Contractul de Outsourcing — Externalizare Servicii și Răspundere

📅Creat: 16 februarie 2026
✏️Actualizat: acum 1 lună

Contractul de Outsourcing — Externalizare Servicii și Răspundere

Pe scurt

Contractul de outsourcing (externalizare) este un acord prin care o companie transferă către un furnizor extern executarea unor activități sau funcții pe care le desfășura în mod obișnuit intern, pe bază continuă sau repetată. Deși externalizarea poate reduce costurile și permite acces la expertiză specializată, compania clientă rămâne în continuare responsabilă față de autoritățile de reglementare și terțe părți pentru îndeplinirea corespunzătoare a obligațiilor sale legale.

În dreptul românesc, nu există o reglementare unitară dedicată exclusiv contractelor de outsourcing. Acestea se supun regulilor generale ale Codului Civil privind contractele și răspunderea contractuală, fiind tratate în funcție de natura concretă a serviciilor externalizate:

  • Contractul de mandat (Art. 2009-2095 Cod Civil) — când prestatorul acționează în numele și pe seama clientului
  • Contractul de prestări servicii — reglementare generală pentru servicii specializate
  • Contractul de agenție (Art. 2072-2095 Cod Civil) — pentru relații comerciale de intermediere pe termen lung

Răspunderea contractuală

Art. 1.350 Cod Civil — (1) Orice persoană trebuie să își execute obligațiile pe care le-a contractat. (2) Atunci când, fără justificare, nu își îndeplinește această îndatorire, ea este răspunzătoare de prejudiciul cauzat celeilalte părți și este obligată să repare acest prejudiciu, în condițiile legii.

Sursa: Codul Civil, Legea 287/2009

Art. 1.357 Cod Civil — (1) Cel care cauzează altuia un prejudiciu printr-o faptă ilicită, săvârșită cu vinovăție, este obligat să îl repare. (2) Autorul prejudiciului răspunde pentru cea mai ușoară culpă.

Sursa: Codul Civil, Legea 287/2009

Reglementări sectoriale stricte

Pentru anumite domenii, legislația impune cerințe riguroase privind externalizarea:

Sectorul bancar și financiar:

  • Regulamentul BNR nr. 5/2013 privind externalizarea (modificat prin Regulamentul nr. 8/2024) stabilește obligații detaliate pentru băncile care externalizează funcții critice sau importante
  • Notificare prealabilă către BNR cu 2 luni înainte de externalizare
  • Evaluarea riguroasă a furnizorului extern
  • Clauze contractuale obligatorii privind accesul autorităților la audit

Sectorul asigurărilor:

  • Norma ASF nr. 25/2022 (modificată prin Norma nr. 20/2024) impune notificarea ASF pentru externalizarea funcțiilor-cheie sau critice
  • Evaluarea complexă a furnizorului (capacitate financiară, competență, autorizații, management al riscului)

Sectorul IT pentru entități financiare:

  • Norma ASF nr. 4/2018 privind externalizarea serviciilor IT
  • Obligația de a notifica ASF în termen de 14 zile de la încheierea contractului
  • Cerințe de certificare (ISO/IEC 27001, TIA-942 nivel 2 pentru centre de date)

Surse: Regulament BNR 5/2013, Norma ASF 4/2018, Norma ASF 25/2022

Explicație detaliată

Ce servicii se externalizează frecvent?

Conform datelor pieței românești, cele mai comune servicii externalizate sunt:

  1. Contabilitate și raportare financiară
  2. Administrarea salariilor și resurselor umane
  3. Servicii IT și securitate cibernetică
  4. Servicii juridice și conformitate (compliance)
  5. Logistică și transport
  6. Suport clienți (call center, help desk)

Diferența dintre outsourcing și alte tipuri de contracte

Caracteristică Outsourcing Contract de muncă Contract de prestări servicii punctuale
Durată Continuă, repetată Pe durată nedeterminată/determinată Puntuală, pentru un proiect specific
Control Prestator independent Subordine față de angajator Prestator independent
Scop Preluarea unei funcții întregi Executarea muncii sub autoritate Livrarea unui rezultat specific
Resurse Prestator folosește propriile resurse Angajator furnizează resursele Variabil, conform contract

Externalizarea în lanț (subcontractarea)

Practică frecventă, dar supusă unor condiții stricte în sectoarele reglementate:

  • Sectorul bancar: Instituția de credit trebuie să ia în considerare riscurile externalizării în lanț și poate permite subcontractarea doar cu acordul prealabil, în aceleași condiții ca externalizarea către furnizorul principal
  • Sectorul asigurărilor: Furnizorul rămâne pe deplin responsabil pentru nivelul de calitate a activităților subcontractate
  • Principiu general: Externalizarea în lanț nu exonerează clientul de răspundere — este necesar un mecanism de monitorizare pe întregul lanț de furnizori

Obligația de notificare către autorități

Sector Autoritate Termen de notificare Condiție
Bănci BNR — Direcția supraveghere Cu 2 luni înainte Funcții critice sau importante
Instituții de plată BNR După externalizare Funcții operaționale externalizate
Asigurări ASF Înainte de externalizare Funcții-cheie sau critice
Servicii IT financiare ASF Maximum 14 zile după încheierea contractului Toate sistemele informatice importante

Aspecte practice

1. Clientul nu se exonerează de răspundere

Principiu fundamental: Externalizarea nu scutește compania de răspunderea legală față de autorități, clienți sau terțe părți.

Exemplu concret: Dacă externalizezi serviciile de sănătate și securitate în muncă (SSM), angajatorul rămâne singurul responsabil pentru asigurarea condițiilor de securitate. Dacă furnizorul extern de SSM nu îndeplinește obligațiile corect, autoritățile vor sancționa angajatorul, nu pe prestator.

Ce poți face:

  • Stabilește clar în contract obligațiile furnizorului și termenii de răspundere
  • Monitorizează constant performanța prestatorului
  • Păstrează evidențe clare ale comunicărilor și verificărilor efectuate
  • Asigură-te că furnizorul deține asigurare de răspundere profesională

2. Evaluarea furnizorului — obligatorie înainte de contract

Criterii minime de verificat:

Capacitate și competență — experiență dovedită în domeniu, personal calificat ✓ Stabilitate financiară — situație economică solidă, pentru a asigura continuitatea serviciilor ✓ Autorizații și certificări — în funcție de domeniu (ISO 27001 pentru IT, autorizații specifice pentru domenii reglementate) ✓ Managementul riscului — politici și proceduri clare de gestionare a riscurilor ✓ Confidențialitate și GDPR — măsuri de protecție a datelor cu caracter personal ✓ Referințe verificabile — clienți anteriori, recenzii din piață

3. Clauze contractuale esențiale

Un contract de outsourcing robust trebuie să conțină:

a) Descrierea clară a serviciilor externalizate

  • Scope detaliat, livrabile concrete, indicatori de performanță (KPI)

b) Durata contractului și condițiile de reînnoire

  • Perioade de preaviz, mecanisme de prelungire automată sau nu

c) Obligațiile financiare

  • Tarife, modalități de plată, penalități pentru întârzieri

d) Nivelul de servicii așteptat (SLA — Service Level Agreement)

  • Timpi de răspuns, disponibilitate, precizie, metrici măsurabile

e) Responsabilități clare privind datele și confidențialitatea

  • Respectarea GDPR, măsuri de securitate, dreptul de audit

f) Condițiile pentru subcontractare

  • Dacă este permisă, în ce condiții, cu ce obligații de notificare

g) Dreptul de audit și control

  • Accesul clientului și, unde este cazul, al autorităților de reglementare la documentele și sediile furnizorului

h) Clauzele de încetare

  • Motive de reziliere (neîndeplinirea obligațiilor, încălcări grave), termene de preaviz

i) Transferul ordonat la încetare

  • Obligația furnizorului de a asigura tranziția către un alt prestator sau reintegrarea în companie, perioadă de tranziție

j) Răspunderea și asigurările

  • Limite de răspundere, asigurare de răspundere profesională, garanții de bună executare

k) Legea aplicabilă și soluționarea litigiilor

  • Jurisdicție, arbitraj sau instanțe ordinare

4. Monitorizarea continuă

Nu este suficient să semnezi contractul — trebuie să:

  • Stabilești rapoarte periodice de performanță
  • Verifici respectarea SLA-urilor lunar/trimestrial
  • Auditezi furnizorul cel puțin anual
  • Actualizezi evaluarea riscurilor când apar modificări (de exemplu, furnizorul schimbă tehnologia sau subcontractează)

5. Planul de ieșire (exit strategy)

Greșeala comună: Companiile nu prevăd scenariul în care trebuie să schimbe furnizorul sau să reintegreze serviciile.

Ce trebuie să incluzi:

  • Obligația furnizorului de a coopera la transfer
  • Perioada de tranziție (de regulă 30-90 zile)
  • Returnarea datelor și documentelor în format utilizabil
  • Asistență pentru training-ul noului prestator sau echipei interne

Practică și opinii

⚠️ Opinie specialistă — Avocat specialist drept comercial (Avocatnet.ro) „Externalizarea rolurilor obligatorii în companii este adesea cea mai bună soluție, dar nu scapă companiile de răspunderea legală ce le revine. Chiar dacă ai încheiat un contract cu un furnizor calificat, dacă acesta nu își face treaba corect, riști să fii tras la răspundere de autorități. De aceea, recomandăm clienților să ceară de la furnizori garanții de bună executare sau asigurare de răspundere profesională și să facă audituri periodice pentru a se asigura că obligațiile sunt îndeplinite conform legii." Sursa: Avocatnet.ro — Externalizarea rolurilor obligatorii

⚠️ Date de piață Conform datelor din 2020, România avea 280 de centre BPO (Business Process Outsourcing) care angajau aproximativ 131.000 de persoane, cu o medie de 468 angajați per centru — semnificativ mai mare decât media din Polonia (236 angajați per centru). Sectoarele cele mai externalizate rămân contabilitatea, salarizarea și administrarea resurselor umane. Sursa: Avocatnet.ro — Externalizarea proceselor de afaceri

Cazuri din practică reglementată

Sectorul bancar — externalizarea către state terțe: Conform Regulamentului BNR nr. 5/2013 (modificat 2024), băncile pot externaliza funcții critice către furnizori din state terțe doar dacă există un acord de cooperare între BNR și autoritatea de supraveghere din statul terț, care să garanteze:

  • Accesul BNR la informațiile necesare
  • Dreptul de a efectua inspecții la sediile furnizorului
  • Cooperarea în aplicarea sancțiunilor

Acest lucru înseamnă că externalizarea către furnizorii din țări non-UE (de exemplu, India, SUA) necesită verificări prealabile riguroase.

Sectorul asigurărilor — funcțiile critice: Societățile de asigurare trebuie să notifice ASF înainte de externalizarea funcțiilor-cheie sau critice, demonstrând că:

  • Au evaluat furnizorul din punct de vedere financiar și operațional
  • Furnizorul deține autorizațiile necesare
  • Există un plan de continuitate a activității și strategii pentru situații de urgență
  • Furnizorul a acceptat clauze privind dreptul de audit al ASF

Legislație europeană

Directive și regulamente aplicabile

Deși externalizarea serviciilor nu este reglementată printr-o directivă europeană unitară aplicabilă tuturor sectoarelor, sectoarele financiare și de asigurări sunt supuse unor cerințe stricte derivate din mai multe acte normative europene:

1. Orientările EBA privind externalizarea (EBA/GL/2019/02)

Autoritatea Bancară Europeană (EBA) a emis în februarie 2019 orientări complete privind externalizarea pentru instituțiile de credit, firmele de investiții, instituțiile de plată și instituțiile emitente de monedă electronică.

Cerințe principale:

  • Evaluarea riguroasă a furnizorilor înainte de externalizare
  • Definiția funcțiilor critice sau importante: activități care, dacă sunt afectate, pot afecta semnificativ performanța financiară, continuitatea serviciilor sau capacitatea de a îndeplini condițiile de autorizare
  • Contracte scrise obligatorii cu clauze privind accesul autorităților la audit
  • Registru al tuturor aranjamentelor de externalizare
  • Strategii de ieșire clare pentru transferul ordonat către alt furnizor Sursa: EBA Guidelines on outsourcing arrangements EBA/GL/2019/02

2. Directiva 2013/36/UE (CRD IV — Capital Requirements Directive)

Art. 74 și urm. — Managementul riscului: Instituțiile de credit trebuie să includă în cadrul managementului riscului evaluarea riguroasă a aranjamentelor de externalizare, monitorizarea conformității furnizorilor terți și asigurarea continuității serviciilor. Sursa: Directiva 2013/36/UE — CRD IV

3. Directiva 2009/138/CE (Solvency II — Asigurări și Reasigurări)

Art. 49 — Externalizarea: (1) Întreprinderile de asigurare și reasigurare rămân pe deplin responsabile pentru îndeplinirea tuturor obligațiilor atunci când externalizează funcții sau activități. (2) Externalizarea funcțiilor operaționale critice sau importante nu trebuie efectuată într-o manieră care:

  • Afectează semnificativ calitatea sistemului de guvernanță al întreprinderii
  • Crește excesiv riscul operațional
  • Afectează capacitatea autorităților de supraveghere de a monitoriza conformitatea
  • Afectează prestarea continuă și satisfăcătoare a serviciilor către asigurați Sursa: Directiva 2009/138/CE — Solvency II

4. Directiva 2014/65/UE (MiFID II — Markets in Financial Instruments)

Art. 16 și Regulamentul delegat (UE) 2017/565: Firmele de investiții trebuie să exercite diligenţă, competenţă și grijă atunci când externalizează funcţii operaţionale importante. Externalizarea nu poate reduce protecția clienților sau responsabilitățile conducerii executive. Contractele scrise cu furnizorii externi sunt obligatorii. Sursa: Directiva 2014/65/UE — MiFID II

5. Regulamentul (UE) 2016/679 (GDPR) — Articolul 28

Orice externalizare care implică prelucrarea datelor cu caracter personal este supusă cerințelor stricte ale GDPR:

Art. 28 — Persoana împuternicită de operator: (1) Atunci când prelucrarea urmează să fie efectuată în numele unui operator, acesta apelează numai la persoane împuternicite care prezintă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate. (3) Prelucrarea de către o persoană împuternicită se reglementează printr-un contract sau alt act juridic care:

  • Obligă persoana împuternicită să prelucreze datele numai conform instrucțiunilor operatorului
  • Asigură confidențialitatea datelor
  • Restricționează angajarea de subcontractanți fără autorizarea prealabilă scrisă a operatorului
  • Obligă la ștergerea sau returnarea datelor la încetarea contractului Sursa: GDPR Art. 28

6. DORA — Regulamentul privind Reziliența Operațională Digitală (Regulamentul (UE) 2022/2554)

Intrat în vigoare: 17 ianuarie 2025

Cerințe pentru funcții ICT critice sau importante:

  • Instituțiile financiare nu pot externaliza funcții ICT critice la furnizori din țări terțe decât sub condiții stricte
  • Contract cu clauze specifice privind ieșirea și auditabilitate
  • Acces garantat pentru autorități pentru inspecții
  • Țintele de performanță pentru accesibilitate, integritate și securitate
  • Strategie de substituție a furnizorului în caz de nevoie Sursa: Regulamentul DORA — Digital Operational Resilience Act

7. Directiva 2006/123/CE (Directiva Servicii — „Directiva Bolkestein")

Pentru serviciile generale (nebancare, neasigurări), libertatea de prestare a serviciilor în Uniunea Europeană este garantată:

Art. 16 — Libertatea de a presta servicii: Statele membre respectă dreptul prestatorilor de servicii de a presta servicii într-un stat membru, altul decât statul în care sunt stabiliți. Statele membre nu pot restricționa libertatea de a presta servicii în cazul unui prestator stabilit în alt stat membru. Sursa: Directiva 2006/123/CE

Transpunerea în dreptul român

România a transpus cerințele europene privind externalizarea prin mai multe reglementări sectoriale:

Sectorul bancar:

  • Regulamentul BNR nr. 5/2013 (modificat prin Regulamentul nr. 8/2024) transpune în dreptul românesc orientările EBA/GL/2019/02 și cerințele CRD IV
  • Definiție clară a funcțiilor critice sau importante (Art. 230^1)
  • Notificare prealabilă către BNR cu 2 luni înainte de externalizare (Art. 230^11)
  • Evaluarea riguroasă a furnizorului extern (Art. 230^15): reputație comercială, capacități, expertiză, autorizații necesare
  • Externalizarea în lanț: BNR impune monitorizarea lanțurilor complexe de subcontractanți

Sectorul asigurărilor:

  • Norma ASF nr. 25/2022 și Norma ASF nr. 26/2025 implementează cerințele Directivei Solvency II (Art. 49)
  • Politică scrisă de externalizare obligatorie
  • Notificare către ASF înainte de externalizarea funcțiilor-cheie sau critice
  • Evaluarea furnizorului: resurse financiare, personal calificat, sisteme de management al riscului

GDPR:

  • Regulamentul (UE) 2016/679 este direct aplicabil în România fără a necesita transpunere prin lege națională
  • Contractele de externalizare care implică date personale trebuie să includă clauzele Art. 28 GDPR (Anexe contractuale tip pentru contracte guvernamentale)

Conformitate generală: România a atins un nivel ridicat de aliniere cu standardele europene în sectoarele bancar și de asigurări. Modificările din 2024-2025 (Regulamentul BNR nr. 8/2024, Norma ASF nr. 26/2025) reflectă armonizarea continuă cu evoluția legislației UE, mai ales în domeniul serviciilor cloud.

Gold-plating (cerințe mai stricte decât minimul UE):

  1. Restricții cloud: Normele ASF și BNR conțin cerințe suplimentare privind amplasamentul datelor sensibile și drepturile extinse de audit
  2. Documentație: România impune registre comprehensive ale tuturor contractelor de externalizare cu notificări continue
  3. Preaviz: Termenul de 2 luni pentru notificarea BNR este mai strict decât în unele state membre

Lacune potențiale:

  • Ghiduri practice pentru monitorizarea furnizorilor din lanțuri profunde de subcontractare
  • Detalii de implementare pentru monitorizarea furnizorilor din țări terțe non-UE/SEE
  • Proceduri de validare a strategiilor de ieșire (exit plans)

Jurisprudență CJUE

Curtea de Justiție a Uniunii Europene (CJUE) a pronunțat mai multe hotărâri relevante pentru contractele de outsourcing:

1. Cauza C-413/23 P — EDPS v SRB (septembrie 2025)

Principiu: Responsabilitatea privind prelucrarea datelor în contextul externalizării Datele pseudonimizate transferate prin externalizare nu sunt automat considerate date cu caracter personal pentru toți destinatarii. Clasificarea depinde de capacitatea destinatarului de a reidentifica persoane fizice. Controlerii trebuie să evalueze dacă datele transferate unui procesor extern rămân date cu caracter personal din perspectiva acelui procesor. Sursa: CJUE C-413/23 P

2. Cauza C-537/23 — Società Italiana Lastre SpA v Agora SARL (februarie 2025)

Principiu: Validitate clauze de jurisdicție asimetrice în contractele de outsourcing Clauzele care impun unei părți să acționeze în justiție într-o jurisdicție specifică, în timp ce cealaltă parte poate alege, sunt valide sub Regulamentul Bruxelles I bis, cu condiția ca factorii obiectivi să fie suficient de precizi și clar identificabili. Contractele de externalizare transfrontaliere pot cuprinde clauze de jurisdicție neegale dacă sunt suficient de precise. Sursa: CJUE C-537/23

3. Cauza C-652/22 — Kolin (octombrie 2024)

Principiu: Accesul furnizorilor din țări terțe la proceduri de procurare publică și subcontractare Furnizorii din țări terțe pot participa la licitații dacă autoritatea de procurare le permite, dar nu pot pretinde drepturi garantate de Directiva 2014/25/UE. Statul membru nu poate unilateral acorda drepturi echivalente operatorilor din țări terțe fără acord internațional de reciprocitate. Sursa: CJUE C-652/22

Principii generale stabilite de CJUE:

  • Responsabilitatea controllerului: Operatorul de date poate fi sancționat pentru prelucrarea ilegală efectuată de procesor, deoarece rămâne responsabil pentru prelucrarea realizată în numele său (Art. 28 GDPR)
  • Libertatea de prestare servicii: Prestatorii de servicii legalmente stabiliți într-un stat membru pot oferi servicii în alte state membre pe bază temporară (Directiva 2006/123/CE)
  • Subcontractare și responsabilitate în lanțuri: În lanțurile de subcontractare, contractantul poate fi ținut direct responsabil pentru obligațiile salariale ale lucrătorilor detașați (Directivele 96/71/UE și 2014/67/UE)

Aspecte practice din perspectivă europeană

Externalizarea intra-UE (în alte state membre)

Libertate deplină: Conform Directivei Servicii 2006/123/CE, companiile românești pot externaliza liber servicii către furnizori din alte state UE/SEE fără restricții legate de amplasament. Principalele considerații:

Drept aplicabil: Se stabilește prin Regulamentul Roma I (593/2008) — de regulă, legea țării furnizorului, cu excepția unei alegeri exprese diferite ✓ Jurisdicție: Regulamentul Bruxelles I bis (1215/2012) determină instanța competentă pentru litigii ✓ Transfer de date: Automat în cadrul UE/SEE fără cerințe suplimentare de protecție ✓ Costuri reduse: Accesul la furnizori din alte state membre permite reducerea costurilor fără risc regulatoriu suplimentar

Exemplu practic: O companie română poate externaliza serviciile de contabilitate către un furnizor din Polonia fără notificări către autorități (cu excepția instituțiilor financiare care trebuie să notifice BNR/ASF conform regulamentelor sectoriale).

Externalizarea către țări terțe (non-UE)

Restricții semnificative:

1. Protecția datelor (GDPR Capitolul V):

  • Clauze Contractuale Standard (SCC) obligatorii pentru țări fără decizie de adecvare
  • Evaluarea impactului transferului (TIA) necesară conform sentinței Schrems II pentru a verifica:
    • Dacă legile locale din țara destinației permit accesul guvernamental la date
    • Dacă sunt disponibile căi de atac juridice
    • Ce protecții suplimentare pot fi negociate
  • Doar 10 țări au decizie de adecvare de la Comisia Europeană (Canada, Japonia, Coreea de Sud, Argentina, Elveția, etc.)
  • SCC noi simplificate sunt așteptate în Q2 2025

2. Sectorul financiar (DORA):

  • Funcții critice/importante nu pot fi externalizate în țări terțe decât sub condiții stricte:
    • Contract cu clauze de ieșire și auditabilitate
    • Acces garantat pentru autorități
    • Țintele de performanță pentru accesibilitate și securitate
    • Strategie de substituție a furnizorului

3. Entități esențiale/importante (NIS2):

  • Evaluări de risc ale furnizorilor obligatorii
  • Clauze contractuale privind securitatea cibernetică
  • Raportare incidente
  • Drepturi de audit

Țări cu risc redus pentru externalizare:

  • Țări cu decizie de adecvare (Canada, Japonia, Elveția, Argentina, etc.)
  • SUA (cu SCC și TIA conform Schrems II)
  • India (cu SCC și evaluare risc)

Țări cu risc ridicat:

  • China, Rusia, Iran — restricții foarte stricte pentru funcții critice
  • Țări fără garanții privind accesul guvernamental la date

Aspecte de conformitate transfrontalieră

Regulamentul Bruxelles I bis (1215/2012) — Jurisdicție:

  • Regula generală: pârâtul (furnizorul) poate fi chemat în instanța din statul membru în care domiciliază
  • Clauze de alegere a instanței sunt permise (inclusiv clauze asimetrice, conform C-537/23)
  • Executarea hotărârilor judecătorești este automată între statele membre

Regulamentul Roma I (593/2008) — Drept aplicabil:

  • Părțile pot alege legea aplicabilă contractului (nu este limitată la dreptul UE)
  • În absența alegerii exprese, se aplică legea țării unde „partea obligată de prestația caracteristică" (furnizorul) domiciliază
  • Legile imperative ale țării serviciilor nu pot fi ocolite

Modificări legislative așteptate:

  • Q2 2025: Noi SCC simplificate de la Comisia Europeană pentru transferuri de date în țări terțe
  • 2025-2026: Posibile directive actualizate privind managementul riscului terților (EBA propune extindere)
  • 2025 și ulterior: Cerințele NIS2 și DORA devin pe deplin aplicate și executate

Recomandări practice pentru companii românești

Pentru externalizarea în UE:

  1. Stabiliți clar în contract dreptul aplicabil și jurisdicția
  2. Verificați dacă serviciile externalizate sunt „critice/importante" sub reglementările BNR/ASF
  3. Includeți clauze GDPR Art. 28 pentru prelucrarea datelor personale

Pentru externalizarea în țări terțe:

  1. Verificați dacă țara destinației are decizie de adecvare UE
  2. Dacă nu are, utilizați SCC și efectuați TIA (evaluarea impactului transferului)
  3. Pentru instituții financiare: respectați cerințele stricte DORA
  4. Includeți în contract:
    • Amplasament date și prelucrare
    • Drepturi de audit și control
    • Obligații de notificare incidente
    • Strategie de ieșire și migrare
  5. Evaluați factori geopolitici și legislativi ai țării terțe

Jurisprudență națională

Decizii relevante

Decizii favorabile externalizării (PRO)

Tribunalul Brașov, Decizia nr. 1297/2025 din 16 iulie 2025 — Externalizarea serviciilor ca motiv legal de reorganizare Tribunalul a admis că desființarea postului de agent comercial ca urmare a externalizării serviciilor de merchandising printr-un contract încheiat în octombrie 2024 constituie o cauză reală și serioasă, fiind prerogativa angajatorului de a decide măsurile de eficientizare a activității. Instanța verifică existența cauzei reale și serioase, dar nu poate substitui angajatorul în aprecierea oportunității măsurilor adoptate. Instanța a reținut că reorganizarea prin externalizare este o decizie de afaceri legitimă a angajatorului, cu condiția ca decizia să fie fundamentată pe motive economice sau organizaționale reale. Sursa: juridice.ro

Curtea de Apel Craiova, Decizia nr. 1141/2019 din 17 aprilie 2019 — Externalizarea vs. transfer de întreprindere Curtea a stabilit că nu are loc un transfer de întreprindere dacă externalizarea activității a implicat doar efectuarea acesteia pe bază de contract cu o firmă specializată pentru reducerea costurilor, fără transfer de active sau părți de întreprindere. În contextul îmbunătățirii situației financiare a companiei prin externalizarea activității, angajatorul este îndreptățit să concedieze salariatul. Instanța a reținut că pentru a exista transfer de întreprindere este necesar un transfer efectiv de active sau operațiuni de afaceri, nu doar contractarea unei terțe părți pentru prestarea serviciilor. Sursa: juridice.ro

Instanțe diverse — Forță majoră și COVID-19: clauze contractuale valabile În contextul pandemiei COVID-19, unele instanțe au decis că o clauză contractuală care scutea prestatorul de obligația de restituire a avansului în caz de forță majoră este valabilă și trebuie aplicată. Instanța a prioritizat libertatea contractuală în fața dispozițiilor legale care nu au caracter imperativ în materie contractuală. Instanța a reținut că părțile contractante pot deroga prin acordul lor de voință de la regulile supletive ale Codului Civil, iar clauzele de forță majoră negociate sunt executabile. Sursa: juridice.ro

Decizii contrare sau limitative (CONTRA)

ANSPDCP — Wens Experience SRL, Decizia din 8 iunie 2022 — Externalizare în lanț fără autorizare GDPR Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o amendă de 1.500 EUR societății Wens Experience SRL, care activa ca persoană împuternicită de operator (data processor), pentru că a recrutat un alt subprocesor pentru prelucrarea datelor angajaților fără autorizarea scrisă prealabilă a operatorului de date (angajatorul). ANSPDCP a statuat că, conform Art. 28(2) GDPR, o persoană împuternicită nu poate angaja un alt procesor fără aprobarea scrisă specifică sau generală a operatorului. Sursa: avocatnet.ro

ANSPDCP — RED&WHITE 2022 MANAGEMENT S.A., Decizia din 30 ianuarie 2025 — Lipsă instrucțiuni documentate pentru processor ANSPDCP a aplicat o amendă de 24.854,50 lei (echivalent 5.000 EUR) societății RED&WHITE 2022 MANAGEMENT S.A. pentru încălcarea Art. 28(3)(a) GDPR. Operatorul, acționar majoritar al unui club de fotbal, a utilizat un procesor extern pentru trimiterea de emailuri de strângere fonduri către o bază de date conținând date personale ale cumpărătorilor de bilete și altor persoane, fără să furnizeze instrucțiuni documentate procesatorului referitoare la categoriile specifice de persoane vizate care trebuiau să primească emailul. ANSPDCP a concluzionat că relațiile cu procesatorii trebuie reglementate prin contract sau act juridic care să stabilească „obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate", iar procesatorii trebuie să acționeze exclusiv pe baza „instrucțiunilor documentate ale operatorului". Sursa: dataprotection.ro

Instanțe civile — Forță majoră COVID-19: restituire avans obligatorie În cazuri de organizare evenimente, unele instanțe au decis că restricțiile sanitare reprezentau „imposibilitatea totală și definitivă de executare", contractul fiind considerat desfăcut de drept, ceea ce impunea restituirea integrală a avansurilor clienților. Organizatorul nu a fost obligat la daune (neavând culpă), dar a fost condamnat la plata dobânzii legale calculată zilnic de la notificarea încetării contractului până la rambursarea efectivă, din cauza conduită de rea-credință (refuzul negocierii, ignorarea comunicărilor, reținerea ilegală a sumelor ca „voucher"). Instanța a reținut că forța majoră poate duce la desfacerea contractului, dar prestatorul nu poate reține ilegal sumele clientului sub formă de voucher fără consimțământ. Sursa: juridice.ro

Nuanțe și cazuri speciale

CJUE C-63/18 — Restricții la subcontractare incompatibile cu dreptul UE Curtea de Justiție a Uniunii Europene a respins limitările italiene care restricționau subcontractarea la 30%, considerând că astfel de restricții bazate pe procente sunt incompatibile cu Directiva UE 2014/24/UE privind achizițiile publice, chiar și atunci când sunt justificate prin combaterea activității criminale. CJUE a statuat că statele membre nu pot impune limite procentuale arbitrare subcontractării în achizițiile publice, chiar dacă există preocupări legate de securitate sau prevenirea fraudei. Sursa: juridice.ro

Subcontractare în achizițiile publice — Plata directă limitată Conform practicii din achizițiile publice românești, doar subcontractantul de primul nivel al lanțului de subcontractare poate beneficia de dreptul de plată directă de la autoritatea contractantă. Legea nu exclude subcontractanții de nivel superior, dar nu stabilește ghiduri clare pentru mecanismul de plată al acestora, implementarea unui astfel de mecanism prin contracte fiind nejustificat de complicată. Principiul reținut: Contractantul principal poartă responsabilitatea exclusivă pentru executarea contractului, subcontractantul nefiind parte la contractul de achiziție publică. Sursa: juridice.ro

Tendințe jurisprudențiale

1. Externalizarea ca reorganizare legitimă Jurisprudența românească recunoaște constant dreptul angajatorilor de a externaliza funcții în scopuri de eficientizare economică. Instanțele verifică existența motivelor reale și serioase pentru reorganizare, dar nu substituie decizia de afaceri a angajatorului privind oportunitatea externalizării.

2. Răspunderea operatorului rămâne intactă Deși externalizarea este permisă, practica judiciară și deciziile ANSPDCP confirmă principiul fundamental: clientul/operatorul rămâne responsabil pentru obligațiile legale chiar și când activitățile sunt externalizate. Acest lucru este valabil în special în:

  • Domeniul protecției datelor personale (GDPR Art. 28)
  • Sectorul bancar și asigurări (răspunderea față de BNR/ASF)
  • Dreptul muncii (obligațiile SSM, salarizare)

3. Lanțurile de subcontractare necesită control strict Deciziile ANSPDCP demonstrează că externalizarea în lanț (subcontractarea către alte entități) trebuie să respecte cerințe stricte:

  • Acordul prealabil scris al clientului/operatorului
  • Instrucțiuni documentate clare pentru fiecare nivel
  • Monitorizarea întregului lanț de prestatori

4. Clauze contractuale — respectarea libertății contractuale Instanțele românești respectă clauzele contractuale negociate între părți, inclusiv:

  • Clauze de forță majoră care scutesc de restituirea avansului
  • Clauze de penalități pentru neexecutare
  • Clauze de ieșire (exit clauses) Cu condiția ca aceste clauze să nu încalce norme imperative și să fie negociate în mod echitabil.

5. COVID-19 — interpretare divergentă privind forța majoră Practica judiciară a fost neconsecventă în perioada pandemiei:

  • Unele instanțe au calificat restricțiile sanitare drept forță majoră, aplicând clauzele contractuale
  • Altele au considerat că pandemia nu constituie automat forță majoră, impunând restituirea sumelor
  • Tendința actuală: instanțele analizează cazul concret, verificând dacă executarea contractului era efectiv imposibilă sau doar mai dificilă

6. Protecția datelor — ANSPDCP aplică activ sancțiuni Autoritatea de protecție a datelor sancționează constant încălcările GDPR în contextul externalizării:

  • Lipsă contracte conforme Art. 28 GDPR
  • Subprocesare fără acordul operatorului
  • Lipsa instrucțiunilor documentate Amenzile variază între 1.500 EUR și 5.000 EUR pentru încălcări moderate, cu potențial de creștere semnificativă pentru încălcări grave.

Aspecte speciale

Externalizarea pentru microîntreprinderi

România nu impune praguri minime de capital care să restricționeze microîntreprinderile (PFA, întreprinderi individuale, întreprinderi familiale) de la externalizarea funcțiilor esențiale. În schimb, restricțiile sunt sectoare-specifice și funcții-specifice.

Definiție microîntreprindere (Legea 346/2004):

  • Până la 9 angajați
  • Cifră de afaceri anuală până la 2.000.000 EUR
  • Active totale până la 2.000.000 EUR

Regula generală: Microîntreprinderile pot externaliza liber în sectoare nereglementate, fără praguri de capital sau autorizări prealabile.

Sectoare reglementate — restricții funcționale:

  • Bancar (Regulament BNR 8/2024): Funcții critice necesită notificare cu 2 luni înainte; furnizori din state terțe necesită acord de cooperare
  • Pensii private (Legea 2/2026): Interzisă externalizarea funcțiilor de audit intern, control intern, management risc și management investiții
  • Asigurări (Legea 237/2015): Notificare ASF obligatorie pentru funcții critice

Practică: PFA-urile și microîntreprinderile pot externaliza contabilitate, IT, HR, servicii juridice fără restricții de capital, dar trebuie să mențină supravegherea și controlul.

Surse: Legea 346/2004, Regulament BNR 8/2024

Implicații fiscale ale externalizării

Externalizarea are consecințe fiscale importante care diferă în funcție de locația furnizorului.

Deductibilitatea cheltuielilor

Regula generală: Cheltuielile cu externalizarea sunt integral deductibile dacă sunt necesare pentru activitatea economică și documentate corespunzător.

Limitare pentru servicii afiliate (Legea 239/2025): Pentru cheltuielile cu management, consultanță și proprietate intelectuală plătite către entități afiliate nerezidente, deductibilitatea este limitată la 1% din totalul cheltuielilor anuale (aplicabil companiilor cu venituri sub 50 milioane EUR). Excepție: APA (Acorduri Prealabile de Preț) cu ANAF.

Regimul TVA

Furnizor din TVA pe factură Obligația beneficiarului Deductibilitate TVA
România 19% (standard) Plătește factura cu TVA Integral deductibilă
UE 0% (reverse charge) Declară TVA 19% în formularul 301 Integral deductibilă
State terțe 0% Declară TVA 19% (import servicii) Integral deductibilă

Impozitarea la sursă pentru nerezidenți

Cota standard: 16% pentru servicii de management și consultanță (Art. 123 Codul Fiscal)

Cu Certificat de Rezidență Fiscală (CRF): Se aplică convențiile de evitare a dublei impuneri

  • Furnizori UE: De regulă 0% (dacă nu au sediu permanent în România)
  • State terțe cu convenție: 0-16% (variază)
  • State fără cooperare fiscală: 50%

Exemplu practic:

  • Furnizor din Germania: TVA reverse charge (0% pe factură), impozit la sursă 0% cu CRF
  • Furnizor din India: TVA 19% declarată în RO, impozit la sursă 16% (sau conform convenției)

Surse: Codul Fiscal (doc 306152)

Refuzul notificării de către BNR sau ASF

Dacă BNR sau ASF refuză notificarea externalizării unei funcții critice, clientul nu poate continua contractul în forma notificată.

Procedura:

  1. BNR (Regulament 5/2013, Art. 230^11):

    • Notificare cu 2 luni înainte
    • BNR poate opune motivat în termen de 2 luni
    • Dacă BNR nu răspunde, instituția poate proceda
    • Dacă BNR refuză: instituția trebuie să se conformeze

  2. ASF (Legea 237/2015, Art. 33):

    • Notificare înainte de semnarea contractului
    • ASF poate refuza dacă consideră că există riscuri prudențiale
    • Operarea fără aprobare = contravenție

Contestare:

  • Termen: 30 de zile de la notificare
  • Forum: Curtea de Apel București, Secția contencios administrativ
  • IMPORTANT: Contestația NU suspendă măsura — refuzul rămâne în vigoare pe durata litigiului

Sancțiuni pentru operare fără aprobare:

  • Asigurări: 10.000 - 45.000.000 lei sau 5% din cifra de afaceri anuală
  • Bănci: măsuri prudențiale, restricții operaționale, potențial retragerea autorizației
  • Publicarea sancțiunilor în registre oficiale

Surse: Legea 237/2015, Art. 163 și 165, Regulament BNR 8/2024

Protecția furnizorului împotriva cerințelor abuzive

Din perspectiva furnizorului, legea română oferă protecții împotriva clauzelor contractuale abuzive impuse de client.

1. Limitarea răspunderii (Cod Civil Art. 1.355):

  • Furnizorul poate limita răspunderea pentru prejudicii cauzate prin simplă imprudență
  • NU poate exclude răspunderea pentru intenție sau culpă gravă
  • NU poate exclude răspunderea pentru prejudicii corporale
  • Practică: limitarea la valoarea contractului anual sau multiplu al acesteia

2. Clauze neuzuale — acceptare expresă scrisă (Art. 1.203): Următoarele clauze necesită acceptare expresă în scris:

  • Limitarea răspunderii furnizorului
  • Dreptul de denunțare unilaterală
  • Suspendarea obligațiilor
  • Decăderi din drepturi
  • Clauze compromisorii (arbitraj)

3. Protecția împotriva modificărilor unilaterale:

  • Modificările contractului (inclusiv SLA) trebuie convenite prin act adițional
  • Clientul NU poate impune unilateral cerințe sporite fără compensație
  • Furnizorul poate rezilia dacă clientul modifică substanțial obligațiile

4. Limitarea auditurilor: Furnizorul poate stipula contractual:

  • Frecvență maximă (ex: 2 audituri pe an)
  • Preaviz minim (ex: 10 zile lucrătoare)
  • Costuri suportate de client
  • Restricții de acces la informații clasificate/secrete comerciale

Surse: Codul Civil, Art. 1.203, 1.355

Drepturile furnizorului în caz de insolvență client

În cazul intrării în insolvență a clientului, furnizorul de outsourcing are drepturi limitate.

1. Drepturi asupra datelor și sistemelor:

  • Datele rămân proprietatea clientului, chiar în insolvență
  • Furnizorul are drept de custodie, nu de proprietate
  • NU poate vinde sau ceda datele terților fără autorizare

2. Suspendarea serviciilor pentru neplată:

În procedura de observare (Legea 85/2014, Art. 58):

  • Furnizorul NU poate denunța unilateral contractul pentru neplată
  • Debitorul poate continua activitatea cu restanțe

În procedura de lichidare:

  • Furnizorul poate suspenda după notificare către lichidator
  • Trebuie respectate termenele contractuale

3. Poziția creanțelor în masa credală:

Creanțele furnizorului sunt ordinare (chirografe), ceea ce înseamnă:

  • Se plătesc după creanțele privilegiate (salarii, stat, creditori garantați)
  • Recuperare parțială (adesea 0-30% din valoare)
  • Rang scăzut în ierarhia creditorilor

Strategie preventivă:

  • Clauze de plată în avans sau termene scurte
  • Garanții bancare sau scrisori de credit
  • Asigurare de credit pentru clienți mari
  • Monitorizarea situației financiare a clientului

Surse: Legea 85/2014, Codul Civil

Calendarul de implementare NIS2 și DORA (2026-2027)

DORA (Regulamentul UE 2022/2554)

Data intrării în vigoare: 17 ianuarie 2025

Perioada de tranziție: 3 ani (până ianuarie 2028)

Termene cheie:

  • 2025: Stabilirea registrului contractelor ICT și raportare către BNR/ASF
  • 2026-2027: Implementarea completă a cerințelor (clauze contractuale, strategii de ieșire, teste de penetrare)
  • Ianuarie 2028: Conformare completă obligatorie

Contracte existente: Trebuie amendate pentru a include:

  • Clauze de ieșire cu perioada de tranziție obligatorie
  • Drepturi de acces, inspecție și audit
  • Locații de procesare a datelor
  • Niveluri de serviciu măsurabile
  • Planuri de recuperare în caz de insolvență furnizor

NIS2 (Directiva UE 2022/2555)

Transpunere în România: OUG 155/2024 (aprobată prin Legea 124/2025)

Data intrării în vigoare: 10 iulie 2025

Termene implementare:

  • August-septembrie 2025: Înregistrare entități esențiale/importante cu DNSC (30 zile)
  • 2026: Evaluarea riscului (60 zile), autoevaluare (60 zile), plan de remediere (30 zile)
  • 2026-2027: Implementarea măsurilor de conformare

Măsuri practice pentru conformare (2026):

  1. Desemnarea responsabilului de securitate cibernetică
  2. Documentarea tuturor subcontractorilor critici
  3. Implementarea sistemului de raportare a incidentelor
  4. Audituri de securitate interne
  5. Planuri de răspuns la incidente

Surse: DORA (Reg 2022/2554), OUG 155/2024

Consultarea sindicatelor la externalizare masivă

Externalizarea masivă de funcții poate declanșa obligații de consultare a sindicatelor în mai multe circumstanțe.

1. Concedieri colective (Codul Muncii Art. 56-57):

Praguri:

  • Minimum 10 salariați într-o lună calendaristică
  • Sau 10% din efectiv (la unități cu sub 100 angajați)

Obligații:

  • Notificare către sindicate 30 de zile înainte
  • Consultare privind: motive, număr afectați, criterii de selecție, măsuri de atenuare

2. Transfer de întreprindere (Legea 67/2006):

Dacă externalizarea implică transfer de activitate:

  • Contractele de muncă se transferă automat către noul operator
  • Salariații păstrează toate drepturile
  • Informarea și consultarea reprezentanților salariaților obligatorie

Surse: Codul Muncii (consolidat 18.12.2025), Legea 67/2006

Cerințele mai stricte ale României (gold-plating)

România impune cerințe mai stricte decât minimul UE pentru externalizare în sectorul financiar, ceea ce ridică probleme de compatibilitate cu Directiva Serviciilor 2006/123/CE.

Cerințe românești mai stricte:

  1. Amplasamentul datelor: Restricții privind unde pot fi procesate datele sensibile
  2. Notificare de 2 luni la BNR: Mai lung decât în alte state membre
  3. Documentație extinsă: Registre comprehensive pentru toate contractele

Compatibilitate cu libertatea de prestare a serviciilor:

  • Nu au fost identificate proceduri de infringement împotriva României
  • Risc există dacă cerințele nu sunt proporționale cu obiectivele prudențiale
  • România invocă supravegherea prudențială și protecția consumatorilor ca justificare

Surse: Directiva 2006/123/CE

Excepții la principiul „clientul rămâne responsabil"

În principiu, clientul rămâne întotdeauna responsabil față de autorități. Există însă excepții limitate în sectoare strict reglementate.

Regula generală — răspundere nededelegabilă:

  • Bănci: „Instituțiile rămân pe deplin responsabile"
  • Asigurări: „Administratorul rămâne responsabil"

Excepții limitate — operatori autorizați:

Când furnizorul deține licență proprie:

  • Operatori de distribuție gaz (ANRE): Răspund pentru segmentul licențiat
  • Instalatori autorizați: Răspund pentru calitatea tehnică
  • ÎNSĂ: Clientul rămâne responsabil de selecție și supraveghere

Concluzie: NU există scenarii în care răspunderea poate fi transferată integral.

Surse: Regulament BNR 8/2024, Legea 2/2026

Externalizarea către state vecine non-UE

Pentru externalizarea către Moldova, Serbia și Ucraina, se aplică un regim mixt.

1. Statutul de țară candidată UE:

  • Moldova și Ucraina: Candidate din iunie 2022
  • Serbia: Candidată din martie 2012
  • Aliniere progresivă la standardele UE

2. Transferuri de date personale:

Niciuna din cele 3 țări NU are decizie de adecvare GDPR.

Țară Legislație Cerințe pentru transfer
Moldova Legea 195 (intrare în vigoare august 2026) Clauze Contractuale Standard (CCS)
Serbia Legea protecției datelor (2019) CCS sârbe
Ucraina Legea 2297-VI (2010) Consimțământ sau CCS

3. Facilități comerciale:

  • DCFTA: Moldova și Ucraina au acord de liber schimb cu UE
  • CEFTA: Serbia este membru
  • Angajare simplificată: Maximum 9 luni pe an fără aviz de muncă

Concluzie: Deși sunt state vecine candidate UE, în prezent nu beneficiază de regim preferențial pentru externalizare. Bariera principală: absența deciziei de adecvare GDPR.

Surse: Legea 305/2018, Legea 200/2020

Întrebări frecvente

1. Pot externaliza orice funcție din companie? Nu. Anumite funcții nu pot fi externalizate — de exemplu, conducerea executivă a societății, responsabilitățile organelor de administrație. În sectoarele reglementate (bănci, asigurări), există restricții clare privind ce funcții pot fi externalizate și în ce condiții.

2. Dacă furnizorul extern face o greșeală, cine răspunde față de clienți sau autoritați? Clientul rămâne responsabil față de terțe părți și autorități. Ai dreptul să te regreses contractual împotriva furnizorului (pe baza contractului de outsourcing), dar autoritățile te vor sancționa pe tine, nu pe prestator, pentru nerespectarea obligațiilor legale.

3. Este obligatorie notificarea autorităților când externalizez servicii? Depinde de sector. În domeniul bancar, asigurări și servicii financiare reglementate, notificarea către autorități (BNR, ASF) este obligatorie pentru funcțiile critice sau importante. Pentru alte domenii, nu există o obligație generală de notificare.

4. Pot furnizorul să subcontracteze serviciile către altă companie? Numai dacă contractul o permite expres. În sectoarele reglementate, subcontractarea (externalizarea în lanț) necesită acordul prealabil al clientului și, uneori, notificarea autorităților. Furnizorul rămâne răspunzător pentru calitatea serviciilor subcontractate.

5. Ce se întâmplă la încetarea contractului de outsourcing? Furnizorul are obligația să asigure un transfer ordonat al funcției către un nou prestator sau către client. Contractul trebuie să prevadă o perioadă de tranziție (de obicei 30-90 zile) și să stabilească modalitățile de returnare a datelor și documentelor. În lipsa unor astfel de clauze, riscați întreruperea activității.

6. Trebuie să cer asigurare de răspundere profesională de la furnizor? Nu este obligatoriu prin lege (cu excepția anumitor domenii reglementate, cum ar fi serviciile medicale), dar este foarte recomandat. Asigurarea de răspundere profesională îți oferă o garanție suplimentară că, dacă furnizorul cauzează prejudicii, există o sursă de acoperire financiară.

7. Cum verific dacă furnizorul respectă GDPR? Contractul de outsourcing trebuie să conțină clauze specifice GDPR, conform Art. 28 din Regulamentul (UE) 2016/679. Furnizorul devine „persoană împuternicită de operator" și trebuie să:

  • Prelucreze datele doar conform instrucțiunilor tale scrise
  • Asigure confidențialitatea datelor
  • Asiste la răspunsul către persoanele vizate
  • Ștergă sau returneze datele la încetarea contractului

Ai dreptul (și obligația) să auditezi măsurile de securitate ale furnizorului.

Referințe

  1. Codul Civil (Legea nr. 287/2009, republicată, consolidat la 19.12.2025) — Art. 1.350 (Răspunderea contractuală), Art. 1.357 (Condițiile răspunderii), Art. 2.009-2.095 (Contractul de mandat), Art. 2.072-2.095 (Contractul de agenție) — legislatie.just.ro

  2. Regulamentul BNR nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit (modificat prin Regulamentul nr. 8/2024) — Art. 230^11 - 230^20 (Externalizarea) — legislatie.just.ro

  3. Norma ASF nr. 4/2018 privind cerințele minime de securitate cibernetică și raportarea incidentelor majore de securitate cibernetică pentru entitățile supravegheate de ASF — Art. 44-47 (Externalizare servicii IT) — legislatie.just.ro

  4. Norma ASF nr. 25/2022 privind autorizarea societăților și desfășurarea activității de asigurare și de reasigurare (modificată prin Norma nr. 20/2024) — Art. 4 (Notificarea externalizării) — legislatie.just.ro

  5. Regulamentul (UE) 2016/679 (GDPR) — Art. 28 (Persoana împuternicită de operator) — eur-lex.europa.eu

  6. Avocatnet.ro — „Externalizarea rolurilor obligatorii în companii e adesea cea mai bună soluție, dar nu scapă companiile de răspunderea legală ce le revine" (2024) — avocatnet.ro

  7. Avocatnet.ro — „Externalizarea proceselor de afaceri: Tendință sau necesitate? Serviciile externalizate cel mai des - contabilitate, salarizare, evidența resurselor umane" — avocatnet.ro