Sunt obligat să public o politică de confidențialitate?

Da, dacă prelucrați date cu caracter personal. Articolul 13 din RGPD impune furnizarea unei serii de informații obligatorii persoanei vizate la momentul colectării datelor — identitatea operatorului, scopurile și temeiul legal, destinatarii, perioada de păstrare, drepturile, informații despre transferurile internaționale. În România, această obligație este completată de Legea 190/2018. Politica de confidențialitate este modalitatea standard de a îndeplini această obligație de informare pentru operatorii cu site web, aplicații, magazine online sau orice canal digital. Lipsa politicii sau o politică incompletă/neclară este sancționabilă de ANSPDCP cu amenzi conform art. 83 RGPD — chiar dacă nu există un alt incident de securitate.

Care este vârsta minimă pentru consimțământul minorilor în România?

Conform art. 8 din Legea 190/2018 a României, vârsta minimă pentru ca un minor să își poată da în mod valabil consimțământul pentru prelucrarea datelor în legătură cu serviciile societății informaționale (rețele sociale, jocuri online, aplicații) este de 16 ani — pragul maxim permis de art. 8 alin. (1) RGPD (care lasă opțiune între 13 și 16 ani statelor membre UE). Pentru minorii sub 16 ani, prelucrarea este legală numai cu consimțământul sau autorizarea părintelui/tutorelui legal. Operatorul are obligația de a face eforturi rezonabile pentru a verifica vârsta și a confirma autorizarea părintelui, conform art. 8 alin. (2) RGPD. Această regulă se aplică pe teritoriul României și este mai restrictivă decât în alte state UE (Germania 16, Spania 14, Italia 14, Franța 15).

Trebuie să desemnez un DPO (Responsabil cu Protecția Datelor)?

Conform art. 37 din RGPD, desemnarea unui DPO (Data Protection Officer / Responsabil cu Protecția Datelor) este obligatorie în trei situații: (1) când prelucrarea este efectuată de o autoritate sau organism public din România (excepție făcând instanțele care acționează în calitate jurisdicțională); (2) când activitatea principală constă în operațiuni de prelucrare care necesită monitorizarea regulată și sistematică pe scară largă a persoanelor vizate (exemplu: marketing online, supraveghere CCTV largă, fitness tracking); (3) când activitatea principală constă în prelucrarea pe scară largă a categoriilor speciale de date (sănătate, biometrice, opinii politice — art. 9 RGPD) sau a datelor privind condamnări penale. ANSPDCP recomandă desemnarea unui DPO pentru orice operator de mărime medie din România chiar dacă nu este obligatoriu legal — DPO-ul poate fi salariat intern sau prestator extern și trebuie să aibă cunoștințe specializate în protecția datelor.

Cum tratez cookies-urile pe site-ul meu?

Conform Legii 506/2004 a României modificată prin Legea 235/2015 (transpunerea Directivei ePrivacy), pentru orice cookie non-strict-necesar este obligatoriu consimțământul prealabil și informat al utilizatorului — Marea Cameră a CJUE a confirmat în Cauza C-673/17 (Planet49) că acceptarea pasivă (continuarea navigării, casete pre-bifate) NU constituie consimțământ valabil. Banner-ul de cookies trebuie să: (a) afișeze toate categoriile (strict necesare scutite, analitice, marketing, funcționale, sociale), (b) ofere opțiuni granulare egale ca vizibilitate ("Acceptă toate" / "Refuză toate" / "Setări personalizate"), (c) permită retragerea ulterioară a consimțământului cu același efort, (d) blocheze cookies-urile non-necesare până la primirea consimțământului. ANSPDCP a aplicat amenzi pe teritoriul României pentru banner-e care nu respectă aceste reguli. Cookies strict necesare (sesiune, securitate, autentificare) sunt scutite, dar trebuie totuși menționate în politica de confidențialitate.

Cum gestionez transferurile de date către SUA sau alte țări terțe?

Articolele 44-50 din RGPD reglementează regimul transferurilor către țări terțe (în afara Spațiului Economic European). Mecanismele permise sunt: (1) decizii de adecvare ale Comisiei Europene — țări considerate că asigură un nivel adecvat de protecție (Marea Britanie, Elveția, Japonia, Coreea de Sud, Andorra, Argentina, Canada parțial, Israel, Noua Zeelandă, Uruguay, Insulele Feroe, Faroe); (2) clauze contractuale standard (Standard Contractual Clauses — SCC) emise de CE, versiunea actualizată din iunie 2021; (3) reguli corporative obligatorii (BCR — Binding Corporate Rules) pentru grupuri multinaționale. După Hotărârea Schrems II a CJUE (Cauza C-311/18, 16 iulie 2020) care a invalidat Privacy Shield UE-SUA, transferurile către SUA necesită o Evaluare a Impactului Transferului (Data Transfer Impact Assessment — DTIA) și măsuri suplimentare — eventual criptare end-to-end. Noul EU-US Data Privacy Framework din 2023 oferă o cale alternativă pentru organizații americane certificate.

Ce trebuie să fac în caz de incident de securitate (data breach)?

Conform art. 33 din RGPD, operatorul are obligația notificării ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România — în termen de 72 de ore de la data la care a luat cunoștință de incident, cu excepția cazului în care este puțin probabil să ducă la un risc pentru drepturile și libertățile persoanelor fizice. Notificarea trebuie să includă natura incidentului, categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor afectate, datele de contact ale DPO-ului, consecințele probabile, măsurile luate sau propuse pentru atenuare. Conform art. 34 RGPD, dacă incidentul prezintă risc ridicat pentru drepturile persoanelor vizate (de exemplu, scurgere de parole, date financiare, date sensibile), operatorul trebuie să comunice incidentul direct persoanelor afectate, în limbaj clar. Operatorul trebuie să mențină un registru al incidentelor (art. 33 alin. (5)), accesibil ANSPDCP la control.

Cât timp pot păstra datele personale?

Conform principiului limitării stocării din art. 5 alin. (1) lit. e) din RGPD, datele personale se păstrează doar atât timp cât este necesar pentru scopurile pentru care au fost colectate. Termenele uzuale pe teritoriul României: date contabile/fiscale — 5 ani de la sfârșitul anului fiscal conform art. 109 din Codul de procedură fiscală; documente legate de imobile — 10 ani; documente de salarizare — 50 ani conform Codului muncii al României (Legea 53/2003); date de marketing pe bază de consimțământ — până la retragerea consimțământului; date din contracte — pe durata contractului plus termenul de prescripție extinctivă (3-10 ani conform art. 2517 Cod civil al României); CV-uri și candidaturi — maxim 3 ani după respingere (recomandare ANSPDCP). După expirarea termenului, datele trebuie șterse, anonimizate sau pseudonimizate. Politica de confidențialitate trebuie să indice termene specifice pentru fiecare categorie de date, nu termene generice de tipul "atât timp cât este necesar".

Drept & AfaceriRO

Model gratuit de Politică de Confidențialitate (GDPR) — România

O politică de confidențialitate (Privacy Policy) redactată conform Regulamentului (UE) 2016/679 (RGPD) și a Legii 190/2018 de implementare națională în România. Acoperă temeiurile legale ale prelucrării (art. 6 RGPD), drepturile persoanei vizate (art. 15-22), cookies, transferurile internaționale și obligațiile față de ANSPDCP. Document obligatoriu pentru orice site web, aplicație sau prestare de servicii care colectează date personale pe teritoriul României. Descărcați un PDF profesional în câteva minute.

Create Your Politica de Confidențialitate (GDPR)

Free to useInstant PDFNo account required

POLITICA DE CONFIDENȚIALITATE (GDPR)

Conform Regulamentului (UE) 2016/679 Și Legii 190/2018

Operator: Soluții Software S.R.L.

Versiune: 1 aprilie 2026

Soluții Software S.R.L., CUI RO45678901, cu sediul în Str. Calea Floreasca nr. 159, Sector 1, 014459 București (denumit în continuare "Operatorul" sau "noi") respectă confidențialitatea datelor dumneavoastră personale și se obligă să le prelucreze în conformitate cu Regulamentul (UE) 2016/679 (denumit "RGPD") și Legea nr. 190/2018 privind măsurile de punere în aplicare a RGPD. Prezenta Politică de Confidențialitate explică ce date colectăm, cum le folosim, cu cine le împărtășim și care sunt drepturile dumneavoastră.

OPERATORUL DE DATE

Operatorul de date cu caracter personal este:
• Denumire: Soluții Software S.R.L.
• CUI: RO45678901
• Sediu: Str. Calea Floreasca nr. 159, Sector 1, 014459 București
• Email contact: gdpr@solutiisoftware.ro
• Telefon: +40 21 555 7890

Responsabil cu Protecția Datelor (DPO): Cătălin Mironescu — dpo@solutiisoftware.ro

Pentru orice întrebare, solicitare sau reclamație privind prelucrarea datelor personale, vă rugăm să ne contactați la datele de mai sus.

CATEGORII DE DATE PRELUCRATE

Categoriile de date personale prelucrate de Operator sunt: date de identificare (nume, email), date de cont (utilizator, parolă criptată), date contractuale, date de utilizare a aplicației (logs, telemetry), date de plată (procesate prin furnizor PCI-DSS certificat).

(a) Date de identificare: nume, prenume, CNP (când este necesar), data nașterii, document de identitate
(b) Date de contact: adresă, email, număr de telefon
(c) Date financiare: coordonate bancare, istoric tranzacții (dacă este cazul)
(d) Date de profil online: nume utilizator, parolă (criptată), preferințe
(e) Date de utilizare: adresa IP, jurnale de acces, cookie-uri (vezi art. 5)
(f) Date de marketing: preferințe de comunicare, istoric de interacțiune (cu consimțământ)

Prelucrăm numai datele necesare pentru scopurile declarate, conform principiului minimizării din art. 5 alin. (1) lit. c) RGPD.

Surse de date: colectate direct de la utilizator prin formularele site-ului, prin contul de utilizator, prin servicii partener (cu consimțământ)

TEMEIURILE LEGALE ALE PRELUCRĂRII (ART. 6 RGPD)

Prelucrăm datele dumneavoastră personale pe următoarele temeiuri legale:

(a) Executarea contractului (art. 6 alin. (1) lit. b RGPD) — pentru procesarea comenzilor, livrare, asistență client, gestionarea contului
(b) Obligații legale (art. 6 alin. (1) lit. c RGPD) — pentru îndeplinirea obligațiilor fiscale (Cod fiscal), contabile (Legea 82/1991), arhivare (Legea 16/1996)
(c) Interesul legitim (art. 6 alin. (1) lit. f RGPD) — pentru securitatea sistemelor, prevenirea fraudei, marketing direct către clienți existenți
(d) Consimțământul (art. 6 alin. (1) lit. a RGPD) — pentru newsletter, marketing direcționat, cookie-uri non-esențiale, prelucrări dincolo de cele strict necesare contractului
(e) Interes vital (art. 6 alin. (1) lit. d) — în situații excepționale

Temeiuri suplimentare specifice activității noastre: pentru servicii SaaS B2B se folosește în principal temeiul executării contractului și interesului legitim

Pentru categoriile speciale de date (art. 9 RGPD — date privind sănătatea, originea etnică, opinii politice etc.), prelucrăm numai cu consimțământ explicit sau pe alte temeiuri legale specifice.

SCOPURILE PRELUCRĂRII

Operatorul prelucrează datele personale pentru: furnizarea de soluții SaaS pentru întreprinderi mici și mijlocii, gestionarea conturilor utilizatorilor, suport tehnic și marketing direct.

(a) Furnizarea serviciilor și produselor solicitate
(b) Gestionarea relației contractuale și a contului dumneavoastră
(c) Procesarea plăților și emiterea documentelor financiare
(d) Asistență tehnică și suport client
(e) Îndeplinirea obligațiilor legale (fiscale, contabile, arhivare)
(f) Securitatea sistemelor informatice și prevenirea fraudei
(g) Comunicări de marketing — numai pe baza consimțământului
(h) Îmbunătățirea serviciilor (analiză agregată, anonimizată)

Datele sunt prelucrate numai pentru scopurile declarate și nu sunt folosite în alte scopuri incompatibile (art. 5 alin. (1) lit. b RGPD — limitarea scopului).

DREPTURILE PERSOANEI VIZATE (ART. 15-22 RGPD)

Conform RGPD, dumneavoastră aveți următoarele drepturi cu privire la datele personale:

(a) Dreptul de acces (art. 15) — să obțineți confirmarea că prelucrăm datele și o copie a acestora
(b) Dreptul la rectificare (art. 16) — să corectăm datele inexacte
(c) Dreptul la ștergere ("dreptul de a fi uitat", art. 17) — să ștergem datele când nu mai sunt necesare scopului
(d) Dreptul la restricționarea prelucrării (art. 18)
(e) Dreptul la portabilitatea datelor (art. 20) — să primiți datele într-un format structurat
(f) Dreptul de opoziție (art. 21) — în special pentru marketing direct
(g) Dreptul de a nu fi supus unei decizii automate (art. 22) — inclusiv profilare
(h) Dreptul de a vă retrage consimțământul oricând, fără efect retroactiv
(i) Dreptul de a depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — www.dataprotection.ro)

Pentru exercitarea drepturilor, contactați-ne la gdpr@solutiisoftware.ro. Vom răspunde în maximum 30 de zile (extensibil cu 60 zile pentru cazuri complexe), gratuit, conform art. 12 RGPD.

COOKIES ȘI TEHNOLOGII SIMILARE

Site-ul nostru folosește cookies din categoriile: esențiale (autentificare, sesiune), analitice (Google Analytics 4, Plausible), preferințe (limbă, fus orar), marketing (HubSpot — numai cu consimțământ).

Conform Legii 506/2004 (transpunere a Directivei e-Privacy) și art. 5 alin. (3) al directivei, instalarea cookie-urilor non-esențiale necesită consimțământul prealabil al utilizatorului, exprimat prin acțiune afirmativă (click pe "Accept"). Cookie-urile esențiale pentru funcționarea site-ului nu necesită consimțământ.

Categorii tipice:
• Cookie-uri esențiale — necesare pentru funcționarea site-ului (autentificare, coș cumpărături)
• Cookie-uri analitice — Google Analytics, ne ajută să înțelegem cum este utilizat site-ul
• Cookie-uri de marketing — pentru afișarea de reclame personalizate
• Cookie-uri de preferințe — păstrează setările dumneavoastră (limbă, monedă)

Aveți dreptul să refuzați sau să retrageți consimțământul oricând prin setările browser-ului sau prin panoul de gestionare a cookies de pe site.

DESTINATARI ȘI ÎMPUTERNICIȚI

Datele personale pot fi împărtășite cu următorii destinatari: furnizor cloud hosting în UE, procesator de plăți (Stripe), platformă de email marketing (Mailchimp), serviciu de suport (Intercom).

(a) Furnizori de servicii (împuterniciți) — companii de hosting, servicii de plată, curieri, providere de email, servicii de marketing — toți obligați prin contract să respecte RGPD
(b) Autorități publice — la cerere legală motivată (instanțe, ANAF, ANPC, organe de cercetare penală)
(c) Profesioniști — avocați, contabili, auditori, în limita strictă a exercitării funcțiilor lor
(d) Parteneri de afaceri — numai cu consimțământ explicit

Toate transferurile se realizează cu garanții contractuale (acorduri de prelucrare conform art. 28 RGPD) și cu măsuri tehnice și organizatorice adecvate (art. 32 RGPD).

TRANSFERURI INTERNAȚIONALE (ART. 44-50 RGPD)

Transferurile către SUA pentru anumite servicii (Stripe, HubSpot) se efectuează în baza Clauzelor Contractuale Standard ale Comisiei Europene (CCS 2021/914) și a Data Privacy Framework (DPF) acolo unde este aplicabil

(a) Decizii de adecvare ale Comisiei Europene (art. 45) — țări precum Andorra, Argentina, Canada, Israel, Elveția, Marea Britanie, Japonia, Coreea de Sud
(b) Clauze Contractuale Standard (CCS) aprobate de Comisia Europeană (art. 46 alin. (2) lit. c-d)
(c) Reguli Corporative Obligatorii (BCR — art. 47)
(d) Excepții (art. 49) — consimțământ explicit, executarea contractului

Pentru transferurile către SUA, după hotărârea Schrems II (CJUE C-311/18), se aplică CCS împreună cu măsuri suplimentare. Aveți dreptul să primiți la cerere o copie a garanțiilor adecvate.

PERIOADA DE PĂSTRARE

Datele personale sunt păstrate pe perioada: 5 ani de la încetarea contractului pentru obligații fiscal-contabile, 12 luni pentru loguri de securitate.

(a) Date contractuale și financiare — minimum 10 ani pentru documente contabile (Legea 82/1991), respectiv perioada prevăzută de Codul fiscal
(b) Date contract de muncă — 75 ani conform Legii 16/1996 privind arhivarea
(c) Date marketing pe bază de consimțământ — maximum 3 ani de la ultima interacțiune sau până la retragerea consimțământului
(d) Date de utilizare site (logs) — maximum 12 luni pentru securitate
(e) Cookie-uri — durata variază în funcție de tipul cookie-ului (sesiune sau persistent — vezi Politica Cookies)

După expirarea perioadelor, datele sunt șterse sau anonimizate ireversibil, conform art. 5 alin. (1) lit. e) RGPD (limitarea stocării).

10.

SECURITATEA DATELOR (ART. 32 RGPD)

Operatorul a adoptat măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale împotriva accesului neautorizat, alterării, divulgării sau distrugerii. Aceste măsuri includ:

(a) Tehnice: criptare în transport (TLS/SSL) și la stocare, autentificare cu parolă puternică, control acces bazat pe roluri, backup periodic, firewall, anti-malware
(b) Organizatorice: politici interne de securitate, pregătire a personalului, acorduri de confidențialitate cu angajații și împuterniciții
(c) Răspunsul la incidente: notificarea ANSPDCP în 72 de ore în caz de breșă (art. 33), notificarea persoanei vizate în caz de risc ridicat (art. 34)

Cu toate aceste măsuri, niciun sistem nu este complet sigur. Vă rugăm să ne anunțați imediat orice acces neautorizat suspectat la contul dumneavoastră.

11.

DECIZII AUTOMATE ȘI PROFILARE

Operatorul nu folosește decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, care produc efecte juridice asupra dumneavoastră sau care vă afectează în mod similar într-o măsură semnificativă, decât cu consimțământul dumneavoastră explicit sau pe alte temeiuri legitime prevăzute la art. 22 RGPD. Dacă utilizăm profilare în scopuri de marketing, aveți dreptul să vă opuneți oricând prin email la gdpr@solutiisoftware.ro.

12.

MINORII

Serviciile noastre nu sunt destinate persoanelor sub 16 ani. Nu colectăm cu bună știință date personale de la minori sub această vârstă. Conform art. 8 RGPD, prelucrarea datelor unui copil sub 16 ani pe baza consimțământului este legală numai dacă consimțământul este dat de către titularul răspunderii părintești. Dacă constatați că am colectat date de la un minor fără autorizarea părinților, contactați-ne pentru ștergere imediată.

13.

CONTACT ANSPDCP ȘI MODIFICĂRI

(a) Plângeri la autoritatea de supraveghere: Aveți dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):
• Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, cod poștal 010336
• Email: anspdcp@dataprotection.ro
• Web: www.dataprotection.ro
• Telefon: +40 318 059 211

(b) Modificări ale Politicii: Operatorul își rezervă dreptul de a actualiza prezenta Politică. Modificările importante vor fi comunicate prin email și/sau prin afișare pe site cu minim 14 zile înainte de intrarea în vigoare. Versiunea actualizată este disponibilă întotdeauna pe site.

(c) Versiune curentă: Prezenta Politică este în vigoare începând cu 1 aprilie 2026.

(d) Întrebări: Pentru orice întrebare privind prezenta Politică sau prelucrarea datelor dumneavoastră, vă rugăm să ne contactați la gdpr@solutiisoftware.ro sau direct la DPO la dpo@solutiisoftware.ro.

Ce este o politică de confidențialitate?

Politica de confidențialitate — denumită și Privacy Policy, Privacy Notice sau Notă de informare — este documentul prin care un operator de date informează persoanele vizate (clienții, utilizatorii, vizitatorii, abonații, candidații) despre modul în care colectează, prelucrează, stochează, partajează și protejează datele cu caracter personal. În România, redactarea și publicarea politicii de confidențialitate este obligație legală pentru orice entitate care prelucrează date personale, în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (Regulamentul General privind Protecția Datelor — RGPD) și a Legii 190/2018 privind măsuri de punere în aplicare a Regulamentului în România.

Articolele 13 și 14 din RGPD enumeră informațiile obligatorii pe care operatorul trebuie să le furnizeze persoanei vizate la momentul colectării datelor. Pentru date colectate direct de la persoana vizată (art. 13): identitatea și datele de contact ale operatorului și ale responsabilului cu protecția datelor (DPO), scopurile și temeiul legal al prelucrării, interesele legitime urmărite (dacă temeiul este art. 6 alin. (1) lit. f RGPD), destinatarii sau categoriile de destinatari, intenția de a transfera date către o țară terță sau organizație internațională, perioada de păstrare, drepturile persoanei vizate, dreptul de a depune plângere la ANSPDCP — autoritatea de supraveghere din România. Pentru datele obținute indirect (art. 14), informarea trebuie făcută în termen de 30 de zile de la obținere.

În România, autoritatea de supraveghere este ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, înființată prin Legea 102/2005 și care își exercită atribuțiile conform RGPD și Legii 190/2018. ANSPDCP efectuează investigații, primește plângeri, emite recomandări și aplică sancțiuni — amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri anuală mondială (art. 83 RGPD). Pentru autoritățile publice și organismele publice din România, Legea 190/2018 prevede sancțiuni reduse adaptate. Constituția României consacră dreptul la viața intimă (art. 26) și libertatea de exprimare (art. 30), iar Legea 506/2004 modificată prin Legea 235/2015 reglementează specific protecția datelor și confidențialitatea în comunicațiile electronice (transpunerea Directivei ePrivacy 2002/58/CE) — în special regimul cookies-urilor și al consimțământului prealabil.

Ce conține acest model

Modelul Doxuno de politică de confidențialitate reunește toate informațiile obligatorii cerute de art. 13 și 14 din RGPD, plus elementele specifice impuse de Legea 190/2018 și de practica recomandărilor ANSPDCP în România. Structura urmează ghidurile EDPB (European Data Protection Board) și jurisprudența recentă a CJUE.

Operatorul de date

Identitate, sediu, CUI/CIF — entitatea responsabilă cu prelucrarea pe teritoriul României

Datele de contact ale DPO

Responsabilul cu protecția datelor (Data Protection Officer) conform art. 37-39 RGPD

Categorii de date prelucrate

Identificare, contact, financiare, comportament online, date sensibile (art. 9 RGPD)

Temeiurile legale (art. 6 RGPD)

Consimțământ, contract, obligație legală, interes vital, sarcină publică, interes legitim

Scopurile prelucrării

Detaliate pe categorie — vânzare, marketing, analiză, recrutare, securitate

Drepturile persoanei vizate

Acces, rectificare, ștergere, restricționare, portabilitate, opoziție (art. 15-22)

Cookies și tehnologii similare

Conform Legii 506/2004 — consimțământ prealabil, banner cookies, categorii

Destinatari și împuterniciți

Furnizori IT, contabilitate, marketing — DPA conform art. 28 RGPD

Transferuri internaționale (art. 44-50)

Țări terțe, decizii adecvare CE, clauze contractuale standard (SCC)

Perioada de păstrare

Termene de păstrare diferențiate pe categorie de date conform legislației române

Securitatea datelor (art. 32 RGPD)

Măsuri tehnice și organizatorice — criptare, control acces, backup

Decizii automate și profilare

Algoritmi, profilare, dreptul la intervenție umană (art. 22 RGPD)

Minorii

Vârsta consimțământului în România — 16 ani conform Legii 190/2018

Contact ANSPDCP

Informații pentru depunerea plângerilor la autoritatea de supraveghere română

Modificări și versionare

Procedura de actualizare a politicii și informarea persoanei vizate

Cum creați politica de confidențialitate

Nu sunt necesare cunoștințe juridice prealabile. Generatorul Doxuno vă ghidează prin completarea fiecărei secțiuni cerute de RGPD și de Legea 190/2018 a României, asigurând conformitate cu cerințele ANSPDCP.

1
Identificați operatorul de date și DPO-ul
Indicați identitatea completă a entității care decide scopurile și mijloacele prelucrării — denumirea, CUI/CIF, sediul, numărul de înregistrare la ONRC, datele de contact (e-mail, telefon, adresa poștală în România). Pentru anumite categorii de operatori — autorități publice, entități care prelucrează la scară largă date sensibile sau care monitorizează sistematic — desemnarea unui DPO (Data Protection Officer / Responsabil cu Protecția Datelor) este obligatorie conform art. 37 RGPD. Indicați datele de contact ale DPO-ului. ANSPDCP din România recomandă desemnarea unui DPO pentru orice operator de mărime medie care prelucrează date sensibile, chiar dacă nu este strict obligatoriu.
2
Inventariați categoriile de date și temeiurile legale
Identificați toate categoriile de date personale prelucrate: date de identificare (nume, CNP), date de contact (e-mail, telefon, adresa), date financiare (IBAN, istoric tranzacții), date comportamentale (navigare web, preferințe), date sensibile (sănătate, opinii politice, religie — art. 9 RGPD cu protecție întărită), date ale minorilor. Pentru fiecare categorie, identificați temeiul legal conform art. 6 alin. (1) RGPD: a) consimțământul, b) executarea unui contract, c) îndeplinirea unei obligații legale, d) protejarea intereselor vitale, e) îndeplinirea unei sarcini de interes public, f) interesul legitim al operatorului. Pentru date sensibile, este necesar și un temei suplimentar din art. 9 alin. (2) RGPD. Generatorul Doxuno vă ajută să mapați corect fiecare prelucrare.
3
Detaliați scopurile și destinatarii
Pentru fiecare categorie de date, indicați scopul prelucrării (de ce sunt colectate) — principiul limitării scopului din art. 5 alin. (1) lit. b) RGPD impune ca scopurile să fie determinate, explicite și legitime. Exemple: executarea contractului de vânzare, emiterea facturii fiscale conform Codului fiscal al României, trimiterea de comunicări de marketing pe bază de consimțământ, recrutare, verificarea identității, prevenirea fraudelor. Indicați destinatarii sau categoriile de destinatari: împuterniciți (furnizori IT, hosting, contabilitate, agenții de marketing), autorități publice (ANAF, ITM, instanțe judecătorești), parteneri comerciali. Pentru fiecare împuternicit, este obligatoriu un acord de prelucrare a datelor (DPA) conform art. 28 RGPD, supravegheat de ANSPDCP.
4
Configurați cookies, transferuri și păstrare
Pentru website-uri și aplicații care utilizează cookies, indicați tipurile (strict necesare — fără consimțământ; analitice, marketing, funcționale — cu consimțământ prealabil conform Legii 506/2004 a României modificată prin Legea 235/2015). Configurați banner-ul de cookies cu opțiuni granulare conform recomandărilor ANSPDCP. Pentru transferuri către țări terțe (în afara SEE), indicați mecanismul: decizie de adecvare CE (Marea Britanie, Elveția, Japonia, Coreea de Sud), clauze contractuale standard (SCC) conform art. 46 RGPD, reguli corporative obligatorii (BCR). După cauza CJUE Schrems II (C-311/18), transferurile către SUA necesită evaluare suplimentară (DTIA). Stabiliți perioada de păstrare diferențiat pe categorie — minimul necesar conform principiului minimizării (art. 5 alin. (1) lit. e RGPD) și termenele legale române (5 ani contabilitate, 50 ani salarizare).
5
Includeți drepturile persoanelor vizate și descărcați
Politica trebuie să detalieze toate drepturile prevăzute de art. 15-22 RGPD: dreptul de acces (art. 15) — confirmarea prelucrării și o copie a datelor; rectificare (art. 16) — corectarea datelor inexacte; ștergere — "dreptul de a fi uitat" (art. 17); restricționarea prelucrării (art. 18); portabilitatea datelor (art. 20) — primirea datelor într-un format structurat și transmiterea către alt operator; dreptul la opoziție (art. 21); dreptul de a nu face obiectul unei decizii automate (art. 22). Indicați procedura de exercitare — adresa de e-mail, formular online, termenul de răspuns (30 zile de la cerere conform art. 12 RGPD, prelungibile cu încă 60 zile pentru cereri complexe). Includeți dreptul de a depune plângere la ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România. Documentul va fi generat ca PDF profesional.

Considerații juridice în România

Acest model este conceput pentru a fi conform cu RGPD și legislația română de implementare. Înainte de publicare, este recomandat să verificați câteva aspecte specifice activității dumneavoastră — în special pentru date sensibile, prelucrări la scară largă sau transferuri internaționale.

Acest model este furnizat exclusiv în scop informativ și nu constituie asistență juridică sau consultanță în domeniul protecției datelor. Pentru prelucrări la scară largă, date sensibile (sănătate, opinii politice, biometrice), date ale minorilor sau transferuri către țări terțe fără decizie de adecvare, vă rugăm să consultați un avocat specializat în GDPR/protecția datelor înscris în Baroul corespunzător din România sau un DPO certificat.

Revizuit de profesioniști în protecția datelor. Conținutul acestei pagini și clauzele modelului au fost revizuite conform Regulamentului (UE) 2016/679 (RGPD), Legii 190/2018 și recomandărilor ANSPDCP, asigurând conformitate pentru operatori de mărime medie din România.

RGPD și Legea 190/2018 — cadrul juridic în România

Regulamentul (UE) 2016/679 (RGPD) este aplicabil direct în toate statele membre UE, inclusiv România, din 25 mai 2018. Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului completează cadrul național — reglementează aspecte specifice precum vârsta consimțământului minorilor (16 ani conform art. 8 din Legea 190/2018, mai restrictivă decât pragul minim RGPD de 13 ani), prelucrarea CNP și a altor date de identificare națională, regimul prelucrării în relațiile de muncă, DPO-ul în sectorul public. Articolul 5 RGPD instituie cele 6 principii fundamentale: legalitate-loialitate-transparență, limitarea scopului, minimizarea datelor, exactitate, limitarea stocării, integritate-confidențialitate. Articolul 6 enumeră cele 6 temeiuri legale, iar art. 9 reglementează regimul protectiv pentru date sensibile (origine rasială, opinii politice, convingeri religioase, date biometrice, date de sănătate, viața sexuală).

Drepturile persoanei vizate și exercitarea lor

RGPD acordă persoanei vizate un set extins de drepturi exercitabile direct față de operatorul de date. Articolul 15 — dreptul de acces, inclusiv confirmarea prelucrării și o copie gratuită a datelor; copiile suplimentare pot fi taxate cu o sumă rezonabilă. Articolul 16 — rectificarea datelor inexacte sau incomplete. Articolul 17 — "dreptul de a fi uitat" (ștergere), aplicabil când datele nu mai sunt necesare, consimțământul a fost retras sau prelucrarea este ilegală; nu se aplică pentru obligații legale, libertatea de exprimare, apărarea drepturilor în justiție. Articolul 18 — restricționarea temporară. Articolul 20 — portabilitatea datelor pentru prelucrări automate bazate pe contract sau consimțământ. Articolul 21 — opoziție, în special pentru prelucrări bazate pe interesul legitim sau sarcina publică, și opoziție absolută pentru marketing direct. Articolul 22 — dreptul de a nu face obiectul unei decizii automate cu efecte juridice. Termenul de răspuns este 30 zile conform art. 12 RGPD, prelungibil cu 60 de zile pentru cereri complexe.

Cookies și ePrivacy — Legea 506/2004 a României

Regimul cookies-urilor și al tehnologiilor similare (pixel-tags, fingerprinting, local storage) este reglementat în România de Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată prin Legea 235/2015 — transpunerea Directivei ePrivacy 2002/58/CE și a Directivei 2009/136/CE. Articolul 4 alin. (5) impune consimțământul prealabil și informat al utilizatorului pentru orice cookie non-strict-necesar. Cookies strict necesare (sesiune, securitate, autentificare) sunt scutite de consimțământ. Cookies analitice, marketing, funcționale, sociale necesită consimțământ activ — acceptarea pasivă (continuarea navigării) NU este consimțământ valabil conform jurisprudenței CJUE (Cauza C-673/17 Planet49). Banner-ul de cookies trebuie să ofere opțiuni granulare ("Acceptă toate", "Refuză toate", "Setări personalizate") și să permită retragerea ulterioară a consimțământului cu același efort. ANSPDCP din România a aplicat amenzi pentru banner-e care nu respectă aceste reguli.

Sancțiuni ANSPDCP și conformitate

ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — este autoritatea de supraveghere din România înființată prin Legea 102/2005. Conform art. 83 RGPD, ANSPDCP poate aplica amenzi administrative de până la 10 milioane EUR sau 2% din cifra de afaceri anuală mondială (categoria 1 — încălcări mai puțin grave: registrele prelucrărilor, securitate, notificarea incidentelor) și până la 20 milioane EUR sau 4% din cifra de afaceri (categoria 2 — încălcări grave: principii fundamentale, drepturi persoane vizate, transferuri internaționale). Pentru autoritățile publice și organismele publice din România, Legea 190/2018 prevede sancțiuni reduse cu plafoane specifice (până la 200.000 lei pentru autoritățile publice). Conform art. 33 RGPD, operatorul are obligația notificării ANSPDCP în termen de 72 de ore în caz de incident de securitate cu impact asupra datelor personale, iar conform art. 34 — notificarea persoanelor vizate dacă incidentul prezintă risc ridicat. Tribunalele și Curtea de Apel București soluționează contestațiile împotriva deciziilor ANSPDCP.

Întrebări frecvente

Sunteți gata să fiți conform cu RGPD?

Completați datele entității dumneavoastră în câteva minute și obțineți o politică de confidențialitate profesională, conformă cu RGPD și cu Legea 190/2018 a României. Gratuit, fără cont necesar pentru versiunea de bază.

Create Your Politica de Confidențialitate (GDPR)Browse All Templates

Free · Instant PDF · No account required