ANSPDCP — autoritatea de supraveghere și competențele ei

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritatea independentă din România responsabilă cu aplicarea GDPR și a Legii nr. 190/2018. Sediul e în București, B-dul G-ral Gheorghe Magheru nr. 28-30. Competențele sunt: investigare (controale planificate sau la reclamație), corecție (avertisment, mustrare, ordin de conformare, restricționare temporară sau definitivă a prelucrării, amendă administrativă), autorizare și consultare (avize, decizii pe coduri de conduită, aprobare BCR). ANSPDCP publică periodic rapoarte anuale și ghiduri sectoriale — în 2024 a publicat ghidul pentru sectorul medical privat și ghidul pentru e-commerce. Controalele pot fi declanșate de reclamație individuală, sesizare oficiu, sau plan anual de controale tematice (în 2024-2025 tematicile au fost: prelucrarea datelor în context HR, cookies pe site-urile media, lead-uri imobiliare colectate de agenți).

Legea 190/2018 — completări specifice României

Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR a fost adoptată pe 18 iulie 2018 și completează regulamentul cu prevederi naționale. Aspecte cheie: (a) Art. 6 stabilește că prelucrarea CNP-ului în contexte non-statutare cere consimțământ explicit sau temei legal expres — interzis să-l ceri într-un formular fără justificare clară; (b) Art. 7 reglementează prelucrarea datelor în context HR și permite monitorizarea angajatului doar cu informare prealabilă, justificare proporțională și consultare reprezentanți; (c) Art. 8 dispune că autoritățile publice nu se pot baza pe interesul legitim ca temei juridic; (d) Art. 13 prevede reducerea cu 50% a amenzii dacă operatorul recunoaște încălcarea și plătește în 15 zile; (e) Art. 14 instituie un regim specific pentru jurnalism, libertatea de exprimare. Legea a fost ușor modificată în 2021 pentru clarificări procedurale.

Sancțiuni reale 2023-2025 — ce a amendat ANSPDCP

ANSPDCP a publicat sancțiunile aplicate în rapoartele anuale. Tendințe relevante: în 2023 amenzi cumulate ~3.5 mln EUR, în 2024 ~5.2 mln EUR, primele 4 luni 2025 deja peste 2 mln EUR. Cazuri notabile recente: Reff & Associates (Deloitte Legal) amendat 2.000 EUR pentru lipsă măsuri de securitate care a permis acces neautorizat la dosare; Vodafone România amendat 100.000 EUR în 2023 pentru telemarketing fără consimțământ valabil; companie de transport amendată 150.000 EUR pentru monitorizare angajaților cu GPS fără informare proporțională; clinică stomatologică amendată 8.000 EUR pentru păstrare excesivă a fișelor pacienților (15 ani peste termenul legal); agenție imobiliară amendată 5.000 EUR pentru contact lead-uri fără consimțământ marketing. Median-ul amenzilor IMM rămâne în zona 5-20.000 EUR, dar costul real de remediere (audit, consultanță, refacere procese) ajunge frecvent la 30-50.000 EUR.

Registrul activităților de prelucrare (ROPA) — obligatoriu cu derogări

Art. 30 GDPR impune ținerea unui Registru al Activităților de Prelucrare (ROPA) atât pentru operator cât și pentru procesator. Conține: numele și datele de contact operator/co-operator/DPO/reprezentant, scopurile prelucrării, descrierea categoriilor de subiecți și a categoriilor de date, categoriile de destinatari, transferuri în țări terțe, termenele de ștergere, descrierea generală a măsurilor de securitate. Derogarea Art. 30 (5) — întreprinderile sub 250 angajați nu sunt obligate să țină ROPA, EXCEPȚIE când prelucrarea: poate genera risc pentru drepturi, nu e ocazională, sau implică date sensibile/judiciare. Practic, orice firmă care procesează formulare cu clienți regulat (ne-ocazional) sau colectează date medicale/biometrice — DA, are nevoie de ROPA indiferent de mărime. ANSPDCP cere ROPA în control încă din primele întrebări. Template-uri publice disponibile pe site-ul autorității și pe site-urile DPO-urilor specializate.

Notificarea breach în 72h — procedură ANSPDCP

Notificarea unui incident de securitate către ANSPDCP se face prin formular online pe site-ul autorității (dataprotection.ro/breach) sau prin email la breach@dataprotection.ro. Termen 72 ore de la luarea la cunoștință (nu de la producerea incidentului). Conținut obligatoriu: descrierea naturii încălcării, categoriile și numărul aproximativ de subiecți și de înregistrări afectate, datele DPO/punct de contact, consecințele probabile, măsurile luate sau propuse. Dacă nu ai toate informațiile, depui notificare parțială cu mențiunea «informații suplimentare urmează» și completezi ulterior. Practic, în 2024 ANSPDCP a primit peste 850 notificări de breach (date publicate raport anual) — un volum semnificativ comparativ cu 2018. Cazurile cu sancțiune adițională pentru întârziere/nenotificare cresc — ANSPDCP a aplicat 12 amenzi specifice pentru nenotificare în 2024, median 20.000 EUR.

Cookie banner și ePrivacy — sancțiuni specifice

Ordonanța 13/2012 (transpunere ePrivacy) și GDPR reglementează cookies în România. Cookies strict necesare (sesiune login, coș cumpărături) — fără consimțământ. Cookies de preferințe, statistici (Google Analytics), marketing, third-party — consimțământ explicit, opt-in granular, retragere la fel de simplă. ANSPDCP a intensificat controalele cookie banner în 2024 — sancțiuni pentru: dark pattern «Accept all» mai vizibil decât «Reject»; pre-bifare; consimțământ unic pentru toate categoriile; lipsă informare per cookie/serviciu (vendor list IAB TCF). Sancțiuni 2024-2025: bancă mare amendată 75.000 EUR pentru dark pattern în banner; portal media amendat 30.000 EUR pentru lipsa opțiunii «Reject» la același nivel cu «Accept»; site e-commerce amendat 15.000 EUR pentru cookies activate înainte de consimțământ. Recomandare: folosește un CMP (Consent Management Platform) certificat — Cookiebot, Usercentrics, OneTrust sau soluție open-source ca Klaro. Verifică periodic ce cookies se setează real, nu doar ce zice banner-ul.

Date HR și monitorizarea angajatului — regim specific RO

Art. 7 din Legea 190/2018 reglementează monitorizarea angajaților. Condiții cumulative: (a) interesele legitime ale angajatorului sunt temeinic justificate și prevalează asupra drepturilor angajaților; (b) angajatorul a realizat informare prealabilă obligatorie a angajaților; (c) angajatorul a consultat sindicatul sau reprezentanții salariaților; (d) alte forme și modalități mai puțin intruzive nu au demonstrat eficiență; (e) durata stocării datelor este proporțională cu scopul, dar nu mai mare de 30 zile cu excepția cazurilor expres reglementate. Camere CCTV, monitorizare email corporativ, GPS pe mașini de serviciu — toate intră aici. Formulare HR de evaluare 360°, screening candidați, anchete interne — la fel. ANSPDCP a publicat în 2024 un ghid dedicat sectorului HR (10.000+ download-uri primele luni).

Direct marketing și prospect imobiliare — sancțiuni recente

Sectorul cel mai sancționat în România rămâne direct marketing (telemarketing, SMS, email) fără consimțământ valabil. Agenții imobiliari au fost target tematic în 2024 — ANSPDCP a controlat 28 de agenții, 14 sancționate. Cauzele frecvente: colectare contacte de pe portaluri (OLX, Storia) și apel/SMS fără consimțământ; bază de date achiziționată de la terț fără DPA și fără verificare temei la sursa originală; lipsa opțiunii unsubscribe ușor accesibilă; nesincronizare lista do-not-contact cu RNN (Registrul Național al Numerelor). Recomandare: orice lead capture B2B sau B2C trebuie să aibă checkbox separat pentru consimțământul marketing, cu text clar despre scop (newsletter, oferte, telemarketing). Loghează versiunea exactă acceptată, timestamp, IP. Pentru telemarketing, verifică RNN înainte de orice apel către numere personale.

DPO obligatoriu — criterii specifice în context RO

Art. 37 GDPR lista cazurile când DPO e obligatoriu. ANSPDCP a clarificat aplicarea în România: autorități publice de orice mărime; clinici medicale private (chiar mici, dacă procesează date pacienților sistematic); bănci, IFN-uri, asigurări; CRM-uri și operatori marketing cu baze peste 100.000 subiecți; agenții turism cu baze recurente; firme HR/recrutare care procesează CV-uri sistematic; e-commerce cu peste 50.000 clienți activi. DPO trebuie comunicat ANSPDCP prin formular online — informația rămâne publică pe site autoritate. DPO poate fi intern sau extern (consultanță), poate fi același pentru mai multe firme grup. Conflict de interese: DPO NU poate fi CEO, director IT, head of marketing, head of HR — funcții care decid scopuri și mijloace.

Codul de conduită sectorial — alternativa pragmatică

Art. 40 GDPR permite asociațiilor sectoriale să elaboreze coduri de conduită aprobate de autoritate. În România, codurile aprobate până în 2025: codul sectorial bancar (ARB), codul pentru agenții publicitare (IAB România în lucru), cod pentru e-commerce (ANCEX în consultare). Aderarea la cod aprobat oferă: prezumție de conformitate pe aspectele acoperite; reducere risc sancțiune în control; semnal de încredere către utilizatori. Pentru sectoare nereprezentate de asociație activă, alternativa e certificarea individuală (Art. 42) — operatori certificați ISO 27701 sau europrivacy.

Cum răspunzi la un control ANSPDCP

Controlul începe cu adresă scrisă (rar inopinat fizic, doar sectoare speciale). Termen de răspuns inițial: 30 zile, extindere până la 60 zile motivat. Cere: ROPA, politicile interne (privacy notice, retention, breach response), DPA cu sub-procesatori, dovezi tehnice de securitate (audit-uri, ISO certs), audit log accesare date sensibile, dovezi training angajați, evidență drepturilor exercitate (DSAR). NU dezinfecta arhivele înainte de control — păstrarea selectivă e infracțiune. Răspunde pe fond, nu evaziv. Dacă găsești neconformitate în răspunsul tău, declar-o cu plan de remediere — ANSPDCP apreciază transparența și deseori reduce sancțiunea. Asistența DPO sau avocat specializat e recomandată — cazurile complexe pot ajunge în contencios administrativ și apoi ICCJ.