GDPR - Regulamentul General privind Protecția Datelor

1. Ce este GDPR?

Regulamentul General privind Protecția Datelor (GDPR - General Data Protection Regulation) este un regulament al Uniunii Europene care a intrat în vigoare pe 25 mai 2018. Acesta reprezintă cea mai importantă reformă a legislației privind protecția datelor din ultimele decenii și se aplică tuturor organizațiilor care prelucrează date personale ale cetățenilor UE, indiferent de locația lor geografică.

GDPR are ca scop principal protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal.

2. Principiile fundamentale ale GDPR

GDPR stabilește șase principii fundamentale pentru prelucrarea datelor personale:

  • Legalitate, corectitudine și transparență: Datele trebuie prelucrate în mod legal, echitabil și transparent față de persoana vizată.
  • Limitarea scopului: Datele trebuie colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
  • Minimizarea datelor: Datele prelucrate trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
  • Exactitate: Datele trebuie să fie exacte și, în cazul în care este necesar, actualizate.
  • Limitarea perioadei de stocare: Datele trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor.
  • Integritate și confidențialitate: Datele trebuie prelucrate într-un mod care asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale.

3. Drepturile persoanelor conform GDPR

GDPR acordă persoanelor fizice următoarele drepturi importante:

  • Dreptul de acces (Art. 15): Aveți dreptul de a obține confirmarea că datele dumneavoastră sunt sau nu sunt prelucrate și, în caz afirmativ, de a accesa datele și de a primi informații despre prelucrare.
  • Dreptul la rectificare (Art. 16): Aveți dreptul de a obține rectificarea datelor inexacte și completarea datelor incomplete.
  • Dreptul la ștergerea datelor - "Dreptul de a fi uitat" (Art. 17): Aveți dreptul de a obține ștergerea datelor personale în anumite condiții specifice.
  • Dreptul la restricționarea prelucrării (Art. 18): Aveți dreptul de a obține restricționarea prelucrării în anumite situații.
  • Dreptul la portabilitatea datelor (Art. 20): Aveți dreptul de a primi datele personale într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a transmite aceste date altui operator.
  • Dreptul la opoziție (Art. 21): Aveți dreptul de a vă opune prelucrării datelor personale în anumite circumstanțe.
  • Dreptul de a nu face obiectul unei decizii automate (Art. 22): Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri.
  • Dreptul de a depune o plângere (Art. 77): Aveți dreptul de a depune o plângere la o autoritate de supraveghere competentă.

4. Bazele legale pentru prelucrarea datelor

Conform GDPR (Art. 6), prelucrarea datelor este legală numai dacă și în măsura în care se aplică cel puțin unul dintre următoarele temeiuri:

  • Consimțământul: Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale personale pentru unul sau mai multe scopuri specifice.
  • Executarea unui contract: Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.
  • Obligație legală: Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului.
  • Interese vitale: Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
  • Interes public: Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.
  • Interese legitime: Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

5. Consimțământul conform GDPR

Consimțământul trebuie să îndeplinească următoarele condiții (Art. 7):

  • Trebuie să fie dat în mod liber, specific, informat și neechivoc
  • Trebuie să fie o acțiune afirmativă clară (nu poate fi presupus sau implicit)
  • Trebuie să fie ușor de retras în orice moment
  • Operatorul trebuie să poată demonstra că persoana și-a dat consimțământul
  • Cererea de consimțământ trebuie să fie prezentată într-o formă clară și ușor de înțeles, separată de alte aspecte
  • Pentru copiii sub 16 ani (sau o altă vârstă stabilită de legislația națională, dar nu mai mică de 13 ani), consimțământul trebuie dat de părinți sau tutori

6. Obligațiile operatorilor de date

GDPR impune operatorilor de date următoarele obligații principale:

  • Notificarea încălcărilor de securitate (Art. 33-34): Operatorii trebuie să notifice autoritatea de supraveghere în termen de 72 de ore de la luarea la cunoștință a unei încălcări a securității datelor personale.
  • Evaluarea impactului asupra protecției datelor (Art. 35): Când o prelucrare poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul trebuie să efectueze o evaluare a impactului.
  • Desemnarea unui DPO - Data Protection Officer (Art. 37-39): În anumite cazuri, operatorii trebuie să desemneze un responsabil cu protecția datelor.
  • Menținerea registrelor de prelucrare (Art. 30): Operatorii trebuie să țină un registru al activităților de prelucrare.
  • Implementarea măsurilor de securitate (Art. 32): Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.
  • Privacy by Design și Privacy by Default (Art. 25): Protecția datelor trebuie integrată în sistemele și procesele de afaceri încă de la început.

7. Sancțiuni și amenzi

GDPR prevede amenzi administrative considerabile pentru încălcarea prevederilor sale:

  • Amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală (se aplică suma mai mare) pentru încălcări precum: nerespectarea obligațiilor operatorilor și persoanelor împuternicite, a organismului de certificare și a organismului de monitorizare.
  • Amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală (se aplică suma mai mare) pentru încălcări precum: încălcarea principiilor de bază ale prelucrării, a condițiilor pentru consimțământ, a drepturilor persoanelor vizate sau a normelor privind transferurile internaționale de date.

Autoritățile de supraveghere iau în considerare mai mulți factori atunci când stabilesc amenzi, inclusiv natura, gravitatea și durata încălcării, caracterul intenționat sau neglijent, măsurile luate pentru atenuarea prejudiciului și comportamentul anterior al operatorului.

8. Transferul internațional de date

GDPR (Capitolul V, Art. 44-50) reglementează strict transferul de date personale în afara Spațiului Economic European (SEE):

  • Transferurile sunt permise către țări care asigură un nivel adecvat de protecție (recunoscut printr-o decizie de adecvare a Comisiei Europene)
  • În absența unei decizii de adecvare, transferurile pot fi efectuate cu garanții adecvate (cum ar fi clauzele contractuale standard, norme corporatiste obligatorii, coduri de conduită aprobate)
  • În situații specifice, transferurile pot fi efectuate pe baza unor derogații (consimțământ explicit, executarea unui contract, interese vitale etc.)

9. Cum respectă Alternative ALU prevederile GDPR

Alternative ALU este angajată să respecte pe deplin toate cerințele GDPR:

  • Prelucrăm datele dumneavoastră personale doar pe baze legale și în scopuri legitime
  • Colectăm doar datele strict necesare pentru furnizarea serviciilor noastre
  • Implementăm măsuri tehnice și organizatorice de securitate adecvate
  • Respectăm toate drepturile dumneavoastră prevăzute de GDPR
  • Păstrăm datele doar pe perioada necesară și le ștergem în mod securizat ulterior
  • Obținem consimțământul dumneavoastră explicit atunci când este necesar
  • Vă informăm transparent despre activitățile de prelucrare
  • Avem proceduri pentru gestionarea cererilor privind drepturile persoanelor vizate
  • Avem proceduri pentru notificarea și gestionarea încălcărilor de securitate

10. Exercitarea drepturilor dumneavoastră

Pentru a vă exercita drepturile prevăzute de GDPR sau pentru orice întrebări legate de protecția datelor, ne puteți contacta la:

Vom răspunde cererii dumneavoastră în termen de o lună de la primirea acesteia. În cazuri justificate, această perioadă poate fi prelungită cu încă două luni, caz în care veți fi informat despre motivul întârzierii.

11. Autoritatea de supraveghere

În România, autoritatea de supraveghere pentru protecția datelor este:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

  • Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336
  • Telefon: +40 318 059 211 sau +40 318 059 212
  • Email: anspdcp@dataprotection.ro
  • Website: www.dataprotection.ro

Aveți dreptul de a depune o plângere la ANSPDCP dacă considerați că drepturile dumneavoastră prevăzute de GDPR au fost încălcate.

12. Actualizări ale acestei pagini

Această pagină este actualizată periodic pentru a reflecta orice modificări ale legislației GDPR sau ale practicilor noastre de protecție a datelor. Vă recomandăm să consultați periodic această pagină pentru a fi la curent cu cele mai recente informații.

Ultima actualizare: 13.05.2026