	Posibil da	Dacă administrează date la scară largă
Servicii de pază (8010)	Da	Date biometrice sau monitorizare video sistematică
E-commerce (4791)	Nu (de regulă)	Date clienți standard, nu categorii speciale

DPO intern vs DPO externalizat

DPO intern

✓ Cunoaște bine organizația
✓ Disponibil permanent
✗ Cost ridicat (salariu + formare continuă)
✗ Risc de conflict de interese
✗ Dificil de recrutat calificat

DPO externalizat

✓ Cost fix predictibil (150-600 EUR/lună)
✓ Expertiză validată și actualizată
✓ Nu există conflict de interese intern
✗ Nu cunoaște imediat procesele interne
✗ Răspuns mai lent în crize dacă nu e disponibil

Cum notifici ANSPDCP după ce ai numit DPO

GDPR nu impune explicit o obligație de notificare a ANSPDCP, dar regulamentul intern ANSPDCP recomandă transmiterea datelor de contact ale DPO-ului. Practic:

Publică datele de contact ale DPO-ului pe site-ul tău (secțiunea de confidențialitate)
Asigură-te că DPO-ul este accesibil persoanelor vizate și ANSPDCP
Documentează intern actul de numire (contract sau decizie internă)

Sancțiuni pentru lipsa DPO

Nedesemnarea DPO-ului când este obligatoriu constituie încălcare a art. 37 GDPR și poate atrage amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri globală — primul nivel din grila de sancțiuni GDPR.

Verifică dacă activitatea ta impune DPO — folosește instrumentul nostru gratuit →

Întrebări frecvente

Serviciu BrainTrust

Securitate Cloud & Conformitate GDPR/ISO

Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.

Vezi serviciile de conformitate GDPR