Ghiciuc & Asociații

Societate Civilă Profesională de Avocați


Protecția datelor personale și GDPR – ce trebuie să știe companiile mici și mijlocii în 2025

Anca-Leticia Tiron

🔒 Protecția datelor personale și GDPR – ce trebuie să știe companiile mici și mijlocii în 2025

Regulamentul general privind protecția datelor (GDPR) a intrat în vigoare în 2018, însă după mai bine de 6 ani, multe firme mici și mijlocii din România nu sunt încă pe deplin conforme.
Autoritatea Națională de Supraveghere a Prelucrării Datelor (ANSPDCP) continuă să aplice amenzi semnificative, chiar și pentru companii cu câțiva angajați.
În 2025, conformitatea GDPR nu mai este o opțiune, ci o obligație legală esențială pentru siguranța afacerii.

1. Ce este GDPR și cui se aplică

GDPR (Regulamentul UE 2016/679) se aplică tuturor organizațiilor, indiferent de dimensiune, care colectează sau procesează date personale ale persoanelor fizice din Uniunea Europeană.

Prin „date personale” se înțeleg orice informații care pot identifica o persoană:

  • nume, CNP, adrese, e-mailuri;
  • date de localizare, IP-uri, imagini video;
  • date privind angajații, clienții, furnizorii, utilizatorii online.

Așadar, inclusiv firmele mici (salon de înfrumusețare, cabinet medical, firmă de transport, magazin online etc.) sunt obligate să respecte regulile GDPR.

2. Pași practici pentru a fi conform cu GDPR

✅ a) Identifică toate datele personale pe care le colectezi

Fă o listă cu sursele de date: contracte, formulare online, fișe de personal, camere de supraveghere etc.

✅ b) Stabilește scopul și temeiul legal al prelucrării

Nu ai voie să colectezi date „doar ca să le ai”. Trebuie să existe un temei legal: executarea unui contract, obligație legală, consimțământul persoanei, sau interes legitim justificat.

✅ c) Informează persoanele vizate

Fiecare persoană trebuie să știe ce date colectezi, în ce scop, cât timp le păstrezi și cui le transmiți.
Aceasta se face printr-o Politică de confidențialitate clară, publicată pe site sau anexată contractelor.

✅ d) Asigură-te că datele sunt securizate

– Parole complexe, acces limitat doar pentru personalul autorizat,
– Backup-uri regulate,
– Protecție antivirus și criptare pentru documentele sensibile.

✅ e) Încheie acorduri de prelucrare a datelor cu furnizorii

Dacă externalizezi servicii (contabilitate, HR, IT, marketing), trebuie să ai contracte speciale care stabilesc responsabilitățile GDPR.

✅ f) Desemnează un responsabil cu protecția datelor (DPO), dacă e cazul

Nu toate firmele sunt obligate să aibă DPO, dar este recomandat acolo unde se prelucrează frecvent date sensibile sau un număr mare de persoane.

3. Riscuri și sancțiuni pentru nerespectarea GDPR

Nerespectarea obligațiilor privind protecția datelor poate atrage:

  • Amenzi administrative de până la 20 milioane euro sau 4% din cifra de afaceri globală (se aplică proporțional în România, în funcție de gravitate);
  • Despăgubiri civile, dacă o persoană fizică dovedește prejudiciu cauzat de scurgerea datelor;
  • Răspundere penală indirectă pentru fapte de divulgare neautorizată (în anumite cazuri).

Cele mai frecvente motive de sancțiune sunt:

  • lipsa informării persoanelor vizate;
  • colectarea excesivă de date;
  • lipsa măsurilor tehnice minime de securitate (parole, acces limitat);
  • lipsa contractelor de prelucrare cu furnizorii externi.

🔹 4. Cum te poate ajuta un avocat specializat în protecția datelor

Un avocat poate:

  • realiza auditul intern GDPR pentru identificarea riscurilor;
  • redacta documentele obligatorii (politici, acorduri, clauze contractuale);
  • consilia managementul în caz de incident de securitate (scurgere de date, solicitări de ștergere etc.);
  • reprezenta compania în fața ANSPDCP.

🔹 5. Concluzie

Pentru companiile mici și mijlocii, GDPR nu trebuie privit ca o formalitate, ci ca o măsură de protecție a afacerii și a reputației.
O politică clară de protecție a datelor, proceduri simple și un minim de consiliere juridică pot evita amenzi costisitoare și pierderi de încredere din partea clienților.

Pentru o analiză completă a conformității GDPR a companiei dumneavoastră și redactarea documentației necesare, ne puteți contacta pentru o consultanță juridică personalizată.

Articol informativ redactat în baza Regulamentului (UE) 2016/679 și a ghidurilor publicate de ANSPDCP. Nu reprezintă consultanță juridică individuală.