Termeni și Condiții pentru SaaS

📅Creat: 12 februarie 2026
✏️Actualizat: acum 1 lună

Termeni și Condiții pentru SaaS

Pe scurt

Termenii și condițiile (T&C) pentru un serviciu SaaS (Software as a Service) sunt documentul juridic care reglementează relația dintre furnizorul de software și utilizator. Spre deosebire de o licență software clasică, SaaS-ul presupune acces la o aplicație găzduită în cloud, fără instalare locală, ceea ce ridică probleme juridice specifice: disponibilitate, prelucrare date, limitarea răspunderii și dreptul de retragere.

Termenii și condițiile SaaS se construiesc la intersecția mai multor acte normative. Nu există o lege specifică pentru SaaS în România, dar următoarele reglementări sunt direct aplicabile:

Codul Civil — baza contractuală

Contractul SaaS este, din perspectiva Codului Civil, un contract de prestări servicii (art. 1851-1857) combinat cu elemente de licențiere a unui program pentru calculator. Se aplică regulile generale privind formarea contractelor, inclusiv consimțământul exprimat prin „click-wrap" (acceptarea termenilor prin bifarea unei căsuțe).

Art. 1240 Cod Civil — Voința de a contracta poate fi exprimată verbal sau în scris, precum și printr-un comportament care, potrivit legii, convenției părților, practicilor statornicite între acestea sau uzanțelor, nu lasă nicio îndoială asupra intenției de a produce efectele juridice corespunzătoare. Sursa: Codul Civil, Legea 287/2009, versiune consolidată decembrie 2025

OUG 141/2021 — servicii digitale și conținut digital

Aceasta este legislația-cheie pentru SaaS în relația cu consumatorii. OUG 141/2021 transpune Directiva (UE) 2019/770 și reglementează:

  • Conformitatea serviciului digital cu ce s-a promis în contract
  • Obligația de actualizare — furnizorul trebuie să ofere actualizări necesare menținerii conformității
  • Drepturile consumatorului în caz de neconformitate: remedierea, reducerea prețului sau încetarea contractului
  • Sancțiuni: amenzi între 5.000 și 50.000 lei pentru nerespectarea obligațiilor

Art. 1 OUG 141/2021 — Prezenta ordonanță de urgență reglementează anumite aspecte referitoare la contractele dintre comercianți și consumatori, ce au ca obiect furnizarea de conținut digital sau de servicii digitale, în scopul asigurării unui nivel ridicat de protecție a consumatorilor. Sursa: OUG 141/2021

OUG 34/2014 — contracte la distanță

Fiind un serviciu contractat online, SaaS-ul intră sub incidența OUG 34/2014 privind drepturile consumatorilor în contractele la distanță. Principalele obligații:

  • Informarea precontractuală — identitatea furnizorului, caracteristicile serviciului, prețul total, durata contractului
  • Dreptul de retragere — 14 zile de la încheierea contractului, fără a fi nevoie de justificare
  • Excepția importantă: dreptul de retragere nu se aplică dacă utilizatorul și-a dat acordul expres pentru începerea prestării serviciului și a acceptat pierderea dreptului de retragere (relevant pentru trial-uri și activări imediate)

Legea 365/2002 — comerțul electronic

Furnizorul SaaS este un prestator de servicii ale societății informaționale în sensul Legii 365/2002. Obligații principale:

  • Afișarea informațiilor de identificare (denumire, CUI, sediu, contact)
  • Transparența prețurilor (inclusiv taxe)
  • Confirmarea electronică a comenzii
  • Accesul la condițiile contractuale într-o formă descărcabilă și stocabilă

Legea 193/2000 — clauze abuzive

Dacă utilizatorul este consumator (persoană fizică), T&C-ul SaaS este un contract de adeziune — preformutat de furnizor, fără negociere individuală. Se aplică protecția împotriva clauzelor abuzive: acele clauze care creează un dezechilibru semnificativ între drepturile și obligațiile părților, în detrimentul consumatorului.

GDPR — protecția datelor personale

Un SaaS prelucrează aproape întotdeauna date personale ale utilizatorilor. Furnizorul trebuie să respecte Regulamentul (UE) 2016/679 (GDPR) și legislația națională (Legea 190/2018). Aspectele esențiale din T&C:

  • Temeiul juridic al prelucrării (contractul, consimțământul, interesul legitim)
  • Categoriile de date prelucrate și scopurile
  • Drepturile utilizatorului: acces, rectificare, ștergere, portabilitate
  • Transferul datelor în afara UE/SEE (relevant pentru SaaS-uri cu servere în SUA)
  • Acordul de prelucrare a datelor (Data Processing Agreement — DPA), obligatoriu când furnizorul acționează ca persoană împuternicită

Explicație detaliată

Ce este un SaaS, juridic vorbind?

SaaS (Software as a Service) este un model de furnizare a software-ului în care utilizatorul accesează aplicația printr-un browser sau o aplicație client, fără a instala sau deține o copie a programului. Utilizatorul plătește, de regulă, un abonament periodic (lunar sau anual).

Din punct de vedere juridic, SaaS-ul nu este o vânzare de software, ci o prestare continuă de servicii digitale. Această distincție este fundamentală:

  • Nu se transferă proprietatea asupra software-ului
  • Furnizorul păstrează controlul total asupra aplicației (versiuni, actualizări, infrastructură)
  • Utilizatorul primește un drept de acces limitat, nu o licență perpetuă
  • La încetarea contractului, accesul se oprește

Structura unui document T&C pentru SaaS

Un document complet de T&C pentru SaaS ar trebui să acopere cel puțin următoarele secțiuni:

  1. Definiții — clarificarea termenilor-cheie (serviciu, cont, utilizator, date ale clientului, conținut)
  2. Obiectul contractului — descrierea serviciului furnizat
  3. Crearea contului și acceptarea termenilor — mecanismul click-wrap
  4. Planuri, prețuri și facturare — modalități de plată, reînnoire automată, modificări de preț
  5. Dreptul de utilizare (licența) — ce poate și ce nu poate face utilizatorul
  6. Restricții de utilizare — utilizare abuzivă, conținut interzis
  7. Disponibilitatea serviciului (SLA) — uptime garantat, penalități
  8. Proprietate intelectuală — cine deține ce (software-ul rămâne al furnizorului, datele rămân ale clientului)
  9. Protecția datelor personale — GDPR, DPA, transfer internațional
  10. Limitarea răspunderii — plafoane, excluderi
  11. Modificarea termenilor — cum și când poate furnizorul modifica T&C
  12. Încetarea contractului — reziliere, drept de retragere, efectele încetării
  13. Legea aplicabilă și jurisdicția — instanța competentă

Dreptul de acces vs. licența software

Un aspect frecvent confundat: SaaS-ul nu presupune o licență de utilizare în sensul Legii 8/1996 privind dreptul de autor. Utilizatorul nu primește o copie a programului, ci acces la funcționalitățile acestuia. Totuși, dacă SaaS-ul include componente descărcabile (aplicații mobile, plugin-uri), pentru acele componente se aplică regulile clasice de licențiere.

Art. 74 din Legea 8/1996 — Programele pentru calculator sunt protejate prin drept de autor ca opere literare, în sensul Convenției de la Berna. Sursa: Legea 8/1996

Reînnoirea automată și transparența prețurilor

Multe servicii SaaS folosesc reînnoirea automată a abonamentului. Conform OUG 34/2014 și practicii ANPC, furnizorul are obligația de a informa clar consumatorul despre:

  • Durata minimă a contractului
  • Condițiile de reînnoire automată
  • Modalitatea de anulare
  • Prețul care va fi perceput la reînnoire

Nerespectarea acestor obligații poate atrage sancțiuni contravenționale și anularea clauzelor respective ca abuzive.

Aspecte practice

Greșeli frecvente în T&C pentru SaaS

  • Lipsa informațiilor de identificare — multe start-up-uri omit CUI-ul, sediul sau datele de contact, obligatorii conform Legii 365/2002
  • Clauze de limitare totală a răspunderii — „Furnizorul nu răspunde pentru nimic" este o clauză abuzivă față de consumatori
  • Absența mecanismului de retragere — neacordarea celor 14 zile conform OUG 34/2014
  • Modificarea unilaterală a prețului fără notificare — trebuie notificat cu un termen rezonabil, cu dreptul utilizatorului de a rezilia
  • Lipsa DPA-ului — dacă furnizorul prelucrează date în numele clientului (B2B), absența unui acord de prelucrare constituie o încălcare GDPR
  • Clauze de jurisdicție străină — dacă utilizatorul este consumator român, nu i se poate impune o jurisdicție din altă țară (protecția consumatorului prevalează)

Diferențe între B2C și B2B

Când utilizatorul este consumator (persoană fizică), furnizorul trebuie să respecte un nivel mai ridicat de protecție:

  • Se aplică OUG 34/2014 (drept de retragere)
  • Se aplică Legea 193/2000 (clauze abuzive)
  • Se aplică OUG 141/2021 (conformitate servicii digitale)
  • Nu se poate limita răspunderea sub pragurile legale

Când utilizatorul este profesionist (persoană juridică, PFA), părțile au libertate contractuală mai mare:

  • Dreptul de retragere nu se aplică
  • Clauzele abuzive se analizează după dreptul comun, nu după Legea 193/2000
  • Se pot negocia SLA-uri, penalități și limitări de răspundere personalizate

Lista de verificare pentru furnizori SaaS

Înainte de lansare, verificați dacă T&C-ul conține:

  • ✅ Datele de identificare complete ale furnizorului
  • ✅ Descrierea clară a serviciului și a funcționalităților incluse
  • ✅ Prețurile, inclusiv TVA, și condițiile de facturare
  • ✅ Mecanismul de acceptare (click-wrap)
  • ✅ Politica de confidențialitate separată sau integrată
  • ✅ DPA (Data Processing Agreement) dacă prelucrați date în numele clientului
  • ✅ Dreptul de retragere (14 zile) pentru consumatori
  • ✅ Procedura de modificare a termenilor cu notificare prealabilă
  • ✅ Procedura de încetare și exportul datelor
  • ✅ SLA (Service Level Agreement) cu nivelul de disponibilitate
  • ✅ Limitarea rezonabilă a răspunderii
  • ✅ Legea aplicabilă și instanța competentă
  • Acceptarea plăților electronice (obligatorie din 2026)

Noutăți legislative 2026 — Obligații de plată electronică

Legea 239/2025 (în vigoare din 1 ianuarie 2026) introduce obligativitatea acceptării plăților electronice pentru toate companiile și întreprinderile individuale. Aceasta afectează direct condițiile de plată din T&C-urile SaaS.

Obligații pentru furnizorii SaaS:

  • Acceptarea obligatorie a plăților cu cardul sau prin alte mijloace electronice
  • Interzicerea refuzului plăților electronice pentru servicii/abonamente
  • Amenzi între 5.000-25.000 lei pentru nerespectare

Implicații pentru T&C SaaS:

  • Clauza „acceptăm doar plata cash/transfer bancar" devine ilegală
  • Trebuie prevăzute explicit opțiunile de plată electronică
  • Pentru abonamente recurente, plata cu cardul devine standard

Facturarea electronică B2B:

  • Obligativitatea înregistrării în sistemul RO e-Factură pentru contracte B2B
  • SaaS-urile pentru întreprinderi trebuie să emită facturi electronice
  • Termenul de conformare: 15 ianuarie 2026 pentru PFA-uri

Sursa: Legea 239/2025

Practică și opinii

⚠️ Opinie specialistă — Societatea de Avocatură NNDKP Contractele SaaS ridică provocări specifice în dreptul român, deoarece nu se încadrează perfect nici în categoria contractelor de prestări servicii, nici în cea a licențelor software. Calificarea juridică depinde de elementele predominante: dacă accentul cade pe accesul la funcționalitate, avem un contract de servicii; dacă pe dreptul de a utiliza un program specific, avem o licență. Sursa: NNDKP, Departamentul IT & Telecomunicații

⚠️ Opinie specialistă — Autoritatea Națională pentru Protecția Consumatorilor (ANPC) ANPC a intensificat controalele asupra platformelor digitale și serviciilor online, verificând în special respectarea dreptului de retragere și a obligațiilor de informare precontractuală. Serviciile SaaS destinate consumatorilor intră pe deplin sub incidența legislației privind protecția consumatorului. Sursa: Raport de activitate ANPC 2024, secțiunea Control platforme digitale

Legislație europeană

Directive și regulamente aplicabile

Termenii și condițiile pentru servicii SaaS se află sub incidența unui cadru european complex, care vizează protecția consumatorilor digitali, prelucrarea datelor personale și reglementarea pieței digitale unice.

Directiva (UE) 2019/770 privind anumite aspecte referitoare la contractele de furnizare de conținut digital și de servicii digitale — este actul european fundamental pentru SaaS în relația B2C. Stabilește cerințe de conformitate, obligația de actualizare și drepturile consumatorului în caz de neconformitate a serviciului digital. Sursa: Directiva (UE) 2019/770

Directiva 2011/83/UE privind drepturile consumatorilor — reglementează contractele la distanță, inclusiv obligațiile de informare precontractuală și dreptul de retragere de 14 zile, aplicabile integral serviciilor SaaS contractate online. Sursa: Directiva 2011/83/UE

Directiva 93/13/CEE privind clauzele abuzive în contractele încheiate cu consumatorii — oferă protecție împotriva clauzelor abuzive în contractele de adeziune (cum sunt T&C-urile SaaS), impunând cerința bunei-credințe și a echilibrului contractual. Sursa: Directiva 93/13/CEE

Directiva 2000/31/CE privind comerțul electronic — stabilește cadrul pentru serviciile societății informaționale, inclusiv obligațiile de transparență, informare și răspunderea limitată a prestatorilor intermediari. Sursa: Directiva 2000/31/CE

Regulamentul (UE) 2016/679 (GDPR) — direct aplicabil, reglementează prelucrarea datelor personale, impunând obligații specifice furnizorilor SaaS: temei juridic, transparență, DPA, transfer internațional de date și drepturile persoanelor vizate. Sursa: Regulamentul (UE) 2016/679

Regulamentul (UE) 2022/2065 (DSA — Digital Services Act) — stabilește obligații de transparență, moderare a conținutului și raportare pentru furnizorii de servicii intermediare, inclusiv platformele SaaS care permit utilizatorilor să publice conținut. Sursa: Regulamentul (UE) 2022/2065

Regulamentul (UE) 2022/1925 (DMA — Digital Markets Act) — vizează furnizorii SaaS de dimensiuni foarte mari (gatekeepers), impunând obligații de interoperabilitate, portabilitate a datelor și interzicerea practicilor anticoncurențiale. Sursa: Regulamentul (UE) 2022/1925

Transpunerea în dreptul român

Legislația europeană în materie de servicii digitale a fost transpusă în dreptul român prin următoarele acte:

  • Directiva (UE) 2019/770OUG 141/2021 privind furnizarea de conținut digital și servicii digitale. România a transpus directiva fără diferențe semnificative față de standardele minime impuse de UE. Amenzile prevăzute (5.000–50.000 lei) sunt relativ moderate comparativ cu alte state membre.
  • Directiva 2011/83/UEOUG 34/2014 privind drepturile consumatorilor în contractele la distanță. Dreptul de retragere de 14 zile și obligațiile de informare precontractuală sunt integral preluate.
  • Directiva 93/13/CEELegea 193/2000 privind clauzele abuzive. România menține lista indicativă de clauze considerate abuzive din anexa directivei, fără extinderi semnificative (fără „gold-plating").
  • Directiva 2000/31/CELegea 365/2002 privind comerțul electronic, care a fost ulterior modificată și prin Legea 50/2024 pentru alinierea cu Regulamentul (UE) 2022/2065 (DSA).
  • GDPR (Regulamentul 2016/679) este direct aplicabil și completat la nivel național de Legea 190/2018.

Jurisprudență CJUE

Cauza C-128/11, UsedSoft GmbH c. Oracle International Corp. (2012) — CJUE a decis că principiul epuizării dreptului de distribuție se aplică și copiilor de software descărcate online. Deși decizia vizează licențele software clasice, ea a generat dezbateri privind aplicabilitatea în contextul SaaS, unde utilizatorul nu primește o copie a programului, ci doar acces la funcționalitate. Concluzia doctrinară dominantă este că epuizarea nu se aplică modelului SaaS. Sursa: CJUE, C-128/11

Cauza C-263/18, Nederlands Uitgeversverbond c. Tom Kabinet (2019) — CJUE a confirmat că principiul epuizării nu se aplică furnizării de cărți electronice (și, prin extensie, conținutului digital furnizat ca serviciu). Această decizie consolidează interpretarea conform căreia furnizorul SaaS păstrează controlul deplin asupra software-ului, iar utilizatorul nu poate invoca epuizarea dreptului. Sursa: CJUE, C-263/18

Cauza C-681/17, slewo c. Sascha Ledowski (2019) — CJUE a clarificat condițiile în care consumatorul pierde dreptul de retragere pentru conținutul digital furnizat online. Instanța a stabilit că excepția de la dreptul de retragere se aplică doar dacă consumatorul a fost informat clar și și-a dat acordul expres pentru începerea prestării. Decizia este direct relevantă pentru mecanismele de „trial" și activare imediată ale serviciilor SaaS. Sursa: CJUE, C-681/17

Cauza C-649/17, Bundesverband der Verbraucherzentralen c. Amazon EU (2019) — CJUE a stabilit că platforma Amazon trebuie să pună la dispoziția consumatorilor un mijloc de comunicare rapid și eficient (nu doar formular online), consolidând obligațiile de accesibilitate și transparență aplicabile și furnizorilor SaaS. Sursa: CJUE, C-649/17

Aspecte practice din perspectivă europeană

Implicații transfrontaliere. Un furnizor SaaS din România care oferă servicii în alte state membre UE trebuie să respecte legislația de protecție a consumatorilor din statul de reședință al consumatorului (art. 6 din Regulamentul Roma I). Nu poate impune consumatorului o jurisdicție sau o lege aplicabilă care să-i reducă protecția sub nivelul garantat de legislația țării sale.

Portabilitatea datelor. Pe lângă dreptul la portabilitate din GDPR (art. 20), Directiva (UE) 2019/770 (transpusă prin OUG 141/2021) acordă consumatorului dreptul de a-și recupera conținutul furnizat prin intermediul serviciului digital, fără costuri suplimentare și într-un format utilizabil. Acest aspect este deosebit de relevant la încetarea unui abonament SaaS.

Digital Markets Act (DMA) și interoperabilitatea. Regulamentul (UE) 2022/1925 impune furnizorilor SaaS desemnați ca „gatekeepers" obligații de interoperabilitate și interzicerea practicilor de „tying" (condiționarea unui serviciu de utilizarea altuia). Deși în prezent vizează doar platformele foarte mari (Google, Microsoft, Apple etc.), aceste reguli pot influența indirect piața SaaS românească prin efectul competitiv de cascadă.

Evoluții legislative. Comisia Europeană lucrează la revizuirea cadrului privind răspunderea pentru produsele digitale, inclusiv prin Directiva (UE) 2024/2853 privind răspunderea pentru produse defecte, care extinde noțiunea de „produs" la software și servicii digitale. Furnizorilor SaaS li se va putea angaja răspunderea pentru daunele cauzate de defecte ale software-ului, inclusiv cele datorate lipsei actualizărilor de securitate.

Reglementări speciale și cazuri particulare

Calificarea juridică: serviciu digital vs. licență

O întrebare frecventă este dacă SaaS-ul trebuie calificat ca serviciu digital sau ca licență software. Răspunsul modern, dat de OUG 141/2021, este clar: atunci când utilizatorul plătește pentru accesul la funcționalitatea unui software furnizat în cloud, fără a primi nicio copie a programului, avem de-a face cu un serviciu digital, nu cu o licență în sensul tradițional al Legii 8/1996.

Conceptul de „licențiere" rămâne relevant doar în următoarele situații specifice:

  • SaaS-ul include componente descărcabile (aplicații mobile, plugin-uri desktop) — pentru acestea se aplică regulile clasice de licențiere
  • Contractul prevede explicit acordarea unui drept de utilizare asupra codului sursă sau a unei copii locale
  • SaaS-ul este de fapt un software on-premise livrat prin descărcare, nu un serviciu cloud propriu-zis

Concluzie doctrinară. Atunci când nu există transfer de copie și utilizatorul accesează aplicația exclusiv prin browser sau client subțire, calificarea corectă este „contract de furnizare de servicii digitale" în sensul OUG 141/2021, iar nu „contract de licențiere". Aceasta este interpretarea care prevalează în practica juridică europeană și română actuală. Sursa: Daniel Aragea, Smart Goods și garanția pentru conformitate, JURIDICE.ro 2022

Furnizori SaaS din afara UE

Furnizorii SaaS stabiliți în afara Uniunii Europene (SUA, Israel, India etc.) care oferă servicii consumatorilor români au obligații specifice, chiar dacă nu au prezență fizică în UE.

Aplicabilitatea OUG 141/2021. Conform art. 3 din OUG 141/2021, dispozițiile privind conformitatea serviciilor digitale se aplică tuturor contractelor încheiate cu consumatori români, indiferent de sediul furnizorului. Legea aplicabilă este determinată de Regulamentul Roma I (art. 6): consumatorul beneficiază de protecția oferită de legislația țării sale de reședință obișnuită dacă furnizorul își direcționează activitățile către România.

Dreptul de retragere. Conform OUG 34/2014, consumatorii români au drept de retragere de 14 zile și de la furnizorii non-UE, dacă aceștia:

  • Oferă website-ul în limba română
  • Acceptă plăți în lei sau prin mijloace specifice pieței românești
  • Fac publicitate direcționată către România

Obligația de reprezentare. Furnizorii non-UE care oferă servicii în UE ar trebui să desemneze un reprezentant autorizat în Uniune pentru a facilita comunicarea cu autoritățile și consumatorii. Deși OUG 141/2021 nu impune explicit această obligație, Regulamentul (UE) 2022/2065 (DSA) și OUG 155/2024 (NIS2) o impun pentru anumite categorii de furnizori de servicii digitale și platforme.

Aspecte practice.

Situație Implicații pentru consumator
Furnizor din SUA fără reprezentant în UE Exercitarea drepturilor poate fi dificilă practic; instanțele române sunt competente, dar executarea hotărârii necesită proceduri internaționale
Furnizor din SUA cu filială în UE Consumatorul se poate îndrepta împotriva filialei UE
Plata prin card bancar Posibilitatea de chargeback în caz de nelivrare sau neconformitate

Recomandare pentru consumatori. Înainte de a contracta cu un furnizor SaaS din afara UE, verificați existența unui reprezentant european, disponibilitatea suportului în limba română și opțiunile de plată care oferă protecție (card de credit vs. transfer bancar).

Bunuri cu elemente digitale (OUG 140/2021)

OUG 140/2021 reglementează vânzarea de bunuri care încorporează conținut digital sau servicii digitale — denumite „bunuri cu elemente digitale" sau „smart goods". Aceasta este relevantă pentru SaaS în situația produselor IoT (Internet of Things) care depind de o componentă cloud pentru funcționare.

Ce sunt bunurile cu elemente digitale? Conform art. 2 alin. (1) lit. b) din OUG 140/2021, sunt bunuri corporale mobile care:

  • Încorporează conținut digital sau un serviciu digital, SAU
  • Sunt interconectate cu acestea și, în lipsa respectivului conținut sau serviciu digital, nu și-ar putea îndeplini funcțiile

Exemple practice:

  • Ceas smart care depinde de aplicația cloud pentru funcții de tracking
  • Termostat inteligent controlat prin serviciu SaaS
  • Cameră de supraveghere cu stocare cloud obligatorie
  • Electrocasnice smart cu aplicație de control

Cine răspunde pentru neconformități? Conform art. 3 alin. (4) din OUG 140/2021, vânzătorul bunului răspunde față de consumator atât pentru componenta hardware, cât și pentru componenta digitală (serviciul SaaS asociat), dacă:

  1. Elementele digitale sunt furnizate împreună cu bunul
  2. Bunul nu poate funcționa fără aceste elemente digitale

Obligația de actualizare. Art. 6 alin. (3) din OUG 140/2021 impune vânzătorului să furnizeze actualizări necesare menținerii conformității serviciului digital asociat bunului, pe perioada în care consumatorul se așteaptă în mod rezonabil să fie furnizate (2-5 ani, în funcție de durabilitatea bunului).

Implicații pentru T&C SaaS. Dacă serviciul SaaS este esențial pentru funcționarea unui bun fizic, T&C-ul trebuie să specifice clar durata de suport, politica de actualizări și consecințele încetării serviciului asupra funcționalității bunului. Sursa: OUG 140/2021, art. 3-6

Digital Services Act (DSA) și Legea 50/2024

Regulamentul (UE) 2022/2065 privind serviciile digitale (DSA) și transpunerea sa națională prin Legea 50/2024 introduc obligații suplimentare pentru furnizorii de servicii digitale, inclusiv pentru anumite servicii SaaS.

Cui se aplică DSA? Regulamentul distinge între mai multe categorii de furnizori:

  • Servicii de găzduire (hosting) — stocare de date la cererea utilizatorului, inclusiv servicii cloud
  • Platforme online — servicii de găzduire care permit diseminarea de conținut către public
  • Platforme foarte mari — peste 45 milioane de utilizatori activi în UE

Obligații principale din Legea 50/2024:

  • Desemnarea unui punct unic de contact pentru comunicarea cu autoritățile (ANCOM)
  • Raportarea de transparență privind moderarea conținutului (pentru platforme)
  • Implementarea mecanismelor de notificare și acțiune pentru conținut ilegal
  • Informarea ANCOM cu privire la datele de identificare ale furnizorului

Sancțiuni. Legea 50/2024 prevede amenzi de până la 6% din cifra de afaceri anuală globală pentru nerespectarea obligațiilor DSA și amenzi procedurale de până la 1% pentru furnizarea de informații eronate.

Notă practică. Un furnizor SaaS care permite utilizatorilor să publice sau să partajeze conținut (de ex. platformă de colaborare, CMS, forum) poate fi calificat ca „platformă online" și trebuie să implementeze mecanismele prevăzute de DSA. Sursa: Silviu Vasile et al., Digital Services Act — responsabilizarea operatorilor din mediul online, JURIDICE.ro aprilie 2024

AI Act și serviciile SaaS

Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act) a intrat în vigoare la 1 august 2024 și introduce obligații progresive pentru furnizorii și utilizatorii de sisteme de inteligență artificială. Aceste obligații sunt direct relevante pentru serviciile SaaS care încorporează componente AI/ML.

Calendar de aplicare:

  • 2 februarie 2025 — interdicția practicilor AI cu risc inacceptabil + obligația de instruire a personalului
  • August 2025 — aplicarea regulilor pentru modele AI de uz general
  • August 2026 — aplicarea integrală pentru sisteme AI cu risc ridicat

Practici AI interzise (art. 5 AI Act):

  • Tehnici de manipulare subliminală sau înșelătoare
  • Exploatarea vulnerabilităților (minori, persoane cu dizabilități)
  • Sisteme de „social scoring"
  • Recunoaștere biometrică în timp real în spații publice (cu excepții stricte)
  • Recunoașterea emoțiilor la locul de muncă sau în educație

Obligații de transparență pentru SaaS cu AI. Un T&C pentru un serviciu SaaS care utilizează AI trebuie să includă:

  • Informare clară că serviciul utilizează sisteme de inteligență artificială
  • Descrierea funcționalităților AI și a limitărilor acestora
  • Datele utilizate pentru antrenarea modelelor (dacă sunt date ale utilizatorului)
  • Mecanisme de contestare a deciziilor automatizate

Obligația de instruire (art. 4 AI Act). Personalul care utilizează sau operează sisteme AI trebuie să aibă un nivel adecvat de cunoștințe. Simpla lectură a instrucțiunilor nu este suficientă — este necesar un proces activ de învățare.

Sancțiuni. Amenzile pot ajunge la:

  • 35 milioane EUR sau 7% din cifra de afaceri globală pentru practici interzise
  • 15 milioane EUR sau 3% din cifra de afaceri globală pentru alte încălcări

Clauze recomandate în T&C pentru SaaS cu AI:

Insolvența furnizorului SaaS

Insolvența unui furnizor SaaS ridică întrebări critice privind continuitatea serviciului și recuperarea datelor de către utilizatori.

Cadrul legal aplicabil. Procedurile de insolvență sunt reglementate de Legea 85/2014 privind procedurile de prevenire a insolvenței. Datele clienților găzduite pe infrastructura furnizorului au un statut juridic special.

Proprietatea datelor. Datele încărcate de utilizatori în serviciul SaaS rămân proprietatea utilizatorilor. Acestea nu intră în masa bunurilor debitorului și nu pot fi valorificate de creditori. Totuși, aspectele practice pot fi complicate:

  • Infrastructura cloud pe care sunt stocate datele poate fi închiriată de la terți
  • Accesul la date poate fi condiționat de plata facturilor restante către furnizorii de infrastructură
  • Practicienii în insolvență pot să nu aibă expertiza tehnică pentru a gestiona exportul datelor

Dreptul la recuperarea datelor conform OUG 141/2021. Art. 17 din OUG 141/2021 prevede că la încetarea contractului, consumatorul are dreptul de a-și recupera:

  • Conținutul furnizat prin intermediul serviciului digital
  • Datele generate prin utilizarea serviciului

Furnizorul trebuie să pună aceste date la dispoziție gratuit, într-un format utilizabil și într-un termen rezonabil.

Recomandări pentru utilizatori (clauze de protecție în T&C):

Clauză Protecție oferită
Export regulat de date Backup-uri periodice în format standard (CSV, JSON)
Escrow de date Depunerea periodică a datelor la un terț de încredere
SLA cu penalități Garanții de disponibilitate chiar și în proceduri de reorganizare
Plan de ieșire (exit plan) Procedură clară de migrare la alt furnizor

Ce se întâmplă practic?

  1. Procedura de reorganizare — serviciul poate continua dacă administratorul judiciar consideră contractele SaaS esențiale pentru reorganizare
  2. Procedura de faliment — serviciul va fi probabil întrerupt; utilizatorii au un termen limitat (de obicei 30-60 de zile) pentru a-și recupera datele
  3. Creditorii nu au drepturi asupra datelor clienților, dar pot avea dreptul de a pune sechestru pe infrastructura fizică

Recomandare critică. Includeți în T&C o clauză care obligă furnizorul să vă notifice cu minimum 30 de zile înainte de încetarea serviciului și să furnizeze un mecanism de export al datelor funcțional pe toată această perioadă.

Modele freemium și dreptul de retragere

Modelul freemium — serviciu de bază gratuit cu funcționalități premium plătite — ridică întrebări specifice privind aplicabilitatea legislației de protecție a consumatorilor.

Se aplică OUG 34/2014 serviciilor gratuite? Da, cu nuanțe importante. OUG 34/2014 se aplică „contractelor la distanță", iar un contract există chiar și când prețul este zero, dacă:

  • Utilizatorul furnizează date cu caracter personal ca „contravaloare" (art. 1 alin. 2 din OUG 141/2021)
  • Există un acord contractual (acceptarea T&C)

Dreptul de retragere în freemium:

Situație Drept de retragere
Serviciu complet gratuit, fără date personale Nu se aplică OUG 34/2014
Serviciu gratuit, dar utilizatorul dă date personale 14 zile de la încheierea contractului
Upgrade la premium 14 zile de la momentul upgrade-ului
Trial gratuit urmat de plată automată 14 zile de la prima plată

Aspecte critice pentru T&C freemium:

  • Separarea clară între funcționalitățile gratuite și cele premium
  • Informare transparentă privind ce date personale se colectează și în ce scop
  • Mecanism clar de upgrade/downgrade între planuri
  • Notificare înainte de conversie de la trial la abonament plătit

Jurisprudența europeană. Cauza C-123/21 (Meta Platforms Ireland) a confirmat că furnizarea de date personale poate constitui „contravaloare" în sensul Directivei 2019/770, ceea ce înseamnă că serviciile „gratuite" contra date intră sub protecția consumatorului.

Atenție pentru consumatori. Chiar dacă nu plătiți cu bani, plătiți cu datele dvs. Aveți aceleași drepturi de informare și retragere ca la serviciile plătite. Sursa: Abogacia.es, Mai multă protecție pentru consumatorul de servicii freemium, 2024

SaaS în achizițiile publice

Furnizorii SaaS care doresc să contracteze cu autorități și instituții publice din România trebuie să respecte cerințe suplimentare prevăzute de Legea 98/2016 privind achizițiile publice și reglementările conexe.

Cerințe specifice pentru SaaS în sectorul public:

  1. Evitarea efectului de captivitate (vendor lock-in). Conform Îndrumării ANAP privind evitarea efectului de dependență, autoritățile contractante trebuie să asigure:

    • Portabilitatea datelor către alt furnizor
    • Utilizarea formatelor deschise și standardizate
    • Drepturi de acces la configurații și personalizări

  2. Cerințe de securitate. Conform OUG 155/2024 (NIS2), entitățile publice care utilizează servicii SaaS au obligații sporite de securitate cibernetică.

  3. Localizarea datelor. Pentru datele sensibile, poate fi necesară găzduirea pe teritoriul UE sau chiar al României.

  4. Transparența prețurilor. T&C-ul trebuie să permită determinarea clară a costului total al proprietății (TCO) pe durata contractului.

Clauze obligatorii în contractele cu sectorul public:

  • Clauze de confidențialitate și prelucrare a datelor conform GDPR
  • Dreptul de audit al autorității contractante
  • SLA-uri cuantificabile cu penalități pentru nerespectare
  • Plan de tranziție la încetarea contractului
  • Conformitate NIS2 pentru furnizorii din sectoare critice

Ghid de achiziții software. ANAP și ANIS au publicat un Ghid de achiziții software pentru instituțiile publice care include recomandări specifice pentru servicii cloud și SaaS.

NIS2 și securitatea cibernetică

Directiva (UE) 2022/2555 (NIS2) privind securitatea rețelelor și a sistemelor informatice a fost transpusă în România prin OUG 155/2024. Aceasta extinde semnificativ obligațiile de securitate cibernetică pentru furnizorii de servicii digitale, inclusiv SaaS.

Cine intră sub incidența NIS2?

Directiva clasifică entitățile în două categorii:

  • Entități esențiale — inclusiv furnizorii de servicii cloud (IaaS, PaaS, SaaS), centre de date, rețele de distribuție de conținut
  • Entități importante — inclusiv piețe online, motoare de căutare, platforme de rețele sociale

Criterii de încadrare (regula „size-cap"):

  • Minimum 50 de angajați ȘI
  • Cifră de afaceri sau bilanț anual de peste 10 milioane EUR

Cele 10 măsuri de securitate obligatorii (art. 21 NIS2):

  1. Politici de analiză a riscurilor și securitatea sistemelor informatice
  2. Gestionarea incidentelor de securitate (incident handling)
  3. Continuitatea activității și planuri de recuperare (business continuity)
  4. Securitatea lanțului de aprovizionare (supply chain security)
  5. Securitatea în achiziția, dezvoltarea și mentenanța sistemelor
  6. Evaluarea periodică a eficacității măsurilor de securitate
  7. Practici de igienă cibernetică și instruirea personalului
  8. Politici privind utilizarea criptografiei
  9. Securitatea personalului și controlul accesului
  10. Autentificarea multi-factor (MFA) — obligatorie

Obligația de raportare a incidentelor:

Tip raport Termen Conținut
Alertă preliminară 24 ore Notificare inițială că a avut loc un incident
Raport detaliat 72 ore Descrierea incidentului, impactul, măsuri luate
Raport final 1 lună Rezultate investigație, măsuri de îmbunătățire

Sancțiuni:

  • Entități esențiale: până la 10 milioane EUR sau 2% din cifra de afaceri globală
  • Entități importante: până la 7 milioane EUR sau 1,4% din cifra de afaceri globală
  • Posibilitatea suspendării temporare a conducerii pentru neconformare gravă

Implicații pentru T&C SaaS. Un furnizor SaaS care intră sub NIS2 trebuie să includă în T&C:

  • Descrierea măsurilor de securitate implementate
  • Politica de notificare a incidentelor către clienți
  • Obligațiile de raportare către DNSC (Directoratul Național de Securitate Cibernetică)
  • Garanții privind continuitatea serviciului

Important. NIS2 nu se aplică doar marilor platforme. Un furnizor SaaS mediu care deservește sectoare critice (sănătate, energie, financiar) poate fi clasificat ca entitate esențială sau importantă, cu toate obligațiile aferente. Sursa: Decalex, NIS2 pentru furnizorii de servicii digitale și platformele online, decembrie 2025

Jurisprudență națională

Decizii relevante

Jurisprudența română în materia contractelor de servicii digitale și T&C-urilor pentru platforme online s-a dezvoltat semnificativ în ultimii ani, în special în contextul aplicării Legii 193/2000 privind clauzele abuzive la contractele de adeziune încheiate online.

Decizii favorabile consumatorilor (PRO)

Judecătoria Oradea, 27.01.2026 — Cerere de valoare redusă Instanța a reținut că încheierea unui contract de telefonie mobilă sau de furnizare de servicii de internet presupune acceptarea de către client a clauzelor impuse de prestatorul de servicii, fiind astfel în prezența unui contract de adeziune în sensul dispozițiilor art. 1175 Cod Civil. Clauzele nenegociate direct cu consumatorul intră sub incidența Legii 193/2000. Instanța a aplicat din oficiu prevederile privind clauzele abuzive, constatând dezechilibrul semnificativ creat de penalitățile excesive stipulate în contractul de servicii online. Sursa: https://www.rejust.ro/juris/d95g3e5d6

Judecătoria Buftea, 22.01.2026 — Cerere de valoare redusă (servicii digitale) Instanța a constatat că o penalitate de 0,5% pe zi de întârziere, echivalentă cu 488,25% pe an, reprezintă o cotă disproporționat de mare față de dobânzile practicate pe piața bancară și contravine dispozițiilor imperative ale Legii nr. 193/2000. Clauza a fost declarată abuzivă și lipsită de efecte juridice. Hotărârea confirmă principiul că penalitățile excesive în contractele de servicii online sunt considerate abuzive indiferent de acceptarea formală a T&C de către consumator. Sursa: https://www.rejust.ro/juris/582796264

Judecătoria Alexandria, 22.01.2026 — Cerere de valoare redusă Instanța a reținut că, deși contractul de prestări servicii a fost asumat în integralitate prin semnătură de către debitor, nu se poate face abstracție de faptul că acesta reprezintă contract de adeziune, cu clauze preformulate de către cedentă, nenegociate direct cu consumatorul, ceea ce atrage aplicarea regimului clauzelor abuzive. Decizia subliniază că simpla semnare/acceptare a T&C nu exclude controlul judiciar al clauzelor abuzive în contractele de servicii. Sursa: https://www.rejust.ro/juris/gg9ede77d

Decizii care limitează protecția (CONTRA)

Curtea de Apel București, 04.12.2025 — Pretenții (recurs) Curtea a respins recursul și a confirmat că modificările contractuale prevăzute în anexele contractului, acceptate de utilizator, nu pot fi considerate executări necorespunzătoare. Tribunalul a apreciat că dispozițiile Legii nr. 193/2000 nu sunt aplicabile automat, clauza în litigiu fiind analizată în context. Instanța a reținut că nu toate clauzele din T&C sunt automat abuzive — analiza se face în funcție de circumstanțele concrete și de echilibrul contractual general. Sursa: https://www.rejust.ro/juris/65936e972

Curtea de Apel Cluj, 01.07.2025 — Clauze abuzive Legea 193/2000 (apel) Curtea a respins apelul consumatorului, reținând că nu orice clauză dintr-un contract de adeziune este abuzivă. Pentru a fi declarată abuzivă, clauza trebuie să creeze un dezechilibru semnificativ între drepturile și obligațiile părților, contrar cerințelor bunei-credințe, iar această evaluare se face in concreto. Decizia confirmă că protecția Legii 193/2000 are limite și nu se aplică automat oricărei clauze din T&C. Sursa: https://www.rejust.ro/juris/236648646

Nuanțe și cazuri speciale

Judecătoria Iași, 16.01.2026 — Cerere de valoare redusă (clauză de competență) Instanța a analizat pretinsul caracter abuziv al clauzei atributive de competență din T&C-ul unui serviciu online. Conform Legii 193/2000, efectul constatării caracterului abuziv constă în lăsarea clauzei fără efect, prioritar analizei excepției necompetenței generale a instanțelor române. Decizia are relevanță pentru furnizorii SaaS care impun jurisdicții străine în T&C — aceste clauze pot fi invalidate ca abuzive față de consumatorii români. Sursa: https://www.rejust.ro/juris/65938egd6

Curtea de Apel Craiova, 04.04.2024 — Litigiu privind achizițiile publice (licențe software) În cadrul unui litigiu privind furnizarea de licențe software către o autoritate contractantă, Curtea a reținut că nelivrarea la timp a produselor software conform contractului atrage răspunderea furnizorului, chiar dacă acesta invocă dificultăți în aprovizionare. Prevederile contractuale privind termenele de livrare sunt obligatorii. Decizia are relevanță pentru furnizorii SaaS care contractează cu sectorul public — obligațiile contractuale de livrare și disponibilitate sunt strict interpretate. Sursa: https://www.rejust.ro/juris/729433943

Tendințe jurisprudențiale

Din analiza jurisprudenței recente în materia contractelor de servicii digitale și T&C pentru platforme online, se desprind următoarele tendințe:

  1. Instanțele ridică din oficiu problema clauzelor abuzive — Conform practicii constante a CJUE și a instanțelor naționale, judecătorii verifică din oficiu potențialul caracter abuziv al clauzelor contractuale în litigiile cu consumatori, chiar dacă aceștia nu invocă expres Legea 193/2000.

  2. Penalitățile excesive sunt constant sancționate — Clauzele care prevăd penalități de întârziere de 0,5% pe zi (182,5% pe an) sau mai mult sunt considerate abuzive. Pragul acceptabil pare să fie în jurul dobânzii legale penalizatoare (aproximativ 10-15% pe an).

  3. Contractele de adeziune online beneficiază de protecție deplină — Instanțele tratează T&C-urile pentru servicii online (telecom, internet, platforme digitale) ca pe contracte de adeziune în sensul art. 1175-1177 Cod Civil, aplicând integral regimul protector al Legii 193/2000.

  4. Clauzele de jurisdicție străină pot fi invalidate — Față de consumatorii români, clauzele care impun competența instanțelor din alte țări pot fi considerate abuzive, aplicându-se prioritar protecția conferită de legislația națională.

  5. Obligațiile din sectorul public sunt strict interpretate — Furnizorii SaaS care contractează cu autoritățile publice trebuie să respecte riguros termenele și specificațiile contractuale, nefiind acceptate justificări legate de dificultăți de aprovizionare sau implementare.

Întrebări frecvente

Este obligatoriu să am T&C pentru un SaaS? Da. Conform Legii 365/2002, orice furnizor de servicii ale societății informaționale trebuie să pună la dispoziția utilizatorilor condițiile contractuale, într-o formă care să permită stocarea și reproducerea lor.

Pot modifica T&C-ul oricând? Puteți modifica, dar trebuie să notificați utilizatorii cu un termen rezonabil (de obicei 30 de zile) și să le acordați dreptul de a rezilia contractul dacă nu sunt de acord cu modificările. Modificarea fără notificare poate fi considerată clauză abuzivă.

Consumatorii au drept de retragere la un abonament SaaS? Da, au drept de retragere de 14 zile conform OUG 34/2014. Excepția se aplică doar dacă consumatorul a solicitat expres începerea prestării și a acceptat explicit pierderea dreptului de retragere.

Trebuie să am un DPA (Data Processing Agreement)? Dacă prelucrați date personale în numele clientului (de exemplu, un SaaS B2B unde clientul încarcă datele angajaților săi), da — GDPR impune încheierea unui acord de prelucrare (art. 28). Dacă sunteți operator de date (prelucrați date pentru scopuri proprii), DPA-ul nu este necesar, dar trebuie să aveți o politică de confidențialitate completă.

Ce se întâmplă cu datele utilizatorului la încetarea contractului? T&C-ul trebuie să prevadă clar: o perioadă de grație pentru exportul datelor (de obicei 30 de zile), formatul de export disponibil și momentul ștergerii definitive. OUG 141/2021 oferă consumatorului dreptul de a-și recupera conținutul furnizat.

Pot limita complet răspunderea furnizorului? Nu față de consumatori — clauzele care exclud total răspunderea furnizorului sunt abuzive conform Legii 193/2000. Față de profesioniști, limitarea este permisă, dar trebuie să fie rezonabilă și negociată.

Referințe

Legislație națională

  1. Codul Civil, Legea 287/2009, versiune consolidată decembrie 2025 — legislatie.just.ro
  2. OUG 141/2021 privind anumite aspecte referitoare la contractele de furnizare de conținut digital și servicii digitale — legislatie.just.ro
  3. OUG 140/2021 privind anumite aspecte referitoare la contractele de vânzare de bunuri (bunuri cu elemente digitale) — legislatie.just.ro
  4. OUG 34/2014 privind drepturile consumatorilor în cadrul contractelor încheiate cu profesioniștii — legislatie.just.ro
  5. Legea 365/2002 privind comerțul electronic, republicată — legislatie.just.ro
  6. Legea 193/2000 privind clauzele abuzive din contractele încheiate între profesioniști și consumatori — legislatie.just.ro
  7. Legea 8/1996 privind dreptul de autor și drepturile conexe — legislatie.just.ro
  8. Legea 50/2024 privind Regulamentul serviciilor digitale (DSA) — legislatie.just.ro
  9. Legea 85/2014 privind procedurile de prevenire a insolvenței — legislatie.just.ro
  10. Legea 98/2016 privind achizițiile publice — legislatie.just.ro
  11. OUG 155/2024 privind securitatea cibernetică (transpunere NIS2) — legislatie.just.ro

Legislație europeană

  1. Regulamentul (UE) 2016/679 (GDPR) — eur-lex.europa.eu
  2. Regulamentul (UE) 2022/2065 privind serviciile digitale (DSA) — eur-lex.europa.eu
  3. Regulamentul (UE) 2022/1925 privind piețele digitale (DMA) — eur-lex.europa.eu
  4. Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act) — eur-lex.europa.eu
  5. Directiva (UE) 2022/2555 privind securitatea cibernetică (NIS2) — eur-lex.europa.eu
  6. Directiva (UE) 2019/770 privind furnizarea de conținut digital și servicii digitale — eur-lex.europa.eu

Doctrină și practică

  1. Daniel Aragea, „Bunurile cu elemente digitale (smart goods). Scurte observații cu privire la garanția pentru conformitate", JURIDICE.ro, ianuarie 2022 — juridice.ro
  2. Silviu Vasile, Roxana Roșca, Tudor Popa, „Digital Services Act – responsabilizarea operatorilor din mediul online", JURIDICE.ro, aprilie 2024 — juridice.ro
  3. Decalex, „NIS2 pentru furnizorii de servicii digitale și platformele online", decembrie 2025 — decalex.ro
  4. Namirial Focus, „Artificial Intelligence Act: obligații și sancțiuni", 2025 — focus.namirial.com
  5. ANAP, „Îndrumare privind evitarea efectului de dependență de prestatorul inițial", noiembrie 2022 — anap.gov.ro
  6. ANPC, Raport de activitate 2024 — anpc.ro