Legislația română privind protecția datelor: ghid GDPR, Legea 190/2018 și ANSPDCP (2026)

România aplică protecția datelor prin GDPR și prin Legea nr. 190/2018, care adaugă reguli naționale privind supravegherea angajaților, datele biometrice și numărul de identificare național (CNP). ANSPDCP supraveghează conformitatea și poate amenda entitățile private cu până la 20 de milioane de euro în temeiul articolului 9 din GDPR.
România a fost printre primele state membre ale UE care au adoptat legislație de punere în aplicare a GDPR. Legea nr. 190/2018 a fost publicată în Monitorul Oficial la 26 iulie 2018 și a devenit aplicabilă cinci zile mai târziu, la 31 iulie 2018, la doar două luni după ce GDPR a devenit aplicabil în întreaga UE.
Cadrul român de protecție a datelor este acum suficient de matur încât ANSPDCP a construit un dosar substanțial de aplicare a legii, care acoperă serviciile financiare, tehnologia, comerțul cu amănuntul, evenimentele și persoane politice individuale. Acest ghid acoperă întregul regim românesc: temeiurile constituționale, completările aduse de Legea nr. 190/2018, structura și competențele ANSPDCP, temeiurile juridice, drepturile persoanelor vizate, regulile privind responsabilul cu protecția datelor (DPO), notificarea încălcărilor de securitate, transferurile transfrontaliere, regimul de sancționare a autorităților publice, suprapunerea cu Regulamentul UE privind inteligența artificială, evoluțiile recente din 2024-2025 și îndrumări practice de conformitate.
Pentru context la nivelul întregii UE, consultați prezentarea noastră privind legislația UE de protecție a datelor. Pentru regulile românești privind consimțământul la înregistrare, consultați legislația română privind înregistrarea convorbirilor.
Răspuns rapid
România aplică direct GDPR și îl completează cu Legea nr. 190/2018. ANSPDCP aplică ambele instrumente. Cele mai distinctive reguli naționale sunt: o procedură obligatorie de avertizare prealabilă, înainte de a putea fi aplicată orice amendă unei autorități publice; un plafon de 200.000 de lei (aproximativ 40.000 de euro) pentru amenzile aplicate autorităților publice; cerințe suplimentare de consimțământ sau de temei legal pentru datele genetice, biometrice și de sănătate utilizate în procesul decizional automatizat; limite stricte privind sistemele CCTV de supraveghere la locul de muncă; și obligația de a desemna un responsabil cu protecția datelor ori de câte ori un operator prelucrează numărul de identificare național (CNP) în temeiul interesului legitim.
Temeiul constituțional
Cadrul român de protecție a datelor se sprijină pe temelii constituționale. Articolul 26 din Constituția României (dreptul la viață intimă, familială și privată) impune autorităților publice să respecte și să protejeze viața privată. Articolul 28 (secretul corespondenței) întărește această protecție, acoperind și comunicațiile electronice. Aceste dispoziții nu creează, prin ele însele, un drept de sine stătător la protecția datelor, dar influențează modul în care instanțele românești și ANSPDCP interpretează dispozițiile ambigue din GDPR și din legislația națională. Contestațiile constituționale privind legile de reținere a datelor au fost soluționate parțial pe baza articolului 26, de către Curtea Constituțională a României.
GDPR ca lege principală
GDPR se aplică direct, ca drept al UE, în România. Nu există o lege națională separată și cuprinzătoare privind protecția datelor, echivalentă cu GDPR; în schimb, Legea nr. 190/2018 completează spațiile pe care GDPR le-a lăsat în mod expres reglementării statelor membre. Aceasta înseamnă că majoritatea dispozițiilor GDPR, inclusiv definițiile, temeiurile de legalitate, drepturile persoanelor vizate, obligațiile operatorilor și persoanelor împuternicite, protecția datelor începând cu momentul conceperii și principalele niveluri de sancțiuni, se aplică în România fără nicio modificare la nivel național.
Legea nr. 190/2018 este relativ scurtă. Dispozițiile sale operative vizează:
- prelucrarea datelor genetice, biometrice și de sănătate în scopul luării deciziilor automatizate sau al creării de profiluri;
- reguli privind numărul de identificare național (CNP);
- supravegherea electronică a angajaților la locul de muncă;
- condiția de desemnare a unui responsabil cu protecția datelor, legată de prelucrarea CNP în temeiul interesului legitim;
- regimul de sancțiuni pentru autoritățile și organismele publice.
Legislație complementară
Legea nr. 506/2004 pune în aplicare Directiva ePrivacy și reglementează prelucrarea datelor cu caracter personal în comunicațiile electronice, inclusiv regulile privind consimțământul pentru module cookie. Cazul de sancționare a lui Calin Georgescu din 2025 (discutat mai jos) a fost soluționat parțial în temeiul Legii nr. 506/2004, alături de GDPR. OUG 155/2024, aprobată prin Legea nr. 124/2025, transpune Directiva NIS2 și adaugă obligații de notificare a incidentelor de securitate cibernetică, care funcționează în paralel cu obligațiile de notificare a încălcărilor de securitate prevăzute de GDPR, pentru entitățile din sectoarele critice.
ANSPDCP: structură și competențe
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este autoritatea independentă de supraveghere a protecției datelor din România. Aceasta a fost înființată înainte de era GDPR și a fost desemnată drept autoritatea de supraveghere competentă în temeiul articolului 51 din GDPR.
ANSPDCP este condusă de un președinte numit de Senatul României, pentru un mandat de cinci ani, care poate fi reînnoit. Autoritatea raportează anual Parlamentului și funcționează independent de puterea executivă. Aceasta participă la Comitetul European pentru Protecția Datelor (CEPD) ca reprezentant național al României.
Competențe de investigare și corective
ANSPDCP deține întreaga gamă de competențe prevăzute la articolul 58 din GDPR. Din perspectiva investigării, aceasta poate solicita accesul la sedii, poate cere operatorilor și persoanelor împuternicite să furnizeze orice informație de care are nevoie și poate efectua controale. Din perspectiva măsurilor corective, poate emite avertismente, mustrări, dispoziții de conformare la solicitările persoanelor vizate, limitări ale prelucrării și interdicții de prelucrare. Poate dispune rectificarea sau ștergerea datelor și poate suspenda fluxurile de date către țări terțe. De asemenea, poate aplica direct amenzi administrative.
Statistici de aplicare a legii
Autoritatea gestionează un volum ridicat de plângeri, raportat la populația României. Numai în 2019, a primit peste 6.000 de plângeri și notificări de incidente. Între 2019 și 2023, ANSPDCP a emis 235 de amenzi GDPR, dintre care doar 63 au fost contestate în instanță. Dintre cele 28 de cauze soluționate definitiv de instanțe, potrivit datelor disponibile, 23 au confirmat poziția ANSPDCP. Această rată ridicată de confirmare reflectă o instanță obișnuită să aplice principiile GDPR și o autoritate de aplicare a legii cu o practică bine fundamentată.

Temeiuri juridice pentru prelucrare
România aplică toate cele șase temeiuri de legalitate prevăzute la articolul 6 din GDPR, fără nicio modificare la nivel național:
Consimțământul (articolul 6 alineatul (1) litera a)) trebuie să fie liber exprimat, specific, informat și lipsit de ambiguitate. Căsuțele bifate în prealabil și tăcerea nu constituie consimțământ. Consimțământul poate fi retras în orice moment, iar retragerea trebuie să fie la fel de simplă precum acordarea acestuia.
Contractul (articolul 6 alineatul (1) litera b)) acoperă prelucrarea necesară pentru executarea unui contract cu persoana vizată sau pentru etapele premergătoare încheierii acestuia.
Obligația legală (articolul 6 alineatul (1) litera c)) se aplică prelucrării impuse de dreptul UE sau de legislația română.
Interesele vitale (articolul 6 alineatul (1) litera d)) reprezintă un temei restrâns, aplicabil situațiilor de urgență.
Sarcina publică (articolul 6 alineatul (1) litera e)) se aplică operatorilor care exercită autoritate publică sau o sarcină de interes public.
Interesele legitime (articolul 6 alineatul (1) litera f)) necesită un test de proporționalitate și nu este disponibil autorităților publice care acționează în exercitarea atribuțiilor lor oficiale.
Consimțământul: precedentul Orange România
Practica românească a generat îndrumări importante privind consimțământul. Cauza Orange România (CJUE C-61/19) a implicat un operator de telecomunicații românesc, care introducea o căsuță de bifat în contractele pe suport de hârtie, pentru consimțământul de a copia actul de identitate. CJUE a stabilit că o căsuță bifată în prealabil, într-un contract pe suport de hârtie, nu constituie un consimțământ liber exprimat și lipsit de ambiguitate. Deși este o cauză mai veche, aceasta rămâne o îndrumare autoritară privind ceea ce reprezintă un consimțământ valid, atât în România, cât și în întreaga UE.
Categorii speciale de date cu caracter personal
Interdicția prevăzută la articolul 9 din GDPR privind prelucrarea datelor sensibile se aplică în România. Legea nr. 190/2018 adaugă o regulă specifică pentru prelucrarea automatizată: prelucrarea datelor genetice, biometrice sau de sănătate în scopul luării deciziilor automatizate sau al creării de profiluri este permisă doar cu consimțământul explicit al persoanei vizate sau dacă prelucrarea se realizează în temeiul unei dispoziții legale exprese, cu măsuri de protecție adecvate.
Aceasta înseamnă că un operator nu se poate baza pe derogările standard de la articolul 9 alineatul (2) literele b) până la j) pentru crearea de profiluri automatizate din categorii sensibile de date, în România, fără consimțământ explicit sau fără o dispoziție legală care să stabilească garanții adecvate. Restricția este semnificativă pentru asigurători, platformele din domeniul sănătății și furnizorii de tehnologie pentru resurse umane care utilizează instrumente algoritmice.
Datele privind sănătatea, prelucrate în scopuri de sănătate publică, nu pot fi ulterior utilizate în alte scopuri de către entități terțe.
Numărul de identificare național (CNP)
Codul Numeric Personal, sau CNP, este identificatorul național din 13 cifre al României, atribuit fiecărui cetățean și rezident. Legea nr. 190/2018 îl tratează drept o categorie specială de prelucrare, datorită funcției sale de identificator universal, care creează un risc de asociere a datelor între diferite seturi de date.
Prelucrarea CNP este permisă atunci când este impusă de lege, atunci când persoana vizată și-a dat consimțământul explicit sau atunci când prelucrarea este necesară pentru scopuri de interes public substanțial, cu garanții adecvate. Pentru prelucrarea în temeiul interesului legitim, în mod specific, Legea nr. 190/2018 declanșează obligația de desemnare a unui responsabil cu protecția datelor (a se vedea mai jos). Operatorii trebuie să implementeze garanții precum restricționarea accesului, jurnalele de audit și limitarea stocării, pentru a proteja datele CNP.
Orice document care conține un CNP, precum o copie a cărții de identitate, intră sub incidența acestui regim. Întreprinderile care copiază, în mod curent, documentele de identitate ale clienților în scopuri de cunoaștere a clientelei sau alte scopuri de conformitate, ar trebui să se asigure că au un temei legal valid și garanții adecvate pentru datele CNP conținute în aceste documente.
Drepturile persoanelor vizate
România aplică toate drepturile persoanelor vizate prevăzute de GDPR, fără derogări. Persoanele vizate au dreptul de acces (articolul 15), dreptul la rectificare (articolul 16), dreptul la ștergerea datelor (articolul 17), dreptul la restricționarea prelucrării (articolul 18), dreptul la portabilitatea datelor (articolul 20) și dreptul la opoziție (articolul 21). Drepturile referitoare la procesul decizional individual automatizat, prevăzute la articolul 22, se aplică, de asemenea, integral.
Practica de aplicare a legii de către ANSPDCP arată o utilizare activă a articolelor 15 și 17. În cazul Untold SRL (septembrie 2024), autoritatea a amendat organizatorul festivalului cu 49.741 de lei (10.000 de euro) pentru neîndeplinirea unei cereri de acces la datele cu caracter personal și cu încă 24.870,5 lei (5.000 de euro) pentru neîndeplinirea unei cereri conexe de ștergere a datelor. În cazul Orange România (decembrie 2024), ANSPDCP a amendat operatorul de telecomunicații cu 199.020 de lei (40.000 de euro), pentru încălcarea dreptului la ștergerea datelor, prevăzut de articolele 12 și 17 din GDPR, și pentru încălcări ale articolelor 5, 6 și 7.
Termenele de răspuns urmează regulile GDPR: o lună de la primirea cererii, cu posibilitatea prelungirii la trei luni pentru cereri complexe sau numeroase.
Cerințele privind responsabilul cu protecția datelor
Condițiile standard de desemnare a unui responsabil cu protecția datelor (DPO), prevăzute la articolul 37 din GDPR, se aplică în România: obligatorie pentru autoritățile publice, pentru operatorii implicați în monitorizarea sistematică la scară largă și pentru prelucrarea la scară largă a datelor din categorii speciale.
Legea nr. 190/2018 adaugă o condiție națională: un responsabil cu protecția datelor trebuie desemnat, de asemenea, ori de câte ori un operator prelucrează CNP în temeiul interesului legitim (articolul 6 alineatul (1) litera f)), inclusiv prin colectarea sau divulgarea de documente care conțin CNP. Aceasta reprezintă o extindere semnificativă, întrucât mulți operatori din sectorul privat, inclusiv bănci, asigurători, proprietari și angajatori, prelucrează în mod curent date CNP în temeiul interesului legitim. Nedesemnarea unui responsabil cu protecția datelor în astfel de situații poate atrage amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală mondială.
Responsabilii cu protecția datelor trebuie să dețină cunoștințe de specialitate în domeniul dreptului și al practicilor de protecție a datelor. Rolul poate fi externalizat unui furnizor de servicii extern. Operatorii trebuie să notifice ANSPDCP cu privire la desemnarea responsabilului lor cu protecția datelor, folosind formularele și procedurile publicate pe site-ul autorității.
Notificarea încălcărilor de securitate
Se aplică regulile standard GDPR privind notificarea încălcărilor de securitate. O încălcare a securității datelor cu caracter personal care poate genera un risc pentru drepturile și libertățile persoanelor trebuie notificată ANSPDCP în termen de 72 de ore de la momentul în care operatorul a luat cunoștință de aceasta. România nu are derogări naționale de la această obligație.
ANSPDCP utilizează Decizia nr. 128/2018 ca format model pentru notificările de încălcare a securității datelor. Dacă notificarea nu poate fi făcută în termen de 72 de ore, operatorul trebuie să furnizeze o explicație motivată, alături de notificare.
În situația în care o încălcare poate genera un risc ridicat pentru persoanele fizice, persoanele vizate afectate trebuie, de asemenea, notificate direct, fără întârzieri nejustificate.
Entitățile care intră și în sfera de aplicare a regimului NIS2 (Legea nr. 124/2025) se confruntă cu obligații paralele de notificare a incidentelor către DNSC, care funcționează pe baza unui termen de raportare inițială de 24 de ore pentru incidentele semnificative, distinct de termenul de 72 de ore prevăzut de GDPR.

Monitorizarea angajaților
Articolul 5 din Legea nr. 190/2018 stabilește restricțiile distinctive ale României privind supravegherea angajaților.
În primul rând, sistemele CCTV instalate pentru securitatea clădirii sau monitorizarea spațiilor publice nu pot fi reconfigurate pentru a monitoriza angajații la locul de muncă. O cameră amplasată la intrarea unui depozit poate surprinde intrările și ieșirile, dar nu poate fi repoziționată sau reconfigurată prin software pentru a urmări productivitatea angajaților, tiparele de deplasare sau respectarea instrucțiunilor de lucru.
În al doilea rând, supravegherea electronică a angajaților la locul de muncă este permisă doar în condițiile stabilite de GDPR, coroborat cu articolul 5 din Legea nr. 190/2018. Angajatorii trebuie să informeze lucrătorii, în prealabil, cu privire la existența și scopul oricărei monitorizări. Monitorizarea trebuie să fie proporțională cu scopul legitim urmărit și nu trebuie să aducă atingere demnității lucrătorului.
ANSPDCP a aplicat direct aceste reguli. Cazul Global Ports Services SRL (septembrie 2024) s-a soldat cu o amendă de 2.000 de euro pentru monitorizarea GPS a angajaților, fără un temei legal corespunzător. Cazul Entirely Shipping and Trading a rezultat în amenzi pentru prelucrarea excesivă a imaginilor angajaților prin camere video și pentru prelucrarea neautorizată a datelor biometrice de amprentă.
Prelucrarea datelor biometrice
Prelucrarea datelor biometrice pentru controlul accesului este supusă unei examinări sporite în România. ANSPDCP a confirmat că scopul controlului accesului, luat singular, nu constituie un temei legal suficient pentru prelucrarea datelor biometrice ale angajaților și ale vizitatorilor. Este necesară fie o dispoziție legală expresă care să ofere garanții adecvate, fie consimțământul explicit.
Aceasta afectează cititoarele de amprente, scanerele de venă palmară, porțile de recunoaștere facială și scanerele de iris utilizate pentru accesul în clădiri. Interesul legitim al angajatorului de a controla accesul în incintă nu este suficient pentru a justifica aceste sisteme, conform legislației române. Organizațiile care au implementat controlul biometric al accesului ar trebui să evalueze dacă dispun de un temei legal corespunzător și să analizeze dacă alternative mai puțin intruzive ar putea atinge același obiectiv de securitate.
Vârsta consimțământului digital
România a menținut vârsta implicită a consimțământului digital, prevăzută de GDPR, la 16 ani. Copiii sub 16 ani au nevoie de consimțământul verificabil al părinților sau al tutorelui pentru a utiliza servicii ale societății informaționale, inclusiv platforme de socializare, jocuri online și servicii digitale pe bază de abonament.
Transferuri transfrontaliere de date
România aplică cadrul standard prevăzut la capitolul V din GDPR pentru transferurile de date cu caracter personal în afara SEE. Transferurile necesită unul dintre următoarele:
- o decizie de adecvare a Comisiei Europene, care confirmă nivelul echivalent de protecție al țării terțe;
- garanții adecvate, precum clauzele contractuale standard, regulile corporatiste obligatorii sau codurile de conduită aprobate;
- una dintre derogările specifice prevăzute la articolul 49, precum consimțământul explicit sau necesitatea pentru executarea unui contract.
Nu există derogări sau restricții naționale suplimentare românești privind transferurile internaționale, dincolo de cadrul GDPR. Clauzele contractuale standard actualizate în 2021, emise de Comisia Europeană, sunt utilizate în prezent. ANSPDCP poate suspenda sau interzice transferurile atunci când constată că nu poate fi asigurată o protecție adecvată.
Sancțiuni și practica de aplicare a legii
Amenzi standard pentru entitățile private
Structura de sancțiuni pe două niveluri, prevăzută de GDPR, se aplică integral pentru operatorii și persoanele împuternicite din sectorul privat:
- până la 10 milioane de euro sau 2% din cifra de afaceri anuală mondială pentru încălcările din categoria mai puțin gravă (articolele 8, 11, 25-39, 42, 43);
- până la 20 de milioane de euro sau 4% din cifra de afaceri anuală mondială pentru încălcările din categoria cea mai gravă (articolele 5-7, 9, 12-22, 44-49).
Regimul de sancționare a autorităților publice
Legea nr. 190/2018 creează un regim substanțial diferit pentru autoritățile și organismele publice. Înainte de a putea fi aplicată orice amendă, ANSPDCP trebuie mai întâi să emită un avertisment scris, care să precizeze încălcarea, să stabilească un plan de remediere și să acorde o perioadă determinată de remediere. Doar dacă autoritatea nu finalizează planul de remediere în termen de zece zile calendaristice de la expirarea perioadei de remediere, ANSPDCP poate aplica ulterior o sancțiune financiară.
Chiar și atunci, amenda maximă pentru o autoritate publică este de 200.000 de lei, aproximativ 40.000 de euro. Acest plafon este mult sub maximul standard prevăzut de GDPR. Criticii susțin că abordarea graduală, combinată cu plafonul redus, reduce stimulentele pentru instituțiile guvernamentale de a investi în conformitate. ANSPDCP își păstrează întreaga gamă de competențe corective, inclusiv restricțiile de prelucrare și dispozițiile de ștergere, indiferent de cuantumul amenzii, iar aceste consecințe operaționale pot fi mai perturbatoare decât o amendă.
Acțiuni notabile de aplicare a legii
UniCredit Bank S.A. (130.000 de euro, 2019): una dintre cele mai mari amenzi timpurii GDPR din România. Banca a divulgat numere de identificare națională și adrese ale plătitorilor, afectând aproximativ 337.042 de persoane vizate.
Raiffeisen Bank S.A. (150.000 de euro) și Vreau Credit S.R.L. (20.000 de euro) (2019): doi angajați ai Raiffeisen Bank au folosit date de identificare a clienților, furnizate de personalul Vreau Credit prin WhatsApp, pentru a efectua 1.194 de simulări neautorizate ale istoricului de credit, asupra a 1.177 de persoane. Raiffeisen a fost amendată pentru măsuri de securitate inadecvate; Vreau Credit a fost amendată suplimentar pentru neanunțarea ANSPDCP cu privire la încălcare.
UiPath SRL (70.000 de euro, 2023): compania românească de software de automatizare nu a implementat măsuri tehnice și organizatorice adecvate (articolele 25 și 32 din GDPR), fapt care a condus la divulgarea neautorizată a datelor cu caracter personal ale aproximativ 600.000 de utilizatori ai platformei UiPath Academy.
Untold SRL (15.000 de euro în total, septembrie 2024): organizatorul celui mai important festival muzical din România a fost amendat cu 49.741 de lei pentru neîndeplinirea unei cereri de acces la datele cu caracter personal și cu 24.870,5 lei pentru neîndeplinirea unei cereri conexe de ștergere, cu toate că primise datele de contact ale persoanei vizate.
Orange România SA (40.000 de euro în total, decembrie 2024): operatorul de telecomunicații a primit două amenzi, totalizând 199.020 de lei, pentru încălcarea dreptului la ștergerea datelor, prevăzut de articolele 12 și 17 din GDPR, și pentru încălcări ale articolelor 5, 6 și 7 privind legalitatea, echitatea și consimțământul.
Alior Bank SA, sucursala din România (17.000 de euro, ianuarie 2024): amendată pentru trimiterea de mesaje comerciale unui fost client, prin e-mail și SMS, după ce clientul solicitase ștergerea datelor și după încetarea relației contractuale, cu încălcarea articolelor 5 și 6 din GDPR.
Global Ports Services SRL (2.000 de euro, septembrie 2024): amendată pentru monitorizarea GPS a angajaților, fără un temei legal corespunzător, conform articolelor 5 și 6 din GDPR.
Calin Georgescu (peste 50.000 de lei, 2025): fostul candidat la președinția României a fost amendat cu 30.000 de lei în temeiul Legii nr. 506/2004 și cu aproximativ 4.000 de euro în temeiul GDPR, după ce site-ul său web a instalat module cookie fără consimțământ și nu a informat utilizatorii formularului de contact cu privire la prelucrarea datelor. Tribunalul Ilfov a menținut sancțiunile ANSPDCP.

Suprapunerea cu Regulamentul UE privind inteligența artificială
Regulamentul UE privind inteligența artificială (Regulamentul (UE) 2024/1689) a intrat în vigoare la 1 august 2024, cu un calendar de aplicare etapizat. Interdicțiile privind practicile de inteligență artificială cu risc inacceptabil au devenit aplicabile la 2 februarie 2025. Obligațiile pentru modelele de inteligență artificială cu scop general au intrat în vigoare la 2 august 2025.
România navighează implementarea cu rezultate mixte. Guvernul a aprobat o Strategie Națională în domeniul Inteligenței Artificiale pentru perioada 2024-2027, în iulie 2024. Cu toate acestea, România a ratat termenul UE din 2 august 2025 pentru desemnarea unei singure autorități naționale de supraveghere a pieței.
ANSPDCP a fost notificată Comisiei Europene ca fiind una dintre cele nouă autorități publice românești responsabile de protejarea drepturilor fundamentale în contextul sistemelor de inteligență artificială cu risc ridicat, alături de Avocatul Poporului, Consiliul Național pentru Combaterea Discriminării, Consiliul Național al Audiovizualului și Autoritatea Electorală Permanentă.
Pentru sistemele de inteligență artificială care prelucrează date cu caracter personal, operatorii trebuie să respecte simultan atât cerințele Regulamentului privind inteligența artificială, cât și pe cele ale GDPR. ANSPDCP este deja poziționată să exercite supravegherea asupra deciziilor automatizate bazate pe inteligență artificială, care afectează date cu caracter personal, utilizând competențele sale actuale prevăzute la articolul 22 din GDPR, alături de orice viitor rol de aplicare a Regulamentului privind inteligența artificială.
Proiectul de lege aflat în dezbatere în România, Pl-x nr. 184/2025, privind utilizarea responsabilă a inteligenței artificiale, ar impune ca sistemele de inteligență artificială din administrația publică să fie transparente și supuse unor audituri periodice și ar interzice utilizarea inteligenței artificiale pentru decizii judiciare fără supraveghere umană. La mijlocul anului 2025, proiectul rămânea în dezbatere legislativă și se confrunta cu critici legate de posibile conflicte cu definițiile și cadrul de sancțiuni din Regulamentul privind inteligența artificială.
Evoluții privind NIS2 și securitatea cibernetică
Legea nr. 124/2025 (de aprobare a OUG 155/2024) a transpus Directiva NIS2 în legislația română, intrând pe deplin în vigoare la 10 iulie 2025. Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea de aplicare desemnată.
Entitățile esențiale și importante din sectoarele critice, inclusiv energie, finanțe, transport, sănătate și infrastructură digitală, se confruntă cu obligații sporite: măsuri tehnice și organizatorice de securitate cibernetică, formare periodică a personalului și notificarea incidentelor către DNSC în termen de 24 de ore de la un incident semnificativ. Acest termen este mai strict decât fereastra de 72 de ore pentru notificarea încălcărilor de securitate prevăzută de GDPR și funcționează concomitent cu aceasta.
Entitățile care intră sub incidența acestui regim trebuie să se înregistreze la DNSC, folosind Platforma NIS2@RO. Ordinul DNSC nr. 1/2025 și Ordinul nr. 2/2025 stabilesc regulile de înregistrare și criteriile de gestionare a riscurilor. Sancțiunile prevăzute de Legea nr. 124/2025 sunt separate de sancțiunile GDPR.
Îndrumări de conformitate pentru întreprinderi
Organizațiile care prelucrează date cu caracter personal în România ar trebui să abordeze următoarele domenii.
Regulile fundamentale GDPR se aplică integral. România nu are derogări de la drepturile fundamentale ale persoanelor vizate. Asigurați-vă că toate cererile de acces, rectificare, ștergere, restricționare și portabilitate sunt soluționate în termenul de o lună. ANSPDCP aplică activ dreptul la ștergerea datelor, așa cum demonstrează cazurile Orange România și Untold SRL.
Auditați prelucrarea CNP. Dacă organizația dumneavoastră prelucrează numere de identificare națională în temeiul interesului legitim, inclusiv prin copierea documentelor de identitate, trebuie să desemnați un responsabil cu protecția datelor. Verificați temeiul legal, implementați garanții adecvate și documentați-le.
Revizuiți monitorizarea angajaților. Camerele de securitate nu pot servi drept monitoare de productivitate. Orice supraveghere electronică a angajaților necesită notificarea prealabilă a lucrătorilor, un scop proporțional și un temei legal, atât în temeiul Legii nr. 190/2018, cât și al GDPR. Urmărirea GPS a vehiculelor companiei sau a angajaților necesită aceeași analiză.
Nu implementați controlul biometric al accesului fără un temei legal. Interesul legitim al angajatorului nu este suficient. Aveți nevoie de autorizare legală explicită sau de consimțământ explicit, cu garanții adecvate, înainte de a utiliza cititoare de amprente, recunoaștere facială sau alte sisteme biometrice pentru controlul accesului.
Desemnați un responsabil cu protecția datelor, dacă este necesar. Se aplică condițiile standard prevăzute de GDPR, plus condiția suplimentară românească pentru prelucrarea CNP în temeiul interesului legitim. Înregistrați responsabilul cu protecția datelor la ANSPDCP, utilizând formularele publicate de autoritate.
Pregătiți-vă pentru conformitatea cu Regulamentul privind inteligența artificială. Dacă utilizați sisteme de inteligență artificială care prelucrează date cu caracter personal, cartografiați atât obligațiile GDPR, cât și pe cele din Regulamentul privind inteligența artificială. Sistemele de inteligență artificială cu risc ridicat necesită o evaluare a conformității, iar ANSPDCP poate exercita supravegherea asupra deciziilor automatizate care afectează persoanele vizate.
Entități din sectoare critice: verificați sfera de aplicare NIS2. Dacă activați în sectorul energiei, financiar, transporturilor, sănătății sau digital, verificați dacă intrați sub incidența Legii nr. 124/2025 și înregistrați-vă la DNSC.
Autorități publice: nu tratați plafonul redus al amenzii drept o permisiune de a neglija conformitatea. Competențele corective ale ANSPDCP, inclusiv interdicțiile de prelucrare și dispozițiile de ștergere, se aplică indiferent de plafonul amenzii. O interdicție de prelucrare care afectează o bază de date guvernamentală poate avea consecințe operaționale mult mai mari decât o amendă.
Precizare: acest articol oferă informații generale despre legislația română privind protecția datelor și nu constituie consultanță juridică. Regulile de protecție a datelor se modifică frecvent. Consultați un avocat calificat, licențiat în România, pentru îndrumări cu privire la situația dumneavoastră specifică.
Frequently Asked Questions
Când a intrat în vigoare legea română de punere în aplicare a GDPR?
Legea nr. 190/2018 a fost publicată în Monitorul Oficial al României la 26 iulie 2018 și a devenit aplicabilă la 31 iulie 2018, făcând din România unul dintre primele state membre ale UE care au adoptat legislație de punere în aplicare a GDPR. Legea completează GDPR cu reguli naționale privind datele biometrice, monitorizarea angajaților, numerele de identificare națională și procedura de sancționare a autorităților publice.
Ce este ANSPDCP și ce competențe are?
ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) este autoritatea independentă de protecție a datelor din România. Aceasta poate investiga operatorii și persoanele împuternicite, poate gestiona plângeri, poate efectua controale, poate aplica amenzi administrative, poate restricționa sau interzice prelucrarea și poate dispune ștergerea datelor. Între 2019 și 2023, a emis 235 de amenzi GDPR, iar instanțele i-au confirmat deciziile în 23 din 28 de contestații soluționate definitiv.
Pot angajatorii din România să folosească camere de securitate pentru a monitoriza angajații?
Nu. Conform articolului 5 din Legea nr. 190/2018, sistemele CCTV instalate pentru securitatea clădirii sau monitorizarea spațiilor publice nu pot fi reconfigurate pentru a monitoriza performanța la muncă a angajaților. Supravegherea electronică la locul de muncă este permisă doar cu notificarea prealabilă a angajaților, un scop proporțional și un temei legal, în conformitate cu GDPR și cu legislația națională.
Cum sunt sancționate autoritățile publice pentru încălcări GDPR în România?
Autoritățile publice românești trebuie să primească mai întâi un avertisment scris, însoțit de un plan de remediere. Doar dacă nu implementează măsura de remediere în termen de zece zile de la termenul-limită, ANSPDCP poate aplica o amendă. Amenzile sunt plafonate la 200.000 de lei, aproximativ 40.000 de euro, mult sub maximul standard prevăzut de GDPR. Totuși, ANSPDCP poate dispune, de asemenea, restricții de prelucrare și ștergerea datelor, care nu sunt supuse acestui plafon.
Când trebuie desemnat un responsabil cu protecția datelor în România?
Se aplică condițiile standard prevăzute de GDPR pentru desemnarea unui responsabil cu protecția datelor: autorități publice, monitorizare sistematică la scară largă și prelucrare la scară largă a datelor din categorii speciale. Legea nr. 190/2018 adaugă o condiție națională: un responsabil cu protecția datelor trebuie desemnat și atunci când un operator din sectorul privat prelucrează numărul de identificare național (CNP) în temeiul interesului legitim, inclusiv prin colectarea sau divulgarea de documente care conțin CNP.
Pot angajatorii să folosească amprenta digitală sau recunoașterea facială pentru accesul în clădiri, în România?
Nu, fără un temei legal corespunzător. ANSPDCP a confirmat că scopul controlului accesului în clădire, luat singular, nu justifică prelucrarea datelor biometrice. Angajatorii au nevoie fie de autorizare legală explicită, dintr-o lege românească ce oferă garanții adecvate de protecție a datelor, fie de consimțământul explicit al fiecărui angajat și vizitator. Multe organizații au trecut la sisteme de acces cu cartelă sau cod PIN, pentru a evita această cerință.
Care este vârsta consimțământului digital în România?
România a stabilit vârsta consimțământului digital la 16 ani, adoptând valoarea implicită din GDPR. Copiii sub 16 ani au nevoie de consimțământul verificabil al părinților sau al tutorelui pentru a utiliza servicii ale societății informaționale, precum platformele de socializare, jocurile online și abonamentele digitale.
Cum se aplică Regulamentul UE privind inteligența artificială în România?
Regulamentul UE privind inteligența artificială se aplică direct în România, ca regulament al UE. Practicile de inteligență artificială interzise sunt aplicabile din 2 februarie 2025. România a desemnat ANSPDCP drept una dintre cele nouă autorități de monitorizare a drepturilor fundamentale pentru sistemele de inteligență artificială cu risc ridicat, dar, la mijlocul anului 2025, nu desemnase încă o singură autoritate națională de supraveghere a pieței, ratând termenul UE din august 2025. Sistemele de inteligență artificială care prelucrează date cu caracter personal trebuie să respecte simultan atât Regulamentul privind inteligența artificială, cât și GDPR.
Sources and References
- ANSPDCP, textul oficial al Legii nr. 190/2018(dataprotection.ro).gov
- Site-ul oficial al ANSPDCP(dataprotection.ro).gov
- CEPD, amenda UiPath 2023(edpb.europa.eu).gov
- CEPD, amenda UniCredit Bank 2019(edpb.europa.eu).gov
- ANSPDCP, sancțiunea aplicată Orange România(dataprotection.ro).gov
- GDPRhub, cazul Orange România(gdprhub.eu)
- GDPRhub, amenda aplicată Untold SRL(gdprhub.eu)
- Romania Insider, amenda GDPR aplicată lui Calin Georgescu(romania-insider.com)
- CMS, ghid privind protecția datelor în România(cms.law)
- DLA Piper, România(dlapiperdataprotection.com)
- EuroCloud, România și Regulamentul UE privind inteligența artificială(eurocloud.org)
- Kinstellar, România transpune Directiva NIS2(kinstellar.com)
- CEPD, ghid privind transferurile internaționale de date(edpb.europa.eu).gov