Politica de Confidențialitate (GDPR)

📅Creat: 12 februarie 2026
✏️Actualizat: acum 1 lună

Politica de Confidențialitate (GDPR)

Pe scurt

Politica de confidențialitate este documentul prin care un operator de date cu caracter personal informează persoanele vizate despre modul în care le colectează, prelucrează și protejează datele personale. Din mai 2018, orice organizație care prelucrează date personale ale cetățenilor UE trebuie să respecte Regulamentul General privind Protecția Datelor (GDPR), iar o politică de confidențialitate conformă este obligatorie, nu opțională.

Legislația aplicabilă în România privind politica de confidențialitate cuprinde mai multe acte normative complementare:

Art. 13 din Regulamentul (UE) 2016/679 (GDPR) — În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la persoana vizată, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare: identitatea și datele de contact ale operatorului, datele de contact ale responsabilului cu protecția datelor, scopurile prelucrării, destinatarii datelor, transferurile către țări terțe, perioada de stocare, drepturile persoanei vizate. Sursa: Regulamentul (UE) 2016/679, Art. 13

Art. 14 din Regulamentul (UE) 2016/679 (GDPR) — În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate informațiile prevăzute la art. 13, precum și categoriile de date vizate și sursa din care provin acestea. Sursa: Regulamentul (UE) 2016/679, Art. 14

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 — stabilește cadrul național de aplicare a GDPR, inclusiv vârsta minimă de consimțământ (16 ani), reguli specifice pentru prelucrarea CNP-ului și a datelor biometrice, precum și competențele ANSPDCP. Sursa: Legea nr. 190/2018

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice — reglementează aspectele specifice legate de comunicații electronice, inclusiv regulile privind mesajele comerciale nesolicitate (spam) și cookie-urile. Sursa: Legea nr. 506/2004

Explicație detaliată

Ce este o politică de confidențialitate?

Politica de confidențialitate (sau „nota de informare privind prelucrarea datelor personale") este documentul prin care operatorul de date informează persoanele vizate — utilizatori, clienți, angajați sau orice altă persoană ale cărei date sunt prelucrate — despre:

  • Cine este operatorul și cum poate fi contactat
  • Ce date personale sunt colectate și din ce surse
  • În ce scopuri sunt prelucrate datele
  • Care este temeiul legal al prelucrării
  • Cui sunt transmise datele (destinatari/împuterniciți)
  • Dacă datele sunt transferate în afara UE/SEE
  • Cât timp sunt păstrate datele
  • Ce drepturi au persoanele vizate și cum le pot exercita

Cine are nevoie de o politică de confidențialitate?

Orice entitate care acționează ca operator sau împuternicit în sensul GDPR:

  • Site-uri web și aplicații care colectează date prin formulare, cookie-uri, analytics
  • Magazine online (e-commerce) care prelucrează date pentru comenzi, livrări, plăți
  • Companii cu angajați — pentru datele salariaților
  • Cabinete medicale, juridice — pentru datele pacienților/clienților
  • Asociații, ONG-uri — pentru datele membrilor și donatorilor

GDPR prevede la art. 6 șase temeiuri legale pentru prelucrarea datelor:

  1. Consimțământul persoanei vizate (art. 6 alin. 1 lit. a) — trebuie să fie liber exprimat, specific, informat și lipsit de ambiguitate
  2. Executarea unui contract (art. 6 alin. 1 lit. b) — prelucrarea necesară pentru îndeplinirea unui contract
  3. Obligația legală (art. 6 alin. 1 lit. c) — când o lege impune prelucrarea (ex.: legislație fiscală, raportări obligatorii)
  4. Interese vitale (art. 6 alin. 1 lit. d) — protejarea vieții persoanei vizate
  5. Interes public (art. 6 alin. 1 lit. e) — îndeplinirea unei sarcini de interes public
  6. Interesul legitim (art. 6 alin. 1 lit. f) — al operatorului sau unui terț, dacă nu prevalează drepturile persoanei vizate

O politică de confidențialitate bine redactată trebuie să indice temeiul legal specific pentru fiecare scop de prelucrare, nu doar o referire generică la GDPR.

Drepturile persoanelor vizate

Conform art. 15-22 din GDPR, persoanele vizate beneficiază de:

  • Dreptul de acces (art. 15) — de a obține confirmarea prelucrării și o copie a datelor
  • Dreptul la rectificare (art. 16) — corectarea datelor inexacte
  • Dreptul la ștergere („dreptul de a fi uitat", art. 17) — ștergerea datelor în anumite condiții
  • Dreptul la restricționarea prelucrării (art. 18) — limitarea temporară a prelucrării
  • Dreptul la portabilitatea datelor (art. 20) — primirea datelor într-un format structurat
  • Dreptul la opoziție (art. 21) — de a se opune prelucrării bazate pe interes legitim sau public
  • Dreptul de a nu fi supus unei decizii automate (art. 22) — inclusiv profilarea
  • Dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Politica de confidențialitate trebuie să explice clar cum pot fi exercitate aceste drepturi (adresă de e-mail, formular dedicat, adresă poștală).

Aspecte practice

Ce trebuie să conțină concret o politică de confidențialitate

O politică de confidențialitate conformă cu GDPR trebuie să includă obligatoriu următoarele elemente:

  1. Identitatea operatorului — denumirea, sediul, CUI, datele de contact
  2. Datele DPO (Responsabilul cu Protecția Datelor) — dacă a fost desemnat (obligatoriu pentru autorități publice, prelucrări la scară largă, categorii speciale de date)
  3. Categoriile de date colectate — enumerate explicit (nume, e-mail, IP, date de plată etc.)
  4. Scopurile prelucrării — fiecare scop descris separat
  5. Temeiul legal — pentru fiecare scop în parte
  6. Destinatarii datelor — categorii de terți (furnizori IT, platforme de plată, autorități)
  7. Transferuri internaționale — dacă datele sunt transferate în afara UE/SEE, mecanismul de protecție utilizat (clauze contractuale standard, decizie de adecvare)
  8. Durata stocării — perioade concrete sau criteriile de determinare
  9. Drepturile persoanei vizate — lista completă cu modalitatea de exercitare
  10. Informații despre cookie-uri — sau trimitere la politica de cookie-uri separată

Greșeli frecvente

  • Limbaj juridic excesiv — GDPR impune la art. 12 ca informațiile să fie „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu"
  • Lipsa perioadelor de stocare — indicarea vagă „atâta timp cât este necesar" nu este suficientă; se recomandă perioade concrete
  • Consimțământ prezumat — caseta pre-bifată nu constituie consimțământ valid (Hotărârea CJUE în cauza C-673/17, Planet49)
  • Politică generică — copierea unui model fără adaptare la activitatea proprie
  • Neactualizarea — politica trebuie revizuită la fiecare modificare a prelucrărilor
  • Absența DPO — când desemnarea este obligatorie conform art. 37 GDPR

Sancțiuni pentru neconformitate

ANSPDCP poate aplica sancțiuni administrative conform GDPR:

  • Până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală pentru încălcări ale obligațiilor operatorului
  • Până la 20.000.000 EUR sau 4% din cifra de afaceri anuală globală pentru încălcări ale principiilor de bază sau ale drepturilor persoanelor vizate

În România, Legea nr. 190/2018 prevede și o procedură de avertizare prealabilă pentru IMM-uri și alte entități, dar aceasta nu elimină riscul amenzilor în cazul încălcărilor grave.

Situații speciale și cazuri particulare

PFA și întreprinderi individuale — obligații GDPR

GDPR se aplică tuturor operatorilor de date, indiferent de forma juridică sau dimensiune. O persoană fizică autorizată (PFA), o întreprindere individuală (II) sau o întreprindere familială (IF) care prelucrează date personale în cadrul activității comerciale are aceleași obligații ca o societate comercială mare.

Nu există scutiri GDPR bazate pe dimensiune pentru:

  • Obligația de informare (art. 13-14 GDPR)
  • Respectarea drepturilor persoanelor vizate (art. 15-22 GDPR)
  • Păstrarea evidenței prelucrărilor (art. 30 GDPR — cu excepția prevăzută mai jos)
  • Implementarea măsurilor tehnice și organizatorice adecvate (art. 32 GDPR)

Singura scutire parțială este prevăzută la art. 30 alin. (5) GDPR: entitățile cu mai puțin de 250 de angajați nu sunt obligate să țină evidența activităților de prelucrare, cu excepția cazurilor în care:

  • Prelucrarea poate genera riscuri pentru drepturile persoanelor vizate
  • Prelucrarea nu este ocazională
  • Se prelucrează categorii speciale de date (date sensibile)

În practică, majoritatea PFA/II trebuie să țină evidența, deoarece prelucrarea datelor clienților nu este „ocazională" dacă activitatea este desfășurată în mod continuu.

⚠️ Recomandare practică — Pentru PFA/II Chiar dacă dimensiunea afacerii este redusă, este obligatorie o politică de confidențialitate conformă, afișată pe site-ul web și comunicată clienților. Costul neconformității (amenzi de până la 20 milioane EUR sau avertisment cu plan de remediere) depășește cu mult efortul de implementare. Sursa: Your Europe — GDPR pentru întreprinderi

Obligațiile împuternicitului vs. operator

Conform art. 28 GDPR, împuternicitul (processor) este persoana fizică sau juridică care prelucrează date personale în numele operatorului. Obligațiile de transparență diferă semnificativ:

Aspect Operator Împuternicit
Politică de confidențialitate pentru persoanele vizate Obligatorie — art. 13-14 GDPR Nu este obligatorie direct către persoanele vizate ale clientului
Informare despre prelucrare Trebuie să informeze persoanele vizate Prelucrează conform instrucțiunilor operatorului
Răspundere față de persoana vizată Directă Indirectă (prin operator)
Contract DPA Trebuie să încheie cu împuternicitul Trebuie să încheie cu operatorul

Împuternicitul nu trebuie să aibă propria politică de confidențialitate pentru persoanele vizate ale clienților săi. Responsabilitatea informării revine operatorului care colectează datele.

Împuternicitul are totuși obligații proprii:

  • Să prelucreze datele doar conform instrucțiunilor documentate ale operatorului (art. 28 alin. 3 lit. a)
  • Să asigure confidențialitatea persoanelor care prelucrează datele (art. 28 alin. 3 lit. b)
  • Să asiste operatorul în respectarea drepturilor persoanelor vizate (art. 28 alin. 3 lit. e)
  • Să notifice operatorul în cazul încălcărilor de securitate (art. 33 alin. 2)

Când împuternicitul devine operator: Dacă împuternicitul prelucrează date pentru propriile scopuri (ex.: marketing propriu, analize agregate), devine operator pentru acele prelucrări și trebuie să îndeplinească toate obligațiile aferente, inclusiv informarea persoanelor vizate.

GDPR și secretul profesional

Art. 14 alin. (5) lit. d) GDPR prevede o excepție de la obligația de informare când datele trebuie să rămână confidențiale în temeiul unei obligații de secret profesional reglementate de dreptul Uniunii sau de dreptul intern.

Domenii acoperite de excepție:

Secret medical:

  • Medicii și personalul medical pot prelucra date ale terților (ex.: informații despre starea de sănătate a membrilor familiei pacientului) fără a fi obligați să îi informeze pe aceștia
  • Secretul medical este protejat de Legea nr. 46/2003 privind drepturile pacientului
  • Politica de confidențialitate a cabinetului medical trebuie să menționeze această excepție

Secret bancar:

  • Băncile pot prelucra date în scopuri de prevenire și combatere a spălării banilor fără a informa persoana vizată dacă acest lucru ar compromite eficacitatea măsurilor
  • Trebuie totuși furnizate informații generale la deschiderea contului despre posibilitatea unor astfel de prelucrări
  • Secretul bancar este reglementat de OUG nr. 99/2006 și Legea nr. 129/2019 (prevenirea spălării banilor)

Secret profesional al avocatului:

  • Avocații pot prelucra date obținute de la client despre terți (ex.: în cadrul pregătirii unui litigiu) fără a informa acei terți
  • Confidențialitatea avocat-client este protejată de Legea nr. 51/1995 privind organizarea și exercitarea profesiei de avocat
  • Se poate argumenta și aplicabilitatea excepției privind afectarea obiectivelor prelucrării (art. 14 alin. 5 lit. b)

⚠️ Opinie specialistă — WH Simion & Partners Conform Orientărilor EDPB privind transparența, operatorul trebuie să demonstreze că a identificat excepția aplicabilă și să arate cum obligația de păstrare a secretului profesional vizează direct operatorul, astfel încât acestuia să îi fie interzis să furnizeze informațiile prevăzute de art. 14 GDPR. Sursa: Juridice.ro — GDPR și dreptul de a fi informat, 10 iunie 2024

Important: Excepțiile nu elimină obligația generală de transparență, ci permit neinformarea în situații specifice. Politica de confidențialitate poate și trebuie să menționeze existența acestor excepții în termeni generali.

Documentația pentru controale ANSPDCP

Conform Deciziei ANSPDCP nr. 161/2018, investigațiile se pot efectua la sediul operatorului, la sediul ANSPDCP (în scris), sau prin procedură anunțată sau neanunțată. Pentru a demonstra conformitatea cu obligațiile de transparență, operatorul trebuie să păstreze:

Documente obligatorii:

  1. Politica de confidențialitate — versiuni datate, cu istoricul modificărilor
  2. Evidența activităților de prelucrare (art. 30 GDPR) — registrul prelucrărilor
  3. Contractele DPA cu împuterniciții — conform art. 28 GDPR
  4. Dovezi de afișare/accesibilitate a politicii:
    • Capturi de ecran datate ale site-ului
    • Confirmări că link-ul este vizibil în formulare și footer
    • Versiuni arhivate ale paginilor web (ex.: Wayback Machine)
  5. Registrul cererilor primite de la persoanele vizate și răspunsurile oferite
  6. Loguri de consimțământ — timestamp, IP, versiunea politicii acceptate
  7. Evaluările de impact (DPIA) — unde sunt necesare

Cum se probează accesul efectiv la politica de confidențialitate:

  • Site-uri web: Loguri de server care arată accesul la pagina politicii; bannere de cookie cu checkbox pentru acceptare
  • Aplicații mobile: Confirmări în-app înainte de colectarea datelor
  • Formulare fizice: Copii semnate ale formularelor care includ trimiterea la politică
  • E-mail: Confirmări de primire a e-mailurilor care conțin politica sau link către aceasta

⚠️ Recomandare practică — Dosarul de conformitate GDPR Creați un dosar de conformitate GDPR care să conțină toate documentele enumerate, organizate pe categorii și cu versiuni datate. În cazul unui control, acest dosar permite demonstrarea rapidă a conformității și reduce durata investigației. Sursa: Procedura de efectuare a investigațiilor ANSPDCP, Decizia nr. 161/2018

Prelucrarea datelor minorilor

Art. 8 GDPR și Legea nr. 190/2018 stabilesc reguli speciale pentru consimțământul copiilor în contextul serviciilor societății informaționale (servicii online):

Vârsta de consimțământ în România: 16 ani

România a menținut vârsta maximă permisă de GDPR (16 ani), comparativ cu alte state membre care au coborât-o (Spania — 14 ani, Franța — 15 ani). Aceasta înseamnă că:

  • Minori sub 16 ani: Consimțământul trebuie acordat sau autorizat de titularul răspunderii părintești (părinte/tutore)
  • Minori de 16-18 ani: Pot consimți singuri pentru servicii online, dar rămân minori pentru alte acte juridice

Ce trebuie să conțină politica de confidențialitate pentru servicii adresate minorilor:

  1. Informații într-un limbaj adaptat vârstei — nu jargon juridic, ci explicații clare și simple
  2. Mecanism de verificare a vârstei — întrebare despre vârstă înainte de colectarea datelor
  3. Procedura de obținere a consimțământului parental:
    • Cum se verifică identitatea părintelui/tutorelui
    • Cum se confirmă că persoana care consimte are efectiv răspunderea părintească
    • Metode acceptabile: e-mail de confirmare, copie document identitate, verificare telefonică
  4. Drepturi specifice ale minorilor:
    • Dreptul de a solicita ștergerea datelor colectate în perioada minorității (și după împlinirea vârstei de 18 ani)
    • Dreptul părintelui de a retrage consimțământul în numele copilului

Model de formulare pentru consimțământ parental:

Subsemnatul/a [Nume părinte], în calitate de părinte/tutore al minorului [Nume minor],
născut la data de [Data nașterii], declar că am luat cunoștință de politica de
confidențialitate a [Operator] și consimt la prelucrarea datelor personale ale
copilului meu în scopul [scopuri concrete].

Data: [___] Semnătura: [___]

⚠️ Atenție — Servicii care NU sunt „societate informațională" Regulile speciale pentru minori din art. 8 GDPR se aplică doar serviciilor societății informaționale (servicii online oferite la distanță, pe cale electronică, la cererea individuală). Pentru alte prelucrări (ex.: prelucrarea datelor elevilor de către școli), se aplică regulile generale privind capacitatea de exercițiu din dreptul civil.

Excepții de la dreptul de acces și ștergere

Art. 17 alin. (3) GDPR prevede situații în care operatorul poate refuza ștergerea datelor, iar aceste excepții trebuie documentate în politica de confidențialitate:

Cazuri în care ștergerea poate fi refuzată:

Excepție Temeiul legal Exemplu practic
Libertatea de exprimare și informare Art. 17(3)(a) Jurnaliști, arhive de presă
Obligație legală de păstrare Art. 17(3)(b) Documente contabile (10 ani), dosare medicale (30 ani)
Interes public în sănătate Art. 17(3)(c) Date epidemiologice, registre de vaccinare
Arhivare în interes public Art. 17(3)(d) Arhive istorice, cercetare științifică
Constatarea/exercitarea unui drept în instanță Art. 17(3)(e) Date necesare pentru litigii în curs

Obligații legale de păstrare în România:

  • Documente contabile: 10 ani (Legea contabilității nr. 82/1991, art. 25)
  • Documente fiscale: 10 ani (Codul de procedură fiscală)
  • Dosare medicale: 30 ani (Ordinul MS nr. 1782/2006)
  • Contracte de muncă: 75 ani (HG nr. 905/2017)
  • Facturi: 10 ani (Legea contabilității)

Dreptul la apărare în instanță: Operatorul poate refuza ștergerea datelor dacă acestea sunt necesare pentru:

  • Litigii în curs
  • Litigii previzibile (ex.: perioada de prescripție nu a expirat)
  • Dosare de investigație internă

Cum trebuie documentate excepțiile în politica de confidențialitate:

  • Secțiune dedicată „Excepții de la dreptul la ștergere"
  • Enumerarea categoriilor de date și perioadelor de păstrare
  • Temeiul legal pentru fiecare categorie
  • Procedura de informare a persoanei vizate când ștergerea este refuzată

⚠️ Opinie specialistă — Avocatnet.ro Refuzul nejustificat de a șterge date poate atrage amenzi GDPR. Operatorul trebuie să documenteze motivele refuzului și să le comunice persoanei vizate în termen de o lună de la primirea cererii. Lipsa răspunsului constituie încălcare a art. 12 GDPR. Sursa: Avocatnet.ro — Refuzul nejustificat de a șterge date, 2023

Regimul sancțiunilor ANSPDCP

Legea nr. 190/2018 stabilește un regim diferențiat pentru sectorul public și cel privat:

Sectorul privat (PFA, SRL, SA, etc.):

  • Poate primi amendă de la prima abatere
  • Cuantum: până la 20 milioane EUR sau 4% din cifra de afaceri globală
  • ANSPDCP are discreție în aplicarea sancțiunii

Sectorul public (instituții și autorități publice):

  • Prima etapă: obligatoriu avertisment + plan de remediere (art. 13 Legea 190/2018)
  • A doua etapă: dacă planul de remediere nu este implementat, se poate aplica amendă (art. 14 Legea 190/2018)
  • Cuantum maxim: 200.000 lei (aproximativ 40.000 EUR)

Criterii pentru determinarea sancțiunii (art. 83 alin. 2 GDPR):

  1. Natura, gravitatea și durata încălcării
  2. Caracterul intenționat sau din neglijență
  3. Măsurile luate pentru atenuarea prejudiciului
  4. Gradul de responsabilitate (măsuri tehnice și organizatorice implementate)
  5. Încălcări anterioare
  6. Gradul de cooperare cu ANSPDCP
  7. Categoriile de date afectate
  8. Modul în care ANSPDCP a luat cunoștință de încălcare (auto-raportare vs. plângere)

Încălcări pentru care avertismentul NU se aplică niciodată (sector privat):

  • Nu există astfel de încălcări explicit enumerate în legislație
  • ANSPDCP poate aplica amendă chiar de la prima abatere pentru orice tip de încălcare
  • Gravitatea încălcării influențează cuantumul amenzii, nu tipul sancțiunii

Statistici ANSPDCP:

  • 2022: 134 avertismente aplicate (sector public și privat)
  • 2023: 186 avertismente aplicate
  • Amenzile sunt publicate în comunicatele de presă ANSPDCP

⚠️ Opinie specialistă — ANSPDCP „Spre deosebire de sectorul privat al cărui regim sancționator este reglementat în art. 83 alin. (4) și (5) din RGPD, în cazul sectorului public din România regimul sancționator este distinct și etapizat." ANSPDCP subliniază că în multe state membre ale UE nu se aplică deloc amenzi instituțiilor publice. Sursa: ANSPDCP — Comunicat privind regimul sancțiunilor, 23 iulie 2024

Stadiul Regulamentului ePrivacy (2026)

Actualizare critică: La 11 februarie 2025, Comisia Europeană a retras propunerea de Regulament ePrivacy din programul de lucru, după aproape 8 ani de negocieri eșuate.

Ce înseamnă retragerea:

  • Directiva ePrivacy (2002/58/CE) rămâne în vigoare
  • Legea nr. 506/2004 (transpunerea românească) continuă să se aplice
  • Nu se anticipează un nou regulament în viitorul apropiat
  • Regulile actuale privind cookie-urile și comunicațiile electronice rămân neschimbate

Motivele retragerii (conform Comisiei Europene):

  • Nu se prevedea un acord între co-legislatori (Parlamentul European și Consiliul UE)
  • Propunerea a devenit depășită în raport cu evoluțiile tehnologice și legislative recente

Ce ar fi adus Regulamentul ePrivacy (dacă ar fi fost adoptat):

  • Armonizarea regulilor privind cookie-urile la nivel UE
  • Extinderea protecției la serviciile OTT (WhatsApp, Messenger, Signal)
  • Reguli pentru metadatele comunicațiilor
  • Protecție pentru comunicațiile machine-to-machine (IoT)

Implicații pentru redactarea politicilor de confidențialitate:

  • Nu sunt necesare modificări anticipative — regulile actuale rămân în vigoare
  • Secțiunile privind cookie-urile trebuie să respecte Legea nr. 506/2004 și Directiva 2002/58/CE
  • Consimțământul pentru cookie-uri non-esențiale rămâne obligatoriu
  • Referințele la „viitorul Regulament ePrivacy" pot fi eliminate din politici

Hotărârea CJUE din 13 noiembrie 2025 (C-654/23):

  • Clarificare importantă: conturile gratuite (freemium) pot constitui o „vânzare de serviciu" în sensul art. 13(2) din Directiva ePrivacy
  • Permite trimiterea de e-mailuri de marketing direct fără consimțământ explicit (soft opt-in) în anumite condiții
  • Condiții: adresa de e-mail obținută în contextul unei relații comerciale, marketing pentru produse/servicii similare, opțiune de opt-out la fiecare mesaj

⚠️ Actualizare legislativă — Februarie 2025 Comisia Europeană a inclus modificări limitate ale Directivei ePrivacy în „Digital Omnibus Package" (2025), dar fără a relua propunerea de regulament comprehensiv. Operatorii ar trebui să monitorizeze acest pachet legislativ pentru eventuale ajustări. Sursa: European Commission — 2025 Work Programme, 11 februarie 2025

Practică și opinii

⚠️ Opinie specialistă — ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) ANSPDCP a subliniat în mod repetat că politica de confidențialitate trebuie să fie accesibilă înainte de colectarea datelor, nu ascunsă în subsolul site-ului. Pentru site-urile web, recomandarea este ca link-ul către politica de confidențialitate să fie vizibil în orice formular de colectare a datelor și în footer-ul paginii. Sursa: ANSPDCP — Ghid privind prelucrarea datelor personale prin intermediul mijloacelor de monitorizare video

⚠️ Opinie specialistă — Comitetul European pentru Protecția Datelor (EDPB) Ghidul EDPB privind transparența (WP260 rev.01) subliniază că informarea persoanelor vizate trebuie să fie „stratificată" — un prim nivel cu informații esențiale (identitate operator, scopuri, drepturi) și un al doilea nivel cu detalii complete. Această abordare este recomandată în special pentru dispozitivele mobile și aplicațiile cu spațiu limitat. Sursa: EDPB — Guidelines on Transparency under Regulation 2016/679, 2018

⚠️ Opinie specialistă — Curtea de Justiție a Uniunii Europene (CJUE) În cauza C-673/17 (Planet49), CJUE a stabilit că o casetă pre-bifată nu constituie consimțământ valid în sensul GDPR. Consimțământul trebuie să rezulte dintr-un comportament activ al utilizatorului. Această decizie a avut impact direct asupra modului în care politicile de confidențialitate tratează consimțământul pentru cookie-uri și marketing. Sursa: CJUE, Cauza C-673/17, Planet49, 1 octombrie 2019

Legislație europeană

Directive și regulamente aplicabile

Cadrul european privind protecția datelor personale și confidențialitatea se fundamentează pe mai multe instrumente legislative care se completează reciproc:

Regulamentul (UE) 2016/679 (GDPR) — Regulamentul General privind Protecția Datelor constituie piesa centrală a legislației europene în materie. Art. 13 și 14 impun obligația de informare transparentă a persoanelor vizate, iar art. 12 stabilește că informațiile trebuie furnizate „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu". Sursa: Regulamentul (UE) 2016/679

Directiva 2002/58/CE (Directiva ePrivacy) — Completează GDPR pentru sectorul comunicațiilor electronice, reglementând confidențialitatea comunicațiilor, cookie-urile și marketingul electronic direct. Art. 5 alin. (3) impune consimțământul informat pentru stocarea sau accesarea informațiilor pe echipamentele utilizatorului (cookie-uri), iar art. 13 reglementează comunicările comerciale nesolicitate. Sursa: Directiva 2002/58/CE

Directiva (UE) 2016/680 (Directiva LED) — Reglementează prelucrarea datelor personale de către autoritățile competente în scopuri de prevenire, depistare, investigare sau urmărire penală a infracțiunilor. Deși nu se aplică direct politicilor de confidențialitate ale operatorilor privați, definește limitele schimbului de date între sectorul privat și autoritățile de aplicare a legii. Sursa: Directiva (UE) 2016/680

Regulamentul (UE) 2018/1725 — Stabilește normele de protecție a datelor aplicabile instituțiilor, organelor, oficiilor și agențiilor Uniunii Europene. Relevant pentru operatorii care interacționează cu instituții UE sau participă la programe europene. Sursa: Regulamentul (UE) 2018/1725

Propunerea de Regulament ePrivacy (RETRASĂ) — Comisia Europeană a propus în 2017 un regulament care să înlocuiască Directiva 2002/58/CE, dar la 11 februarie 2025 a retras propunerea după aproape 8 ani de negocieri eșuate. Motivul oficial: nicio perspectivă de acord între co-legislatori și propunere depășită în raport cu evoluțiile tehnologice. Directiva ePrivacy (2002/58/CE) rămâne în vigoare până la noi ordine. Sursa: European Commission — 2025 Work Programme, 11 februarie 2025

Transpunerea în dreptul român

România a transpus cadrul european privind protecția datelor prin mai multe acte normative:

  • Legea nr. 190/2018 — Legea de punere în aplicare a GDPR în România. Stabilește vârsta minimă de consimțământ la 16 ani (fără a coborî limita permisă de GDPR la 13 ani), reglementează prelucrarea CNP-ului și a datelor biometrice/genetice, și prevede o procedură de avertizare prealabilă aplicabilă operatorilor la prima abatere constatată.

  • Legea nr. 506/2004 — Transpune Directiva 2002/58/CE (ePrivacy) în dreptul intern, reglementând confidențialitatea comunicațiilor electronice, regulile privind cookie-urile și marketingul electronic nesolicitat (spam). Legea impune consimțământul prealabil pentru cookie-urile non-esențiale și pentru trimiterea de comunicări comerciale.

  • Legea nr. 363/2018 — Transpune Directiva (UE) 2016/680 privind protecția datelor în domeniul penal, stabilind cadrul de prelucrare a datelor de către autoritățile competente în scopuri de prevenire și combatere a infracțiunilor.

Particularități ale transpunerii românești:

  • România a menținut vârsta de consimțământ digital la 16 ani (maximul permis de GDPR art. 8), comparativ cu alte state membre care au coborât-o (ex.: Irlanda — 16, Franța — 15, Germania — 16, Spania — 14)
  • Procedura de avertizare prealabilă din Legea 190/2018 oferă o protecție suplimentară operatorilor la prima abatere, un mecanism specific legislației române care nu este prevăzut de GDPR
  • ANSPDCP a emis ghiduri și decizii care completează cadrul legislativ, inclusiv în materie de evaluare a impactului (DPIA), responsabil cu protecția datelor (DPO) și notificarea încălcărilor de securitate

Jurisprudență CJUE

Cauza C-492/23, Platformele Online și GDPR (2026) — CJUE a decis că platformele online care permit publicarea anunțurilor de către utilizatori au calitatea de operatori de date pentru conținutul publicat, nu doar de intermediari. Platforma trebuie să verifice proactiv identitatea utilizatorilor și să detecteze datele sensibile în anunțuri înainte de publicare. Decizia eliminează aplicabilitatea limitărilor de răspundere din Directiva eCommerce pentru încălcările GDPR. Impact direct: politicile de confidențialitate ale platformelor trebuie să reflecte responsabilitățile active de operator, nu doar de intermediar pasiv. Sursa: CJUE, Cauza C-492/23, 2026

Cauza C-311/18, Data Protection Commissioner c. Facebook Ireland și Maximillian Schrems (Schrems II) — CJUE a invalidat Decizia de adecvare Privacy Shield UE-SUA și a consolidat cerințele pentru transferurile internaționale de date. Operatorii care transferă date în afara SEE trebuie să evalueze legislația țării destinatare și să implementeze măsuri suplimentare dacă clauzele contractuale standard nu oferă protecție echivalentă. Impact direct asupra politicilor de confidențialitate: secțiunea privind transferurile internaționale trebuie să detalieze mecanismele de protecție utilizate. Sursa: CJUE, Cauza C-311/18, Schrems II, 16 iulie 2020

Cauza C-252/21, Meta Platforms Inc. c. Bundeskartellamt — CJUE a confirmat că o autoritate de concurență poate constata o încălcare a GDPR în cadrul examinării abuzului de poziție dominantă. Curtea a clarificat că consimțământul nu poate fi considerat „liber exprimat" atunci când utilizatorul nu are altă alegere reală decât să accepte prelucrarea datelor, în special în cazul platformelor dominante. Relevant pentru redactarea secțiunilor privind consimțământul din politicile de confidențialitate. Sursa: CJUE, Cauza C-252/21, Meta Platforms, 4 iulie 2023

Cauza C-300/21, Österreichische Post AG — CJUE a stabilit că simpla încălcare a GDPR nu dă drept automat la despăgubiri; persoana vizată trebuie să demonstreze un prejudiciu material sau moral efectiv. Totuși, Curtea a precizat că nu există un prag minim de gravitate pentru prejudiciul moral. Decizia subliniază importanța informării corecte prin politica de confidențialitate, deoarece lipsa transparenței poate genera prejudicii morale compensabile. Sursa: CJUE, Cauza C-300/21, Österreichische Post, 4 mai 2023

Cauza C-40/17, Fashion ID GmbH & Co. KG — CJUE a stabilit că operatorul unui site web care integrează un plugin social (ex.: butonul Facebook „Like") este operator asociat împreună cu furnizorul pluginului, pentru operațiunile de colectare și transmitere a datelor. Politica de confidențialitate trebuie să menționeze toate pluginurile terțe integrate și responsabilitățile de prelucrare asociate. Sursa: CJUE, Cauza C-40/17, Fashion ID, 29 iulie 2019

Cauza C-673/17, Planet49 GmbH — CJUE a confirmat că o casetă pre-bifată nu constituie consimțământ valid nici pentru cookie-uri, nici pentru marketing. Consimțământul trebuie să fie un act pozitiv clar. Decizia a avut impact major asupra bannerelor de cookie-uri și secțiunilor de consimțământ din politicile de confidențialitate din întreaga UE. Sursa: CJUE, Cauza C-673/17, Planet49, 1 octombrie 2019

Aspecte practice din perspectivă europeană

Transferuri internaționale post-Schrems II: După invalidarea Privacy Shield, operatorii români care transferă date către SUA trebuie să se bazeze pe EU-US Data Privacy Framework (Decizia de adecvare din 10 iulie 2023) sau pe clauze contractuale standard (SCC) actualizate prin Decizia de punere în aplicare (UE) 2021/914. Politica de confidențialitate trebuie să indice explicit mecanismul utilizat pentru fiecare transfer.

Aplicarea transfrontalieră a GDPR: Mecanismul „ghișeului unic" (one-stop-shop) din art. 56 GDPR permite operatorilor cu activități transfrontaliere să interacționeze cu o singură autoritate de supraveghere principală. Cu toate acestea, ANSPDCP rămâne competentă pentru plângerile persoanelor vizate din România, chiar și împotriva operatorilor cu sediul în alt stat membru.

Regulamentul privind guvernanța datelor (Data Governance Act, UE 2022/868) și Regulamentul privind datele (Data Act, UE 2023/2854) introduc cadre noi pentru partajarea și accesul la date, care vor influența politicile de confidențialitate pe termen mediu, în special în ceea ce privește portabilitatea datelor și interoperabilitatea serviciilor.

Inteligența artificială și GDPR: Regulamentul (UE) 2024/1689 privind inteligența artificială (AI Act) impune cerințe suplimentare de transparență pentru sistemele AI care prelucrează date personale. Operatorii care utilizează sisteme AI trebuie să actualizeze politicile de confidențialitate cu informații despre prelucrarea automată, logica decizională și drepturile prevăzute de art. 22 GDPR.

Propunerea de Regulament ePrivacy (RETRASĂ): La 11 februarie 2025, Comisia Europeană a retras propunerea de Regulament ePrivacy după aproape 8 ani de negocieri. Directiva 2002/58/CE rămâne în vigoare, iar operatorii nu trebuie să anticipeze schimbări iminente în regulile privind cookie-urile sau comunicațiile electronice.

Jurisprudență națională

Decizii relevante

Decizii favorabile menținerii sancțiunilor ANSPDCP (PRO conformitate GDPR)

Curtea de Apel Cluj, 20.11.2025 — Anulare act administrativ Instanța a respins apelul operatorului împotriva amenzilor ANSPDCP în cuantum total de 74.611,5 lei (echivalentul a 15.000 EUR), aplicate pentru două încălcări ale art. 12 din Legea nr. 190/2018 raportat la art. 83 din RGPD. Curtea a confirmat că obligațiile de informare prevăzute de art. 13 RGPD au înlocuit cele din fosta Lege nr. 677/2001, iar operatorii trebuie să respecte integral cerințele de transparență actualizate. Sursa: https://www.rejust.ro/juris/2855866g2

Curtea de Apel Timișoara, 06.11.2025 — Anulare act administrativ Curtea a menținut amenda ANSPDCP de 14.904,30 lei (echivalentul a 3.000 EUR) pentru încălcarea art. 32 alin. 1 lit. a), b) și d) din RGPD. Operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător, iar instanța a confirmat legalitatea sancționării. Sursa: https://www.rejust.ro/juris/58466e573

Curtea de Apel București, 10.03.2025 — Alte cereri contencios administrativ Instanța a menținut sancțiunea cu avertisment aplicată în temeiul art. 12-14 din Legea nr. 190/2018, raportat la art. 83 alin. 4 lit. a) din RGPD. Curtea a subliniat că sancțiunea a fost însoțită de măsuri corective concrete, în conformitate cu principiul proporționalității sancțiunilor. Sursa: https://www.rejust.ro/juris/de6676666

Decizii favorabile operatorilor (CONTRA sancțiuni ANSPDCP)

Curtea de Apel București, 23.10.2024 — Alte cereri contencios administrativ Curtea a admis apelul operatorului și a anulat procesul-verbal ANSPDCP, reținând că faptele imputate fuseseră decontravenționalizate prin Legea nr. 129/2018 pentru modificarea Legii nr. 102/2005. Decizia subliniază importanța aplicării corecte a legii în timp și necesitatea ca ANSPDCP să fundamenteze sancțiunile pe dispoziții legale în vigoare. Sursa: https://www.rejust.ro/juris/9d33ee848

Tribunalul București, 10.12.2025 — Anulare act administrativ Instanța a admis cererea de anulare a actului administrativ emis de ANSPDCP, reținând că operatorul a demonstrat îndeplinirea cerințelor art. 5 din Legea nr. 190/2018 și că autoritatea nu a formulat solicitări clare de explicații suplimentare înainte de sancționare. Sursa: https://www.rejust.ro/juris/73ee3gg96

Tribunalul Vaslui, 22.12.2025 — Anulare proces-verbal de contravenție Deși instanța a admis cererea de anulare parțială, a confirmat că încălcarea art. 32 alin. 1 lit. b) și alin. 2 din RGPD (privind măsurile de securitate) constituie contravenție prevăzută de art. 12 alin. 1 din Legea nr. 190/2018. Decizia evidențiază importanța evaluării proporționale a numărului de persoane afectate (22 în speță). Sursa: https://www.rejust.ro/juris/582gd2g8e

Nuanțe și cazuri speciale

Curtea de Apel Galați, 06.11.2025 — Anulare act administrativ (Recurs) Curtea a reținut că simpla existență a unui proces civil între operator și persoana vizată nu poate determina ANSPDCP să refuze examinarea unei plângeri. Instanța a subliniat că autoritatea de supraveghere are obligația legală de a analiza situația de fapt conform Legii nr. 190/2018, indiferent de existența unor litigii paralele. Sursa: https://www.rejust.ro/juris/584dg4434

Curtea de Apel Iași, 27.05.2025 — Acțiune în răspundere delictuală Instanța a analizat limitele dreptului la informare în contextul vieții private, reținând că difuzarea de materiale conținând imagini privind o persoană aflată la tratament în unități de asistență medicală, precum și a datelor cu caracter personal fără acordul persoanei, constituie încălcare a drepturilor prevăzute de GDPR. Sursa: https://www.rejust.ro/juris/865e7e367

Curtea de Apel Timișoara, 03.12.2024 — Obligație de a face (Recurs) Curtea a clarificat procedura de soluționare a plângerilor ANSPDCP, reținând că Decizia președintelui ANSPDCP nr. 133/2018 stabilește condițiile formale de depunere a plângerilor. Dacă informațiile din plângere sunt incomplete, autoritatea trebuie să solicite completări înainte de a refuza investigația. Sursa: https://www.rejust.ro/juris/g85456773

Tendințe jurisprudențiale

Severitatea sancțiunilor: Instanțele naționale confirmă în majoritate sancțiunile ANSPDCP pentru încălcări ale RGPD, cu amenzi variind între 3.000 și 15.000 EUR în cazurile analizate. Cuantumul sancțiunilor este corelat cu gravitatea încălcării și numărul persoanelor vizate afectate.

Obligația de securitate (art. 32 RGPD): Instanțele acordă atenție specială încălcărilor privind măsurile tehnice și organizatorice de securitate. Lipsa implementării unor măsuri adecvate este sancționată chiar și atunci când nu s-a produs un incident concret de securitate.

Procedura ANSPDCP: Curțile de Apel verifică cu rigurozitate respectarea procedurii de către ANSPDCP, anulând actele emise cu nerespectarea dreptului la apărare al operatorului sau pe baza unor dispoziții legale abrogate.

Regimul sancțiunilor pentru sectorul public: Se confirmă aplicarea art. 13-14 din Legea nr. 190/2018, care prevede un regim diferențiat pentru autoritățile publice (avertisment obligatoriu la prima abatere, urmat de plan de remediere).

Competența teritorială: Tribunalul București și Curtea de Apel București soluționează majoritatea contestațiilor împotriva actelor ANSPDCP, în calitate de instanță de contencios administrativ competentă material.

Întrebări frecvente

Este obligatorie politica de confidențialitate pentru orice site web? Da, dacă site-ul colectează orice fel de date personale (inclusiv prin cookie-uri, Google Analytics sau formulare de contact). Practic, aproape orice site web modern prelucrează date personale și are nevoie de o politică de confidențialitate.

Trebuie să desemnez un Responsabil cu Protecția Datelor (DPO)? Nu întotdeauna. DPO este obligatoriu pentru: autorități/organisme publice, entități care efectuează monitorizare sistematică la scară largă, și entități care prelucrează categorii speciale de date la scară largă (art. 37 GDPR). Pentru companiile mici, desemnarea este opțională dar recomandată.

Pot folosi o politică de confidențialitate generică (template)? Un template poate fi un punct de pornire, dar trebuie obligatoriu personalizat cu informațiile specifice ale organizației: datele operatorului, scopurile concrete de prelucrare, categoriile reale de date colectate, destinatarii efectivi. O politică generică neadaptată poate fi considerată neconformă de ANSPDCP.

Ce se întâmplă dacă nu am politică de confidențialitate? Lipsa informării persoanelor vizate constituie o încălcare a art. 13-14 GDPR, pasibilă de amendă. ANSPDCP poate aplica avertismente sau amenzi de până la 20 milioane EUR. De asemenea, persoanele vizate pot solicita despăgubiri conform art. 82 GDPR.

Cât de des trebuie actualizată politica de confidențialitate? Nu există un termen fix, dar trebuie revizuită ori de câte ori intervin modificări semnificative: noi scopuri de prelucrare, noi categorii de date, noi destinatari, schimbarea furnizorilor de servicii IT sau modificări legislative relevante.

Politica de confidențialitate și politica de cookie-uri sunt același lucru? Nu. Politica de cookie-uri tratează specific utilizarea cookie-urilor și a tehnologiilor similare de urmărire, fiind reglementată suplimentar de Legea nr. 506/2004 și de Directiva ePrivacy (2002/58/CE). Cele două documente pot fi separate sau integrate, dar trebuie acoperite ambele aspecte.

Referințe

  1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR) — EUR-Lex
  2. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 — legislatie.just.ro
  3. Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice — legislatie.just.ro
  4. EDPB — Guidelines on Transparency under Regulation 2016/679 (WP260 rev.01) — edpb.europa.eu
  5. CJUE — Cauza C-673/17, Planet49, 1 octombrie 2019 — curia.europa.eu
  6. ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — dataprotection.ro
  7. Legea nr. 365/2002 privind comerțul electronic — legislatie.just.ro
  8. Decizia ANSPDCP nr. 161/2018 privind procedura de efectuare a investigațiilor — legislatie.just.ro
  9. Your Europe — Protecția datelor conform RGPD pentru întreprinderi — europa.eu
  10. Comisia Europeană — Ce este un operator de date sau o persoană împuternicită de operator — commission.europa.eu
  11. Juridice.ro — GDPR și dreptul de a fi informat – când poate un operator să NU informeze persoana vizată, Cosmina Simion, Petruș Partene, 10 iunie 2024 — juridice.ro
  12. ANSPDCP — Comunicat privind regimul sancțiunilor pentru sectorul public, 23 iulie 2024 — dataprotection.ro
  13. StartupCafe.ro — GDPR: Pentru stat mumă, pentru privați ciumă, Claudiu Zamfir, 23 iulie 2024 — startupcafe.ro
  14. CJUE — Cauza C-654/23, Soft Opt-In, 13 noiembrie 2025 — eur-lex.europa.eu
  15. European Commission — 2025 Work Programme, retragerea propunerii ePrivacy, 11 februarie 2025 — commission.europa.eu
  16. Legea nr. 46/2003 privind drepturile pacientului — legislatie.just.ro
  17. Legea nr. 51/1995 privind organizarea și exercitarea profesiei de avocat — legislatie.just.ro
  18. Legea contabilității nr. 82/1991, republicată — legislatie.just.ro
  19. Avocatnet.ro — GDPR: Refuzul nejustificat de a șterge date poate atrage amenzi — avocatnet.ro