Ce este GDPR și de ce te privește chiar dacă ai 3 angajați

GDPR (General Data Protection Regulation – Regulamentul UE 2016/679) este legea europeană privind protecția datelor cu caracter personal, aplicabilă din 25 mai 2018. În România, autoritatea de supraveghere este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), iar legea complementară este Legea 190/2018.

Adevărul incomod: GDPR se aplică oricărei firme care prelucrează date personale, indiferent de dimensiune. Dacă ai măcar:

  • O bază de clienți cu nume, telefoane sau email-uri
  • Un site web cu formular de contact sau Google Analytics
  • Angajați (cu CV-uri, contracte, salarii)
  • O cameră de supraveghere la sediu
  • Newsletter, ofertare prin email, factură electronică

...atunci ești operator de date și ai obligații concrete sub GDPR. Nu există „prag minim" sau „scutire pentru firme mici". Există doar simplificări la unele obligații pentru firme sub 250 angajați – dar majoritatea regulilor se aplică identic.

⚠️ ANSPDCP publică lunar lista sancțiunilor. În 2024-2025 au fost amendate firme cu sub 10 angajați (cabinete medicale, magazine online mici, agenții imobiliare, firme de transport). Cea mai frecventă cauză: lipsa măsurilor minime de securitate IT și consimțământ neconform.

Termenii esențiali – pe înțeles, în 60 de secunde

Cei 6 termeni GDPR pe care trebuie să îi înțelegi Date personale Orice informație care identifică o persoană: nume, CNP, email, telefon, adresă, IP, date GPS, poză, voce, semnătură. Date sensibile (categorii speciale) Sănătate, religie, etnie, opinii politice, viață sexuală, date biometrice, condamnări. Reguli MULT mai stricte! Operator (controller) Firma ta — decizi DE CE și CUM sunt prelucrate datele. Răspunderea principală e a ta sub GDPR. Persoană vizată Persoana fizică ale cărei date le prelucrezi: client, angajat, candidat, abonat newsletter, vizitator site web. Persoană împuternicită Furnizor care prelucrează date PENTRU TINE: contabil extern, SaaS facturare, hosting site, platformă de email marketing. Consimțământ Acord LIBER, SPECIFIC, INFORMAT și NEAMBIGUU. Bifa pre-bifată = neconformă. Trebuie revocabilă oricând.
Cei 6 termeni GDPR cheie pe care orice antreprenor trebuie să îi înțeleagă pentru a discuta corect despre conformitate.

Cele 6 baze legale de prelucrare – ce te „scapă" că prelucrezi date

Una dintre cele mai răspândite confuzii: nu ai nevoie de consimțământ pentru orice. GDPR oferă 6 baze legale alternative. Trebuie să alegi una validă pentru fiecare tip de prelucrare.

  1. Consimțământ – persoana a fost de acord explicit (newsletter marketing, cookies non-esențiale)
  2. Executarea unui contract – datele sunt necesare pentru a furniza serviciul (livrarea unui produs, facturare client)
  3. Obligație legală – legea ne obligă să prelucrăm (CNP pentru factură fiscală, evidențe contabile, fișa postului)
  4. Interese vitale – pentru salvarea unei vieți (rar aplicabil în business)
  5. Sarcină publică – pentru autorități, instituții publice
  6. Interes legitim – cel mai flexibil, dar trebuie justificat (ex. prevenirea fraudei, securitate, marketing direct moderat)

💡 Sfat practic: pentru o firmă mică standard, 90% din prelucrările tale se acoperă cu „executare contract" și „obligație legală". Consimțământul rămâne obligatoriu doar pentru: newsletter marketing, cookies de tracking neesențiale și prelucrări de date sensibile.

Cele 7 obligații concrete ale unei firme mici sub GDPR

1. Politica de confidențialitate publică pe site

Document clar pe site, accesibil din footer, care explică în limbaj simplu: ce date colectezi, de ce, pe ce bază legală, cu cine le partajezi, cât timp le păstrezi, ce drepturi are persoana, cum o contactează. Lipsa politicii este una din cele mai amendate neconformități.

2. Banner și politică de cookies

Dacă ai Google Analytics, Facebook Pixel, hărți Google sau orice tracker, ai nevoie de banner care permite acceptul/refuzul cookies-urilor non-esențiale ÎNAINTE ca acestea să se activeze. Bifa pre-bifată sau „continuă navigarea = accept" sunt invalide.

3. Registrul prelucrărilor (RoPA)

Document intern care listează toate categoriile de prelucrări: scop, baze legale, categorii de date și de persoane vizate, destinatari, termen de păstrare, măsuri de securitate. Pentru firmele cu sub 250 angajați există o scutire teoretică, dar în practică se aplică rar – cei mai mulți operatori obișnuiți trebuie totuși să îl țină.

Exemplu de Registru Prelucrări (RoPA) – format minim acceptabil Scop prelucrare Bază legală Categorii date Persoane vizate Destinatari Retenție Facturare clienți și recuperare creanțe Contract + obligație legală Nume, CUI/CNP, adresă, telefon, IBAN Clienți (PF/PJ), reprezentanți Contabil extern, ANAF, SaaS facturare 10 ani (Cod fiscal) Recrutare și evaluare candidați Consimțământ + interes legitim CV, scrisoare intenție, interviuri Candidați Echipa internă HR, platformă recrutare 3 ani max (cu consimțământ) Newsletter marketing Consimțământ Email, nume, preferințe Abonați Mailchimp / Brevo (SCC pentru SUA) Până la dezabonare Supraveghere video la sediu Interes legitim (securitate) Imagini video cu persoane Angajați, vizitatori Doar intern, poliție la cerere 30 zile max (recomandat) Registrul real al firmei tale conține de obicei 8-15 categorii. Documentul se actualizează când apar prelucrări noi.
Exemplu de registru de prelucrări simplificat pentru o firmă mică. Documentul este obligatoriu și esențial la un control ANSPDCP.

4. Informarea persoanelor vizate

Înainte sau în momentul colectării datelor, persoana trebuie să știe: cine ești, de ce colectezi datele, cu cine le partajezi, ce drepturi are. În practică, printr-o notă scurtă lângă formular plus link la politica de confidențialitate. Pentru angajați, prin fișa internă de informare GDPR.

5. Răspunsul la cererile persoanelor (drepturile vizate)

Orice client sau angajat are 7 drepturi GDPR: acces, rectificare, ștergere, restricționare, portabilitate, opoziție, neautomatizare. Trebuie să răspunzi în maxim 30 de zile (extensibil la 60 cu motivare). Procedura de răspuns trebuie pregătită din timp – când cererea sosește, deja începe ceasul.

6. Măsuri tehnice și organizatorice de securitate

GDPR cere măsuri „adecvate" de protecție. Pentru o firmă mică, minimul realist:

7. Notificarea breșelor în 72 ore

Dacă apare un incident de securitate care afectează date personale (furt laptop, ransomware, email trimis greșit, breșă cont email), trebuie să notifici ANSPDCP în maxim 72 ore. Dacă breșa e gravă, trebuie să anunți și persoanele afectate direct. Lipsa notificării – amenzi semnificative documentate.

Cele 7 drepturi ale persoanelor vizate – pe scurt

Cele 7 drepturi GDPR – ce poate cere orice client sau angajat 📋 1. Acces „Spune-mi ce date ai despre mine" ✏️ 2. Rectificare „Corectează datele greșite despre mine" 🗑️ 3. Ștergere („dreptul de a fi uitat") „Șterge tot ce ai despre mine" (cu excepții) 🔒 4. Restricționare „Păstrează datele dar nu le mai folosi" 📦 5. Portabilitate „Dă-mi datele mele într-un format reutilizabil" 6. Opoziție „Mă opun la prelucrare (în special marketing)" 🤖 7. Neautomatizare „Nu vreau să fiu evaluat de un algoritm" (scoring) ⏱️ Termen răspuns 30 ZILE (extensibil la 60 cu motivare scrisă) Lipsa răspunsului = încălcare clară. ANSPDCP urmărește activ aceste plângeri.
Drepturile persoanelor vizate sub GDPR. Fiecare cerere primită declanșează un termen de 30 de zile pentru răspuns.

Amenzile reale aplicate de ANSPDCP în România

Departe de a fi „doar pe hârtie", ANSPDCP aplică amenzi consistente. Iată tipurile reale de cazuri din ultimele rapoarte publice:

  • 3.000–10.000 EUR – lipsa măsurilor minime de securitate (parole slabe, fără MFA, fără criptare). Cazuri tipice: cabinete medicale mici, agenții imobiliare.
  • 10.000–30.000 EUR – breșă de date nereportată în 72 ore. Cazuri tipice: magazine online cu baze de clienți compromise, cabinete cu echipamente furate.
  • 20.000–80.000 EUR – consimțământ neconform pentru marketing, cookies fără banner real. Cazuri tipice: magazine online medii, agenții turism.
  • 50.000–150.000 EUR – prelucrare de date sensibile (sănătate, biometrice) fără bază legală adecvată. Cazuri tipice: clinici, farmacii, săli fitness cu amprentă.
  • Peste 150.000 EUR – breșe de date masive, ignorarea drepturilor vizaților, recidivă.

Amenda maximă teoretică sub GDPR: 20 milioane EUR sau 4% din cifra de afaceri globală anuală (cea mai mare valoare). Pentru o firmă mică – evident nu se aplică maximul, dar 30.000 EUR pentru o firmă cu 5 angajați înseamnă cel mai probabil falimentul.

Plan de implementare – primii 90 de zile

Săptămâna 1-2: Inventar prelucrări

Listează toate categoriile de date pe care le prelucrezi: clienți, angajați, candidați, abonați newsletter, vizitatori site, parteneri. Pentru fiecare: ce date, de unde, unde le ții, cu cine le partajezi. Acesta devine baza registrului tău RoPA.

Săptămâna 3-4: Documente fundamentale

  • Politica de confidențialitate site web (publică)
  • Politica de cookies + banner funcțional
  • Notă internă de informare angajați
  • Acord de confidențialitate angajați
  • Procedură de răspuns la cererile vizaților
  • Procedură de notificare breșe

Săptămâna 5-8: Măsuri tehnice de bază

  • MFA activat pe email-ul firmei și sistemele critice
  • Parole puternice + manager de parole
  • Criptare drive-uri laptop-uri
  • Backup automat criptat (NAS + cloud)
  • Antivirus / EDR profesional pe toate stațiile
  • Acces restricționat per rol (nu toată lumea vede tot)
  • Firewall configurat la sediu și/sau VPN pentru remote

Săptămâna 9-10: Contracte cu împuterniciți

Identifică toate firmele/serviciile care îți prelucrează date: contabil extern, hosting, SaaS facturare, platformă email marketing, payroll. Cu fiecare trebuie semnat un DPA – Acord de Prelucrare Date. Furnizorii serioși au formularele lor standardizate.

Săptămâna 11-12: Training și operaționalizare

Sesiune scurtă cu echipa: ce e GDPR, cum recunosc o cerere de drepturi, cum raportez o suspiciune de breșă, ce nu am voie să fac. Stabilește o persoană responsabilă internă (contact GDPR, nu neapărat DPO formal).

După ziua 90: Întreținere și revizie

Revizuire anuală a registrului RoPA. Test backup. Revizuire politici la modificări de servicii. Training anual scurt cu echipa. Auditul intern – chiar și informal – previne 90% din problemele descoperite la un control.

Cum te ajutăm la iSoft Consulting cu partea tehnică GDPR

Noi nu suntem firmă de avocatură – nu îți redactăm contracte juridice. Dar implementăm partea tehnică care contează la un control: măsurile efective de securitate fără de care orice document juridic e fără efect.

  • Audit IT GDPR – verificăm starea actuală a măsurilor de securitate
  • Criptare și backup conform GDPR (3-2-1, criptat, testat)
  • MFA și control acces pe Microsoft 365, Google Workspace, sistemele interne
  • Setări tehnice cookies și banner funcțional pe site
  • Configurare DLP de bază pentru a preveni scurgerea de date
  • Training cybersecurity pentru angajați
  • Plan și procedură răspuns la incident de securitate

💡 Pentru firme cu peste 25 angajați sau cu prelucrare la scară (clinici, magazine online cu mii de clienți, școli private) recomandăm combinarea suportului IT cu serviciu DPO extern de la o firmă specializată juridic. Putem face recomandări de parteneri verificați.

Întrebări frecvente

Trebuie să mă înregistrez la ANSPDCP?

Nu. Sub GDPR (din 2018) nu mai există obligația de înregistrare prealabilă ca operator. Doar prelucrările care necesită evaluare de impact (DPIA) și anumite categorii speciale sunt notificate. O firmă mică obișnuită nu se înregistrează nicăieri.

Pot folosi un șablon GDPR de pe internet?

Da, dar trebuie ADAPTAT la specificul firmei tale. Politica de confidențialitate copy-paste de pe alt site este un steag roșu pentru ANSPDCP. Folosește un șablon ca punct de pornire, dar personalizează-l cu prelucrările tale reale.

Newsletter-ul prin Mailchimp e legal sub GDPR?

Da, dar cu precauții: trebuie consimțământ explicit la abonare (double opt-in), unsubscribe ușor, DPA semnat cu Mailchimp, mențiune în politica de confidențialitate că datele pleacă în SUA cu garanțiile contractuale standard (SCC).

Camerele de supraveghere la birou sunt permise?

Da, dar cu condiții: bază legală „interes legitim" (securitate), informarea vizibilă a vizitatorilor (semn la intrare), retenție max 30 zile (recomandat), evitarea zonelor private (vestiare, toalete), informarea angajaților prin politica internă. Înregistrările se predau doar la cerere oficială (poliție).

Dacă fac doar cumpărături online de la un client (nu vând eu) – tot mă privește GDPR?

Surprinzător – uneori da, ca operator. Dacă păstrezi un istoric al achizițiilor, faci raportări către CRM, ai bază de furnizori cu persoane de contact – ești operator pentru acele date. Volumul este însă mic, iar implementarea e proporțional simplă.

Cât valorează un audit GDPR pentru o firmă cu 10 angajați?

Costul tipic al unui audit IT-GDPR este 800–2.500 EUR în funcție de complexitate. Rezultatul: raport clar cu lipsurile actuale și plan de remediere prioritizat. Investiție mică comparativ cu costul unei amenzi sau breșe.

GDPR firme mici conformitate ANSPDCP protecție date Legea 190/2018