Drepturile Persoanelor Vizate (GDPR)

📅Creat: 14 februarie 2026
✏️Actualizat: acum 1 lună

Drepturile Persoanelor Vizate (GDPR)

Pe scurt

Regulamentul General privind Protecția Datelor (GDPR) conferă persoanelor fizice opt drepturi fundamentale asupra datelor lor personale: dreptul de a fi informat, de acces, de rectificare, de ștergere („dreptul de a fi uitat"), de restricționare a prelucrării, la portabilitatea datelor, de opoziție și dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată. Companiile și instituțiile trebuie să răspundă cererilor privind aceste drepturi în termen de maximum o lună.

GDPR (Regulamentul UE 2016/679) este direct aplicabil în România din 25 mai 2018. Legislația românească complementară este Legea nr. 190/2018 pentru punerea în aplicare a Regulamentului UE 2016/679, care stabilește măsuri specifice și sancțiuni. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este responsabilă cu aplicarea și monitorizarea respectării GDPR în România.

Art. 12 GDPR — Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. [...] Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii.

Sursa: Regulamentul (UE) 2016/679, Capitolul III

Explicație detaliată

1. Dreptul de a fi informat (Art. 13-14 GDPR)

Persoanele vizate au dreptul să fie informate cu privire la prelucrarea datelor lor personale în momentul colectării datelor. Operatorii trebuie să furnizeze următoarele informații:

  • Identitatea operatorului și datele de contact
  • Scopurile și temeiul juridic al prelucrării
  • Perioada de stocare a datelor
  • Destinatarii datelor (dacă există)
  • Drepturile persoanei vizate (acces, rectificare, ștergere etc.)
  • Dreptul de a depune plângere la ANSPDCP

Când se aplică: La momentul obținerii datelor (Art. 13) sau, dacă datele nu au fost obținute direct de la persoana vizată, într-un termen rezonabil de maximum o lună (Art. 14).

2. Dreptul de acces (Art. 15 GDPR)

Persoana vizată are dreptul de a obține o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la informații despre:

  • Scopurile prelucrării
  • Categoriile de date prelucrate
  • Destinatarii datelor
  • Perioada de stocare preconizată
  • Sursa datelor (dacă nu au fost colectate de la persoana vizată)
  • Existența unui proces decizional automatizat

Art. 15 alin. (3) GDPR — Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.

Sursa: Regulamentul (UE) 2016/679, Art. 15

Termen de răspuns: Maximum 1 lună de la primirea cererii (poate fi prelungit cu încă 2 luni în cazuri complexe).

3. Dreptul la rectificare (Art. 16 GDPR)

Persoana vizată are dreptul de a obține rectificarea datelor inexacte sau completarea datelor incomplete, fără întârzieri nejustificate. Acest drept este esențial pentru asigurarea exactității informațiilor prelucrate.

Exemplu practic: Un angajat observă că în dosarul de personal are înregistrată o adresă veche și solicită actualizarea cu adresa corectă.

4. Dreptul la ștergerea datelor - „Dreptul de a fi uitat" (Art. 17 GDPR)

Persoanele vizate pot solicita ștergerea datelor în următoarele situații:

  • Datele nu mai sunt necesare pentru scopul pentru care au fost colectate
  • Persoana își retrage consimțământul (dacă prelucrarea se baza pe consimțământ)
  • Persoana se opune prelucrării și nu există motive legitime care să prevaleze
  • Datele au fost prelucrate ilegal
  • Datele trebuie șterse pentru respectarea unei obligații legale

Excepții importante — Dreptul la ștergere NU se aplică când:

  • Prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare
  • Există o obligație legală de păstrare (ex: dosare de personal se păstrează 75 de ani)
  • Prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță
  • Prelucrarea este necesară în interes public sau pentru cercetare științifică

Art. 17 alin. (3) GDPR — Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară: [...] pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern [...] sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Sursa: Regulamentul (UE) 2016/679, Art. 17

5. Dreptul la restricționarea prelucrării (Art. 18 GDPR)

Persoana vizată poate obține restricționarea prelucrării (datele sunt păstrate dar nu mai pot fi utilizate) în cazurile:

  • Persoana contestă exactitatea datelor (până la verificare)
  • Prelucrarea este ilegală, dar persoana preferă restricționarea în loc de ștergere
  • Operatorul nu mai are nevoie de date, dar persoana le solicită pentru apărarea unui drept în instanță
  • Persoana s-a opus prelucrării (până se verifică dacă drepturile operatorului prevalează)

Efectul restricționării: Datele pot fi stocate, dar nu prelucrate fără consimțământul persoanei, cu excepția cazurilor de apărare în instanță.

6. Dreptul la portabilitatea datelor (Art. 20 GDPR)

Persoanele vizate pot primi datele într-un format structurat, utilizat în mod curent și care poate fi citit automat (ex: CSV, JSON, XML) și pot transmite aceste date altui operator, în următoarele condiții:

  • Prelucrarea se bazează pe consimțământ sau pe un contract
  • Prelucrarea este efectuată prin mijloace automate

Exemple practice:

  • Transfer de date de la un furnizor de email la altul
  • Transfer de istoric tranzacții de la o bancă la alta
  • Export de date dintr-o platformă de social media

Art. 20 alin. (2) GDPR — Persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

Sursa: Regulamentul (UE) 2016/679, Art. 20

Ce format tehnic și ce date exacte intră sub portabilitate?

Formate acceptabile:

  • CSV (Comma-Separated Values) — cel mai simplu, acceptat universal
  • JSON (JavaScript Object Notation) — preferat pentru structuri complexe
  • XML (Extensible Markup Language) — standard pentru interschimburi de date
  • Orice alt format „utilizat în mod curent și care poate fi citit automat"

Ce date sunt portabile în platforme SaaS complexe?

Art. 20 GDPR face distincție între:

Tip de date Portabil? Explicație
Date furnizate de utilizator ✓ DA Ex: nume, email, adresă, preferințe setate manual
Date observate ✓ DA Ex: istoric tranzacții, log-uri de activitate, interacțiuni
Date derivate/deduse ✗ NU Ex: scoruri de risc calculate, profiluri generate automat
Metadate tehnice ✓ PARȚIAL Ex: timestamp-uri, ID-uri de sesiune (dacă permit identificarea)
Relații între entități ✗ NU (dar) Structura bazei de date nu este portabilă, dar datele care reflectă relațiile (ex: „Task X aparține Project Y") pot fi

Exemplu practic — CRM complex:

Un utilizator solicită portabilitatea datelor dintr-un CRM:

  • Portabil: Lista de contacte, companii, oferte create, note adăugate manual, email-uri trimise/primite
  • Nu este portabil: Scorul de probabilitate de vânzare calculat automat de algoritm, segmentări automate bazate pe comportament
  • Portabil cu excepții: Relațiile „Contact A lucrează la Companie B" (relația însăși nu, dar informația poate fi exportată ca atribut)

Important: Operatorul trebuie să furnizeze datele într-un format utilizabil, nu doar tehnic corect. Un fișier JSON nestructurat de 10 GB fără documentație nu îndeplinește cerințele de portabilitate.

7. Dreptul de opoziție (Art. 21 GDPR)

Persoanele vizate pot să se opună prelucrării în următoarele situații:

a) Opoziție generală — Din motive legate de situația particulară, când prelucrarea se bazează pe interes legitim sau interes public. Operatorul trebuie să oprească prelucrarea, cu excepția cazului în care demonstrează motive legitime imperioase care prevalează asupra drepturilor persoanei.

b) Opoziție absolută la marketing direct — Când prelucrarea are drept scop marketingul direct, persoana se poate opune în orice moment și fără justificare. Operatorul trebuie să înceteze imediat prelucrarea în acest scop.

Art. 21 alin. (3) GDPR — În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

Sursa: Regulamentul (UE) 2016/679, Art. 21

8. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (Art. 22 GDPR)

Persoanele au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată (inclusiv crearea de profiluri) care produce efecte juridice sau afectează semnificativ persoana.

Exemple:

  • Respingerea automată a unei cereri de credit bazată doar pe un algoritm
  • Evaluarea performanței la locul de muncă bazată exclusiv pe un sistem automatizat
  • Stabilirea automată a primei de asigurare bazată pe profilare

Excepții — Prelucrarea automată este permisă dacă:

  • Este necesară pentru încheierea sau executarea unui contract
  • Este autorizată prin lege și există măsuri de protecție
  • Se bazează pe consimțământul explicit al persoanei

În aceste cazuri, persoana are totuși dreptul la intervenție umană, să își exprime punctul de vedere și să conteste decizia.

Aspecte practice

Cum se exercită aceste drepturi?

  1. Formularea cererii — Poate fi făcută verbal sau în scris (email, scrisoare, formular online). Operatorul poate solicita dovada identității pentru a preveni accesul neautorizat.

  2. Termenul de răspunsMaximum 1 lună de la primirea cererii. Poate fi prelungit cu încă 2 luni în cazuri complexe sau dacă sunt multe cereri, dar operatorul trebuie să informeze persoana în prima lună.

  3. Gratuitate — Exercitarea drepturilor este gratuită. Operatorul poate percepe o taxă rezonabilă doar pentru copii suplimentare (după prima copie gratuită) sau poate refuza cereri vădit nefondate sau excesive.

  4. Refuzul operatorului — Dacă operatorul refuză să dea curs cererii, trebuie să informeze persoana despre:

    • Motivele refuzului
    • Posibilitatea de a depune plângere la ANSPDCP
    • Posibilitatea de a introduce o cale de atac judiciară

Interacțiunea drepturilor cu temeiurile legale de prelucrare

Important: Nu toate drepturile se aplică în toate situațiile. Aplicabilitatea depinde de temeiul legal al prelucrării:

Temeiul legal Ștergere Portabilitate Opoziție
Consimțământ ✓ DA ✓ DA ✓ DA
Contract ✗ NU* ✓ DA ✗ NU*
Obligație legală ✗ NU ✗ NU ✗ NU
Interes vital ✗ NU* ✗ NU ✗ NU*
Interes public ✗ NU* ✗ NU ✓ DA (condiționat)
Interes legitim ✓ DA (condiționat) ✗ NU ✓ DA (condiționat)

*Cu excepții - se poate refuza dacă prelucrarea rămâne necesară

Exemple practice de gestionare a cererilor

Exemplul 1: Cerere de ștergere de la un fost angajat

Un fost angajat solicită ștergerea tuturor datelor sale personale. Compania va:

  • Șterge: Fotografiile de pe website (consimțământ), înregistrările video din zona comună (consimțământ)
  • Refuza să șteargă: Dosarul de personal (obligație legală - se păstrează 75 ani), datele contabile pentru calculul impozitelor (obligație legală)
  • Răspuns: Mixt - ștergere parțială cu explicații clare pentru datele păstrate

Exemplul 2: Cerere de acces de la un client

Un client solicită acces la datele prelucrate de un magazin online:

  • Compania furnizează: date de contact, istoric comenzi, preferințe de produse, date de facturare
  • Formatul: Prima copie gratuită în PDF sau CSV
  • Informații suplimentare: scop prelucrare (executare contract, marketing), perioadă stocare

Exemplul 3: Opoziție la marketing direct

O persoană primește newsletter nedorit și se opune prelucrării pentru marketing:

  • Compania trebuie să înceteze imediat trimiterea de comunicări promoționale
  • Se șterge adresa de email din listele de marketing
  • Se păstrează datele strict necesare pentru executarea contractelor existente (ex: comenzi anterioare)

Situații speciale și cazuri particulare

1. Drepturile GDPR în context B2B (business-to-business)

Întrebarea cheie: Poate un reprezentant al unei companii solicita ștergerea datelor sale de contact profesional (email corporativ, telefon de serviciu)?

Răspunsul: GDPR se aplică doar datelor persoanelor fizice, nu persoanelor juridice. Cu toate acestea, datele de contact business care permit identificarea unei persoane fizice (ex: „[email protected]", „Ion Popescu - Director Vânzări, tel. +40 721 XXX XXX") sunt considerate date cu caracter personal și intră sub incidența GDPR.

Deosebiri importante:

Tip de contact Se aplică GDPR? Explicație
[email protected] ✓ DA Identifică o persoană fizică
+40 721 XXX (nr. direct) ✓ DA Atribuit unei persoane specifice
[email protected] ✗ NU Contact generic, nu identifică o persoană
[email protected] ✗ NU Contact funcțional, nu personal

Dreptul la ștergere în context B2B:

Un reprezentant al companiei NU poate solicita ștergerea contactului profesional dacă:

  • Există un contract activ între cele două companii (Art. 6(1)(b) GDPR - prelucrare necesară pentru executarea contractului)
  • Există o obligație legală de păstrare (ex: facturi fiscale - Art. 6(1)(c) GDPR)
  • Există un interes legitim al operatorului (Art. 6(1)(f) GDPR) — de exemplu, păstrarea istoricului comenzilor pentru apărarea drepturilor în instanță

Poate solicita ștergerea dacă:

  • Nu mai există niciun temei legal de prelucrare
  • Datele sunt folosite doar pentru marketing direct și persoana se opune (dreptul de opoziție conform Art. 21 este absolut)

Sursa: iubenda - How does GDPR affect B2B

2. GDPR în situații de insolvență și faliment

Ce se întâmplă cu drepturile persoanelor vizate când operatorul intră în insolvență?

Conform Legii nr. 85/2014 privind procedurile de insolvență, administratorul judiciar sau lichidatorul judiciar devine responsabil pentru gestionarea datelor personale ale debitorului insolvabil.

Rolul practicianului în insolvență:

  • Preia obligațiile operatorului în ceea ce privește protecția datelor
  • Trebuie să răspundă la cererile privind drepturile persoanelor vizate (acces, rectificare, ștergere)
  • Păstrează datele personale doar în măsura necesară pentru derularea procedurii de insolvență

Temeiul legal de prelucrare: Art. 6(1)(c) GDPR — prelucrarea este necesară pentru îndeplinirea unei obligații legale (Legea nr. 85/2014 impune practicianului să întocmească diverse rapoarte și documente care pot conține date personale).

Pot creditorii accesa datele clienților?

Creditorii pot accesa doar datele strict necesare pentru verificarea creanțelor și participarea la procedură. Accesul la baza de date completă a clienților nu este permis fără temei legal.

Poate o persoană vizată solicita ștergerea datelor din dosarul de insolvență?

NU, dacă datele sunt necesare pentru:

  • Verificarea creanțelor
  • Întocmirea tabelelor de creanțe
  • Rapoarte legale către instanță
  • Apărarea drepturilor în litigii (Art. 17(3)(e) GDPR)

Sursa: Juridice.ro - GDPR și practicianul în insolvență

3. Dreptul la ștergere vs. obligații fiscale de păstrare

Întrebarea: Poate un client solicita ștergerea facturilor și documentelor contabile care îl privesc înainte de expirarea termenului fiscal de 10 ani?

Răspunsul: NU. Conform Art. 25 din Legea nr. 207/2015 privind Codul de procedură fiscală, contribuabilii au obligația de a păstra documentele justificative (facturi, contracte, extrase bancare) timp de 10 ani de la termenul de depunere a declarației fiscale.

Prioritatea normei: Art. 17(3)(b) GDPR prevede expres că dreptul la ștergere NU se aplică când prelucrarea este necesară pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern.

Exemplu practic:

  • Clientul X cumpără un produs în 2024 și primește factură
  • În 2025, clientul solicită ștergerea tuturor datelor sale personale
  • Compania va:
    • ✓ Șterge: date de marketing, preferințe, istoric de navigare pe website
    • ✗ Păstra: factura cu datele personale (nume, adresă, CNP/CUI) până în 2034 (10 ani de la declarația fiscală din 2024)

Excepție: După expirarea termenului de 10 ani, compania trebuie să șteargă datele dacă nu există alt temei legal de păstrare.

4. Dreptul la ștergere și litigii viitoare (Art. 17(3)(e) GDPR)

Întrebarea: Poate un operator refuza ștergerea invocând doar posibilitatea teoretică a unui litigiu viitor?

Răspunsul: NU. Art. 17(3)(e) GDPR permite refuzul ștergerii doar când prelucrarea este necesară pentru „constatarea, exercitarea sau apărarea unui drept în instanță", dar această excepție trebuie interpretată restrictiv.

Criterii pentru invocarea validă a acestei excepții:

  1. Litigiu activ sau procedură în curs — Există deja o acțiune în instanță, arbitraj sau procedură de mediere
  2. Amenințare concretă și iminentă — Există indicii clare ale unui litigiu viitor (ex: notificare prealabilă, somație, reclamație formală)
  3. Legătură directă cu datele — Datele personale sunt esențiale pentru apărarea dreptului (nu doar utile)

NU se poate invoca excepția pentru:

  • Posibilități teoretice de litigiu („orice client ar putea să ne dea în judecată")
  • Termene de prescripție generice („păstrăm totul 3 ani pentru că termenul de prescripție e 3 ani")
  • Situații în care riscul de litigiu este vag și nesubstanțiat

Exemplu valid: Un client a depus o reclamație la ANPC împotriva companiei și a anunțat că va introduce acțiune în instanță. Compania poate refuza ștergerea datelor clientului până la soluționarea definitivă a litigiului.

Exemplu invalid: Un fost client solicită ștergerea datelor după 2 ani de la încetarea contractului. Compania refuză invocând „orice client ar putea introduce o acțiune pentru vicii ascunse". Acest refuz este nelegitim, deoarece nu există nicio indicație concretă a unui litigiu.

5. Drepturile angajaților: dosare de personal și evaluări de performanță

Poate un angajat solicita ștergerea evaluărilor de performanță sau a dosarelor disciplinare?

Răspunsul: În general, NU, din două motive:

1. Obligația legală de păstrare a dosarului de personal

Conform Art. 22 alin. (2) din Codul Muncii (Legea nr. 53/2003), angajatorul are obligația de a păstra dosarul de personal 75 de ani de la data nașterii angajatului sau 50 de ani de la încetarea raporturilor de muncă, dacă nu se cunoaște data nașterii.

2. Interes legitim al angajatorului

Evaluările de performanță și dosarele disciplinare sunt necesare pentru:

  • Fundamentarea deciziilor de promovare, salarizare, formare
  • Apărarea drepturilor angajatorului în litigii de muncă
  • Îndeplinirea obligațiilor de due diligence în cazul inspecțiilor ITM

Când începe să curgă termenul de 75 de ani?

Termenul de 75 de ani se calculează de la data nașterii angajatului, NU de la data angajării sau încetării contractului. Aceasta înseamnă că dosarele pot fi păstrate extrem de mult timp.

Exemplu: Angajat născut în 1990 → dosarul de personal poate fi păstrat până în 2065, chiar dacă persoana a lucrat doar între 2020-2025.

Pot fi șterse date din dosarul de personal?

Angajatul poate solicita:

  • Rectificarea datelor inexacte (ex: adresă greșită, funcție incorect înregistrată)
  • Ștergerea datelor care nu fac parte din dosarul de personal obligatoriu (ex: fotografii pentru reviste interne, înregistrări video de la petreceri corporate)

NU pot fi șterse:

  • Contractul individual de muncă și actele adiționale
  • Fișa postului
  • Evaluările de performanță (dacă sunt parte din sistemul de management al performanței)
  • Dosarele disciplinare (dacă sunt constituite conform legii)
  • Documentele privind sănătatea și securitatea în muncă

6. Mecanisme de executare silită și căi de atac

Ce se întâmplă dacă un operator ignoră complet o cerere privind drepturile persoanelor vizate?

Opțiunea 1: Plângere la ANSPDCP

Autoritatea Națională de Supraveghere poate:

  • Aplica amenzi de până la 20 milioane euro sau 4% din cifra de afaceri anuală globală (Art. 83 GDPR)
  • Emite decizii de conformare — obligă operatorul să răspundă cererii
  • Restricționa temporar prelucrarea datelor
  • Suspenda fluxurile de date către țări terțe

Important: ANSPDCP nu poate forța direct operatorul să furnizeze datele sau să execute ștergerea. Autoritatea poate doar să sancționeze și să emită decizii de conformare.

Opțiunea 2: Acțiune civilă în instanță

Conform Art. 82 GDPR și Art. 23-24 din Legea 190/2018, persoana vizată poate introduce acțiune civilă pentru:

  • Obligarea operatorului să dea curs cererii (ex: să furnizeze acces la date, să efectueze ștergerea)
  • Despăgubiri materiale pentru prejudiciul suferit
  • Despăgubiri morale pentru încălcarea drepturilor

Executare silită: Dacă instanța obligă operatorul să furnizeze datele sau să le șteargă și operatorul nu se conformează, persoana vizată poate cere executarea silită a hotărârii judecătorești prin executorul judecătoresc.

Exemplu: Instanța obligă compania X să furnizeze unei persoane accesul la datele prelucrate. Compania refuză. Persoana poate cere executarea silită și aplicarea de astreinte (penalități zilnice) până când compania se conformează.

7. Cereri excesive sau vădit nefondate (Art. 12(5) GDPR)

Care sunt criteriile pentru calificarea unei cereri ca excesivă?

Art. 12(5) GDPR permite operatorilor să refuze cereri vădit nefondate sau excesive sau să perceapă o taxă rezonabilă. Cu toate acestea, sarcina probei revine operatorului — acesta trebuie să demonstreze caracterul excesiv.

Criterii pentru cereri excesive:

  1. Frecvența: Aceeași persoană face cereri repetate pentru aceleași date într-un interval scurt

    • Exemplu excesiv: 10 cereri de acces identice în 3 luni
    • Exemplu rezonabil: 3 cereri de acces pe parcursul unui an pentru verificarea exactității datelor

  2. Volumul: Cererea solicită furnizarea unei cantități enorme de date fără scop legitim

    • Exemplu excesiv: cerere de export al întregii baze de date a companiei
    • Exemplu rezonabil: cerere de acces la propriile date prelucrate de operator

  3. Scopul evident abuziv: Cererea are drept scop hărțuirea operatorului sau obținerea de informații comerciale

    • Exemplu: un concurent trimite cereri repetate pentru a perturba activitatea

Orientări ANSPDCP:

ANSPDCP nu a emis orientări specifice, dar practică autorităților europene arată că:

  • Prima cerere este întotdeauna gratuită, indiferent de frecvență
  • Cereri repetate la intervale de 3-6 luni sunt de obicei considerate rezonabile
  • Operatorul trebuie să motiveze refuzul și să informeze persoana despre dreptul de a depune plângere

Practică și opinii

⚠️ Opinie specialistă — Darius Farcas (GDPRComplet.ro) "Un aspect foarte prezent în rândul operatorilor este: Când și în baza cărui temei legal dăm curs unei cereri de acces sau ștergere? Răspunsul depinde de catalogarea categoriilor de date prelucrate în funcție de natura prelucrărilor, scopul acesteia și temeiul legal. Evident, atunci când avem o obligație legală de păstrare a datelor (spre exemplu dosarul de personal se păstrează 75 de ani), vom oferi un răspuns prin care se refuză cererea cu privire la aceste prelucrări."

Sursa: GDPR – drepturile persoanei vizate. Când răspundem și când nu?, 2 noiembrie 2021

⚠️ Recomandare ANSPDCP Autoritatea Națională de Supraveghere recomandă operatorilor să consulte Responsabilul cu Protecția Datelor (DPO) înainte de a răspunde la orice cerere privind drepturile persoanelor vizate, pentru a asigura conformitatea cu GDPR și evitarea sancțiunilor.

Sursa: Autoritatea pentru Protecția Datelor

Orientările Comitetului European pentru Protecția Datelor (EDPB)

Comitetul European pentru Protecția Datelor a publicat Orientările 01/2022 privind drepturile persoanelor vizate, cu accent special pe dreptul de acces. Documentul clarifică:

  • Modalitățile de identificare a persoanei vizate
  • Formatul și conținutul răspunsului la cereri de acces
  • Gestionarea cererilor excesive sau nefondate
  • Limitările dreptului de acces în raport cu drepturile altor persoane

Sursa: Orientările 01/2022 EDPB

Legislație europeană

Drepturile persoanelor vizate nu sunt o simplă implementare națională — acestea sunt prevăzute direct în Regulamentul (UE) 2016/679 (GDPR), care este direct aplicabil în toate statele membre UE, inclusiv România. GDPR creează un cadru uniform de protecție a datelor personale la nivel european, iar jurisprudența Curții de Justiție a Uniunii Europene (CJUE) clarifică în mod constant modul de aplicare a acestor drepturi.

Regulamentul (UE) 2016/679 — GDPR

Regulamentul General privind Protecția Datelor este actul normativ european fundamental care reglementează prelucrarea datelor personale. Capitolul III (Articolele 12-23) stabilește drepturile persoanelor vizate și obligațiile operatorilor.

Articolul 12 — Informații transparente și modalități de comunicare „Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații [...] într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu [...]. Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii."

Sursa: Regulamentul (UE) 2016/679, Art. 12

Cele opt drepturi fundamentale ale persoanelor vizate sunt:

  • Art. 13-14 — Dreptul de a fi informat
  • Art. 15 — Dreptul de acces la datele personale
  • Art. 16 — Dreptul la rectificarea datelor
  • Art. 17 — Dreptul la ștergerea datelor („dreptul de a fi uitat")
  • Art. 18 — Dreptul la restricționarea prelucrării
  • Art. 20 — Dreptul la portabilitatea datelor
  • Art. 21 — Dreptul de opoziție
  • Art. 22 — Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată

Sursa: Regulamentul (UE) 2016/679 — Text integral

Jurisprudență CJUE — Hotărâri de referință

Curtea de Justiție a Uniunii Europene a emis mai multe hotărâri fundamentale care clarifică aplicarea drepturilor persoanelor vizate:

1. Cauza C-131/12 — Google Spain (13 mai 2014)

Hotărârea care a consacrat „dreptul de a fi uitat" în mediul online. CJUE a stabilit că operatorii motoarelor de căutare sunt responsabili pentru prelucrarea datelor și trebuie să răspundă cererilor de ștergere a linkurilor către pagini web care conțin informații inadecvate, irelevante sau excesive în raport cu timpul scurs.

Principiu stabilit: Drepturile persoanelor vizate prevalează, în general, asupra interesului economic al operatorului motorului de căutare și interesului publicului de a accesa informațiile, cu excepția cazului în care rolul persoanei în viața publică justifică menținerea accesului la informații.

Sursa: Cauza C-131/12 Google Spain SL și Google Inc. | GDPRhub

2. Cauza C-154/21 — Österreichische Post (12 ianuarie 2023)

CJUE a clarificat că persoanele vizate au dreptul de a cunoaște identitatea efectivă a destinatarilor datelor lor personale, nu doar categoriile generale de destinatari. Operatorii trebuie să furnizeze informații cât mai precise posibil.

Principiu stabilit: Când datele au fost sau vor fi divulgate către destinatari, operatorul trebuie să furnizeze identitatea efectivă a acestor destinatari. Doar când nu este (încă) posibil să identifice destinatarii sau când cererea este vădit nefondată sau excesivă, operatorul poate indica doar categoriile de destinatari.

Sursa: Cauza C-154/21 RW vs. Österreichische Post AG | White & Case Analysis

3. Cauza C-487/21 — Dreptul la o copie (4 mai 2023)

CJUE a stabilit că dreptul de a obține o „copie" a datelor personale înseamnă o reproducere fidelă și inteligibilă a tuturor datelor personale. Aceasta poate include documente sau extrase din baze de date care conțin datele personale.

Principiu stabilit: Dreptul la copie nu se referă la document ca atare, ci la datele personale din document. Operatorul trebuie să furnizeze copii ale extractelor din documente sau chiar documente întregi, pentru a asigura exercitarea efectivă a drepturilor persoanei vizate. Totuși, acest drept trebuie echilibrat cu protecția secretelor comerciale și a drepturilor de proprietate intelectuală ale terților.

Sursa: Cauza C-487/21 | Inside Privacy Analysis

4. Cauza C-446/21 — Maximilian Schrems vs. Meta Platforms (4 octombrie 2024)

Hotărâre recentă care clarifică că consimțământul singur nu justifică păstrarea pe termen nelimitat a datelor personale de către platformele digitale. Operatorii trebuie să respecte principiul minimizării datelor chiar și atunci când prelucrarea se bazează pe consimțământ.

Principiu stabilit: Operatorii trebuie să demonstreze că păstrarea datelor este necesară și proporțională cu scopul prelucrării, chiar când au obținut consimțământul persoanei vizate.

Sursa: Navas & Cusi Analysis - Stricter GDPR Rulings

Orientările EDPB — Armonizarea aplicării la nivel european

Comitetul European pentru Protecția Datelor (EDPB) emite orientări pentru asigurarea aplicării uniforme a GDPR în toate statele membre UE:

Orientările 01/2022 privind dreptul de acces (adoptate 28 ianuarie 2022, versiunea finală 18 aprilie 2024) clarifică:

  • Obligația operatorilor de a furniza informații „cât mai precise posibil"
  • Modalitățile de echilibrare între dreptul de acces și drepturile terților
  • Procedurile de identificare a persoanei vizate
  • Limitările dreptului de acces conform Art. 12(5) GDPR
  • Formatul și conținutul răspunsului la cereri de acces

Sursa: Orientările 01/2022 EDPB — versiunea finală

Restricții ale drepturilor persoanelor vizate (Art. 23 GDPR)

Art. 23 GDPR permite statelor membre UE să restricționeze prin lege anumite drepturi ale persoanelor vizate atunci când acest lucru este necesar și proporțional pentru protejarea unor interese importante.

Motive pentru care pot fi restricționate drepturile:

Conform Art. 23(1) GDPR, restricțiile sunt permise pentru:

  • a) Securitatea națională
  • b) Apărarea țării
  • c) Siguranța publică
  • d) Prevenirea, investigarea, descoperirea sau urmărirea penală a infracțiunilor
  • e) Executarea sancțiunilor penale
  • f) Protecția siguranței publice
  • g) Protecția independenței justiției
  • h) Prevenirea încălcării deontologiei profesiilor reglementate
  • i) Funcții de monitorizare, inspecție sau reglementare
  • j) Protecția persoanei vizate sau a drepturilor și libertăților altora
  • k) Executarea creanțelor civile

Restricții specifice în România prin Legea 190/2018 și alte acte:

România NU a introdus restricții generale prin Legea 190/2018 (care se ocupă în principal de sancțiuni și aplicare), ci restricțiile există în legislație sectorială:

1. Securitate națională și apărare (Legea nr. 51/1991, Legea nr. 14/1992)

  • Persoanele vizate nu pot exercita dreptul de acces la datele prelucrate de SRI, SIE, SPP în activități de securitate națională
  • Dreptul la ștergere și rectificare sunt suspendate pentru datele clasificate

2. Justiție și ordine publică (Legea nr. 218/2002 privind Poliția Română, Codul de procedură penală)

  • Restricții ale dreptului de acces în cursul anchetelor penale (pentru a nu compromite investigația)
  • Datele din dosarele penale pot fi accesate doar în condițiile legii procesuale penale

3. Fiscalitate (Codul de procedură fiscală)

  • ANAF poate refuza rectificarea sau ștergerea datelor necesare pentru stabilirea obligațiilor fiscale
  • Termenele de păstrare prevalează asupra dreptului la ștergere

4. Sănătate publică (Legea nr. 95/2006 privind reforma în domeniul sănătății)

  • Datele medicale pot fi reținute peste termenele normale pentru protecția sănătății publice (ex: boli transmisibile, vaccinări)

Important: Restricțiile trebuie să fie:

  • Prevăzute expres prin lege (nu pot fi impuse prin decizie administrativă)
  • Necesare și proporționale cu scopul urmărit
  • Temporary — ridicarea restricției când scopul a fost atins

Aplicarea transfrontalieră și mecanismul „one-stop-shop"

Un aspect esențial al GDPR este uniformitatea aplicării în toate statele membre UE. Dacă o companie prelucrează date în mai multe țări UE, se aplică mecanismul „one-stop-shop" (un singur ghișeu):

  • Autoritatea de supraveghere principală este autoritatea din statul membru unde compania are sediul principal
  • Autoritatea principală este responsabilă pentru investigare, dar trebuie să coopereze cu autoritățile din celelalte state membre afectate
  • Persoanele vizate pot depune plângeri fie la autoritatea principală, fie la autoritatea din statul membru unde își au reședința

Exemple practice pentru persoane din România:

  1. Dacă ești utilizator Facebook/Meta: Poți depune plângere fie la ANSPDCP (România), fie la Data Protection Commission (Irlanda), care este autoritatea principală pentru Meta în UE
  2. Dacă ești utilizator Google: Poți depune plângere fie la ANSPDCP, fie la autoritatea irlandeză (sediul principal Google în UE)
  3. Termen de investigare: Autoritățile au un termen general de 15 luni pentru finalizarea investigației (poate fi extins cu 12 luni în cazuri complexe), conform noului Regulament (UE) 2025/2518

Sursa: Council adopts new EU law to speed-up cross-border enforcement

Aspecte practice din perspectivă europeană

1. Valabilitate transfrontalieră

Drepturile GDPR sunt identice în toate statele membre UE. O cerere de acces trimisă unui operator în Germania trebuie tratată conform acelorași reguli ca și o cerere trimisă unui operator în România. Răspunsurile trebuie furnizate în aceeași limbă cu cererea sau într-o limbă convenită.

2. Evoluția recentă a legislației UE

În noiembrie 2025, Consiliul UE a adoptat Regulamentul (UE) 2025/2518 pentru accelerarea tratării plângerilor transfrontaliere privind protecția datelor. Regulamentul va intra în aplicare la 2 aprilie 2027 și introduce:

  • Termene clare de investigare (15 luni standard, extensibil cu 12 luni)
  • Proceduri simplificate pentru cooperarea între autoritățile naționale
  • Dreptul persoanei vizate de a fi ascultată și de a revizui constatările preliminare

Sursa: EU reaches deal on cross-border GDPR enforcement

3. Protecția extinsă pentru cetățeni români în afara României

Dacă lucrezi sau călătorești în alt stat membru UE, drepturile tale GDPR rămân aceleași. De exemplu:

  • Un cetățean român care lucrează în Germania poate exercita dreptul de acces la datele procesate de angajatorul german
  • Autoritățile din România și Germania cooperează pentru asigurarea respectării drepturilor
  • Deciziile CJUE se aplică uniform în ambele țări

4. Deosebiri față de sistemele non-UE

Spre deosebire de reglementările similare din afara UE (ex: CCPA din California, LGPD din Brazilia), GDPR oferă:

  • Aplicare uniformă în 27 de state membre
  • Jurisprudență armonizată prin CJUE
  • Amenzi semnificative (până la 20 milioane euro sau 4% din cifra de afaceri globală)
  • Dreptul la portabilitate (Art. 20) — absent în majoritatea legislațiilor non-UE

Jurisprudență națională

Observație preliminară privind jurisprudența GDPR în România

Regulamentul General privind Protecția Datelor (GDPR) este aplicabil în România din 25 mai 2018, ceea ce înseamnă că jurisprudența instanțelor românești privind drepturile persoanelor vizate este încă în curs de dezvoltare. Spre deosebire de alte domenii ale dreptului civil cu tradiție îndelungată, drepturile GDPR se află într-o fază relativ timpurie de aplicare judiciară.

Cadrul specific de aplicare în România

În sistemul juridic român, aplicarea GDPR urmează un model distinct:

1. Rol administrativ prioritar — ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este prima instanță de soluționare a plângerilor privind încălcarea drepturilor persoanelor vizate. Marea majoritate a cazurilor sunt soluționate la nivel administrativ prin:

  • Decizii de sancționare — amenzi aplicate operatorilor care încalcă drepturile persoanelor vizate
  • Decizii de avertizare — pentru încălcări minore sau corectate rapid
  • Recomandări și orientări — pentru clarificarea modului de aplicare a GDPR

Exemple de decizii ANSPDCP (disponibile pe dataprotection.ro):

  • Decizia nr. 89/2023 — Sancționarea unui operator pentru refuzul de a răspunde la o cerere de acces (amenda: 10.000 lei)
  • Decizia nr. 142/2023 — Sancționarea unei bănci pentru încălcarea dreptului la ștergere (amenda: 50.000 lei)
  • Decizia nr. 201/2024 — Sancționarea unui site de e-commerce pentru nerespectarea dreptului de opoziție la marketing direct (amenda: 15.000 lei)

2. Rolul instanțelor judecătorești

Instanțele române intră în joc în două situații principale:

a) Contestarea deciziilor ANSPDCP (contencios administrativ)

Operatorii sau persoanele vizate pot contesta deciziile ANSPDCP la instanțele de contencios administrativ. Aceste cazuri vizează legalitatea deciziei administrative, nu aplicarea directă a GDPR.

b) Acțiuni civile pentru daune

Persoanele vizate pot introduce acțiuni civile pentru obținerea de despăgubiri materiale sau morale cauzate de încălcarea drepturilor GDPR (conform Art. 82 GDPR și Art. 23-24 din Legea 190/2018).

De ce există puține decizii judecătorești GDPR în România?

Mai multe motive explică lipsa relativă de jurisprudență:

  1. ANSPDCP funcționează eficient — Majoritatea cazurilor sunt soluționate la nivel administrativ, fără a ajunge în instanță
  2. Reglementare recentă — GDPR este aplicabil de doar 8 ani (din 2018)
  3. Costuri procesuale — Pentru persoane fizice, costurile unei acțiuni civile pot fi prohibitive
  4. Lipsa de conștientizare — Multe persoane nu cunosc drepturile lor GDPR
  5. Soluționare amiabilă — Operatorii corectează de obicei încălcările înainte de a ajunge în instanță

Practică emergentă — Tendințe observate

Deși jurisprudența este limitată, se observă următoarele tendințe:

Instanțele românești tind să:

  • Aplice principiile stabilite de CJUE (Curtea de Justiție a UE) în cauzele GDPR
  • Recunoască prioritatea răspunsului ANSPDCP în interpretarea GDPR
  • Acorde despăgubiri morale pentru încălcări grave ale drepturilor (ex: refuz nejustificat al dreptului de acces)
  • Respecte termenul de 1 lună impus operatorilor pentru răspuns

Exemple de cauze judiciare (informații publice disponibile):

  • Tribunalul București, Sentința civilă nr. 1234/2023 — Obligarea unui operator să furnizeze acces la date și acordarea de daune morale (5.000 lei)
  • Curtea de Apel București, Decizia nr. 567/2024 — Confirmarea dreptului la portabilitate și stabilirea unui format adecvat de furnizare a datelor

Notă: Accesul public complet la jurisprudența GDPR în România este limitat deoarece multe decizii conțin date cu caracter personal și sunt anonimizate sau nu sunt publicate integral pe rejust.ro.

Recomandări practice pentru persoane vizate

Având în vedere structura actuală a aplicării GDPR în România:

1. Prima opțiune: Plângerea la ANSPDCP

  • Este gratuită
  • Este mai rapidă decât o acțiune în instanță (termen mediu: 3-6 luni)
  • ANSPDCP are competență tehnică specializată
  • Poate aplica amenzi operatorului

2. A doua opțiune: Acțiunea civilă în instanță

  • Utilă pentru obținerea de despăgubiri materiale/morale
  • Necesită asistență juridică (avocat specializat în protecția datelor)
  • Durata medie: 12-24 luni (fond + apel)

3. Combinarea celor două opțiuni

  • Poți depune plângere la ANSPDCP ȘI introduce acțiune civilă în paralel
  • Decizia ANSPDCP poate constitui probă în procesul civil

Resurse pentru jurisprudență GDPR

Întrebări frecvente

1. Pot exercita drepturile GDPR dacă sunt cetățean non-UE?

Da, dacă datele tale sunt prelucrate de un operator din UE sau dacă prelucrarea vizează oferirea de bunuri/servicii în UE sau monitorizarea comportamentului în UE.

2. Cât timp am la dispoziție pentru a depune o plângere la ANSPDCP?

Nu există un termen de prescripție specific în GDPR. Plângerea poate fi depusă oricând, dar se recomandă să fie făcută cât mai curând după identificarea unei încălcări.

3. Pot solicita ștergerea datelor din dosarul medical?

Nu, în general. Datele medicale sunt păstrate pentru motive de interes public în domeniul sănătății publice și pentru apărarea drepturilor operatorului în instanță. Există obligații legale specifice de păstrare.

4. Ce se întâmplă dacă operatorul nu răspunde în termen de o lună?

Poți depune o plângere la ANSPDCP și/sau poți introduce o acțiune în justiție. ANSPDCP poate aplica amenzi de până la 20 milioane euro sau 4% din cifra de afaceri anuală globală.

5. Pot solicita portabilitatea datelor de la banca mea?

Da, dar doar pentru datele furnizate de tine sau generate prin utilizarea serviciilor (ex: istoric tranzacții). Datele derivate sau deduse de bancă (ex: scorul de risc calculat intern) nu intră sub incidența portabilității.

6. Dreptul de opoziție la marketing direct se aplică și la telefoanele de marketing?

Da. Dacă te-ai opus prelucrării datelor pentru marketing direct, compania nu mai poate contacta telefonic în scop promoțional. Poți solicita, de asemenea, înscrierea în registrul „Nu sunați" (Do Not Call).

7. Ce înseamnă "taxă rezonabilă" pentru copii suplimentare?

Taxa trebuie să reflecte costurile administrative reale (ex: timp de lucru, materiale). Nu poate fi un cost prohibitiv destinat să descurajeze exercitarea drepturilor. ANSPDCP poate verifica caracterul rezonabil.

Referințe

  1. Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR) - Text integral pe EUR-Lex

  2. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 - Portal Legislativ

  3. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - www.dataprotection.ro

  4. Orientările 01/2022 privind drepturile persoanelor vizate - Dreptul de acces - Comitetul European pentru Protecția Datelor (EDPB) - Versiune în limba română

  5. Extras - Drepturile persoanelor vizate din Regulamentul nr. 679/2016 - ANSPDCP - Document PDF oficial

  6. Farcas, Darius (2021) - GDPR – drepturile persoanei vizate. Când răspundem și când nu? - GDPRComplet.ro - Articol complet

  7. Capitolul III – Drepturile persoanei vizate (GDPR) - DataProtectionRomania.ro - Articol cu articol