Firmele mici sunt obligate să țină registrul art. 30?

Ca regulă generală, da. Art. 30(5) GDPR prevede o excepție pentru organizațiile cu sub 250 de angajați — dar numai dacă prelucrarea nu este ocazională, nu implică date speciale (sănătate, biometrice etc.) și nu prezintă riscuri pentru drepturile persoanelor. În practică, aproape orice firmă activă prelucrează date în mod regulat (angajați, clienți, contabilitate), deci excepția nu se aplică. Recomandarea noastră: țineți registrul indiferent de mărime.

Registrul trebuie depus undeva sau trimis la ANSPDCP?

Nu se depune nicăieri în mod curent. Registrul este un document intern pe care trebuie să îl puteți prezenta la cerere în caz de control sau investigație ANSPDCP. ANSPDCP poate solicita accesul la registru în orice moment.

Cât de des trebuie actualizat registrul?

Ori de câte ori introduceți o activitate nouă de prelucrare, schimbați scopul, adăugați un furnizor nou sau modificați perioadele de retenție. Buna practică este o revizuire anuală formală plus actualizări ad-hoc la fiecare schimbare semnificativă.

Un Google Sheet sau Excel este suficient?

Da, formatul nu este impus de GDPR. Registrul poate fi un document Word, Excel, Google Sheet sau orice sistem intern. Important este să fie complet, actualizat și să poată fi accesat rapid în caz de control. Asigurați-vă că documentul în sine este protejat (acces restricționat, backup).

Ce se întâmplă dacă nu am registrul în momentul unui control?

Lipsa registrului de evidență a prelucrărilor constituie încălcarea art. 30 GDPR și poate atrage o amendă de până la 10 milioane EUR sau 2% din cifra de afaceri globală (nivelul 1 de sancțiuni). ANSPDCP poate sancționa inclusiv necompletarea corectă sau neactualizarea registrului.

Registrul de evidență a prelucrărilor (art. 30 GDPR) — template + ghid

Art. 30 GDPR obligă orice operator să documenteze intern toate activitățile prin care prelucrează date cu caracter personal. Nu se depune nicăieri, dar ANSPDCP îl poate solicita în orice moment. Mai jos găsiți structura obligatorie, exemple completate și un template gata de utilizare.

Cine este obligat să țină registrul?

Orice operator de date — adică orice firmă, ONG sau instituție care prelucrează date despre persoane fizice. Art. 30(5) prevede o excepție pentru organizații cu sub 250 de angajați, dar aceasta se aplică doar dacă prelucrarea este strict ocazională, nu implică date din categorii speciale și nu prezintă riscuri. În practică, angajații, clienții și contabilitatea creează obligații recurente — deci excepția nu se aplică majorității firmelor mici.

Recomandare practică: Indiferent de numărul de angajați, întocmiți și mențineți registrul. Costul este minim; riscul lipsei lui — amendă de până la 10M EUR sau 2% CA globală.

Cele 7 coloane obligatorii

Art. 30(1) GDPR impune operatorilor să includă cel puțin următoarele informații pentru fiecare activitate de prelucrare:

1. Datele de contact ale operatorului

Denumire firmă, adresă, email, telefon. Dacă aveți un reprezentant sau DPO desemnat, includeți și datele acestuia.

2. Scopurile prelucrării

De ce prelucrați datele. Ex: „Gestionarea relației contractuale cu clienții", „Procesarea statelor de plată", „Trimiterea de newsletter comercial".

3. Categoriile de persoane vizate și de date

Cine sunt persoanele (clienți, angajați, candidați) și ce tipuri de date (nume, email, CNP, date de sănătate, date bancare etc.).

4. Destinatarii datelor

Cui transmiteți datele: contabil extern, platformă CRM, furnizor email marketing, autorități publice. Nu uitați furnizorii cloud.

5. Transferuri în afara UE/SEE

Dacă folosiți servicii cu sediul în SUA sau altă țară non-UE (Google Workspace, AWS, Mailchimp etc.), menționați mecanismul de transfer (SCC, Adequacy Decision).

6. Termenele de ștergere

Cât timp păstrați datele. Ex: „10 ani" pentru documente contabile (obligație legală), „2 ani de la ultima interacțiune" pentru baze de date clienți.

7. Măsuri de securitate (art. 32)

Descriere generală: criptare, control acces, backup, instruirea angajaților, acord de confidențialitate etc.

Exemple de înregistrări completate

Tabelul de mai jos ilustrează 5 activități tipice de prelucrare din firme românești:

Activitate	Persoane vizate	Categorii de date	Temei legal	Termen ștergere
Gestionarea contractelor cu clienții	Clienți persoane fizice	Nume, adresă, email, telefon, date de facturare	Contract (art. 6(1)(b))	5 ani de la expirarea contractului
Administrarea resurselor umane	Angajați	CNP, date bancare, adresă, date medicale (concediu medical)	Obligație legală (art. 6(1)(c))	50 de ani (dosare de personal)
Newsletter și marketing	Abonați	Email, preferințe comunicare	Consimțământ (art. 6(1)(a))	Până la retragerea acordului
Contabilitate	Clienți, furnizori	Nume, CIF/CNP, date de facturare	Obligație legală (art. 6(1)(c))	10 ani
Recrutare	Candidați	CV, scrisoare de intenție, date de contact	Consimțământ (art. 6(1)(a))	6 luni de la finalizarea procesului de recrutare

Registrul complet al firmei tale va conține toate activitățile de prelucrare — nu doar cele de mai sus. Inventariați sistematic: HR, clienți, furnizori, marketing, IT, supraveghere video etc.

Cum se menține registrul

Inventariați toate fluxurile de date — discutați cu departamentele HR, vânzări, IT, marketing și identificați fiecare activitate prin care se ating date personale.
Completați o linie per activitate de prelucrare — nu per categorie de date, ci per scop. Gestionarea angajaților și procesarea salariilor sunt două activități separate.
Actualizați la orice schimbare — furnizor nou, sistem nou, scop nou, perioadă de retenție modificată.
Revizuire anuală formală — cel puțin o dată pe an, verificați că registrul reflectă realitatea operațiunilor.
Păstrați registrul accesibil și protejat — accesibil echipei de management și DPO, protejat față de acces neautorizat (nu îl lăsați public).

Template gratuit — solicită documentul DOCX

Template-ul BrainTrust include:

✓ Tabel DOCX cu toate coloanele art. 30 preformatate
✓ 10 exemple de activități de prelucrare pre-completate (HR, clienți, contabilitate, IT, marketing)
✓ Instrucțiuni de completare pentru fiecare câmp
✓ Lista termenelor de retenție recomandate pe categorii de documente

Documentul este adaptat legislației române și practicii ANSPDCP. Contactează-ne și îl primești gratuit — fără obligații.

Contactează-ne pentru template gratuit →

Registrul art. 30 și verificatorul CAEN

Verificatorul nostru CAEN analizează automat obligațiile GDPR specifice sectorului tău — inclusiv dacă ai date din categorii speciale, dacă trebuie DPO și dacă ești probabil în scope NIS2. Rezultatul îți arată exact ce activități de prelucrare trebuie să documentezi prioritar în registru.

Verifică obligațiile pentru codul tău CAEN →

Serviciu BrainTrust

Securitate Cloud & Conformitate GDPR/ISO

Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.

Vezi serviciile de conformitate GDPR