Legea GDPR în România — cadrul legal complet 2025-2026

    GDPR este un regulament european cu aplicare directă, dar România are și legislație națională care îl completează. Dacă vrei să înțelegi exact ce legi se aplică firmei tale și care sunt autoritățile competente, acesta este ghidul de referință.

    Cadrul legal — vizualizare ierarhică

    UE — aplicare directă

    Regulamentul (UE) 2016/679 — GDPR

    în vigoare din 25 mai 2018

    Regulamentul principal privind protecția datelor cu caracter personal. Se aplică direct în România.

    Directiva NIS2 (UE) 2022/2555

    adoptată dec. 2022

    Directiva privind securitatea rețelelor și sistemelor informatice. Necesită transpunere națională.

    România — legislație națională

    Legea 190/2018

    18 iulie 2018

    Completează GDPR pentru situațiile cu marjă de decizie: vârsta consimțământului (16 ani), prelucrarea în relațiile de muncă, prelucrările în scop jurnalistic.

    OUG 155/2024

    octombrie 2024

    Transpune NIS2 în dreptul românesc. Stabilește obligațiile entităților esențiale și importante față de DNSC.

    Legea 124/2025

    2025

    Extinde domeniul NIS2: include farmaciile (CAEN 4773) și distribuitorii farmaceutici (CAEN 4646). Clarifică proceduri de raportare.

    Autoritățile de supraveghere din România

    ANSPDCP

    Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Supravegheaza aplicarea GDPR, gestionează plângerile persoanelor vizate și aplică sancțiunile.

    anspdcp.eu | [email protected]

    DNSC

    Directoratul Național de Securitate Cibernetică. Autoritate competentă NIS2 — primește raportările de incidente, coordonează răspunsul la crize cibernetice.

    dnsc.ro | [email protected]

    Ce aduce Legea 190/2018 față de GDPR pur?

    • Vârsta consimțământului online: 16 ani (GDPR permite statelor să coboare până la 13). Sub 16 ani, consimțământul trebuie dat de părinți/tutori.
    • Prelucrarea în relațiile de muncă: Consimțământul angajatului NU este valid ca temei general (dezechilibru de putere). Se folosesc contractul sau obligația legală.
    • Prelucrarea în scop jurnalistic și artistic: Derogări pentru presă și libertatea de exprimare — cu condiții stricte.
    • CNP-ul și alte identificatoare naționale: Prelucrarea CNP-ului este permisă pentru obligații legale și contracte — nu necesită consimțământ separat.

    Sancțiunile ANSPDCP în practică

    ANSPDCP publică deciziile de sancționare pe site-ul oficial. Firmele românești sancționate recent au primit amenzi între 1.000 EUR și 125.000 EUR. Sectoarele cel mai des sancționate: sănătate, IT, retail online, HR/recrutare.

    Verifică exact ce se aplică firmei tale

    Introdu codul CAEN și dimensiunea firmei — generăm instant lista obligațiilor GDPR și NIS2 specifice activității tale.

    Verifică obligațiile pentru codul tău CAEN

    Verifică obligațiile specifice codului tău CAEN sau citește ghidul complet NIS2 →

    Întrebări frecvente

    Verifică exact ce se aplică firmei tale

    Introdu codul CAEN și dimensiunea firmei — generăm instant lista obligațiilor GDPR și NIS2 specifice activității tale.

    Verifică obligațiile pentru codul tău CAEN

    Notă: Informațiile prezentate pe această pagină au caracter orientativ și sunt generate automat pe baza codului CAEN declarat. Ele nu constituie consultanță juridică și nu înlocuiesc analiza unui specialist în protecția datelor sau drept IT. Reglementările GDPR și NIS2 pot fi interpretate diferit în funcție de contextul specific al fiecărei organizații. BrainTrust nu își asumă răspunderea pentru deciziile luate exclusiv pe baza acestui instrument.

    Sursele acestei pagini au fost verificate ultima dată la .

    Folosim cookie-uri

    Folosim cookie-uri pentru a îmbunătăți experiența de navigare și a analiza traficul site-ului. Făcând clic pe „Acceptă", sunteți de acord cu utilizarea cookie-urilor. Politica de cookie-uri