Acordul de Prelucrare a Datelor (DPA)

📅Creat: 13 februarie 2026
✏️Actualizat: acum 1 lună

Acordul de Prelucrare a Datelor (DPA)

Pe scurt

Acordul de Prelucrare a Datelor (în engleză Data Processing Agreement — DPA) este contractul obligatoriu dintre un operator de date și o persoană împuternicită care prelucrează date cu caracter personal în numele operatorului. Este impus de Art. 28 din GDPR și lipsa lui poate atrage amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală.

Baza juridică principală o constituie Regulamentul (UE) 2016/679 (GDPR), direct aplicabil în România din 25 mai 2018, completat de Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR.

Art. 28 alin. (1) GDPR — „În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate." Sursa: Regulamentul (UE) 2016/679, Art. 28

Art. 28 alin. (3) GDPR — „Prelucrarea de către o persoană împuternicită de operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului." Sursa: Regulamentul (UE) 2016/679, Art. 28

Art. 29 GDPR — „Persoana împuternicită de operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu prelucrează aceste date decât la instrucțiunile operatorului, cu excepția cazului în care această prelucrare este prevăzută de dreptul Uniunii sau de dreptul intern." Sursa: Regulamentul (UE) 2016/679, Art. 29

La nivel național, Legea nr. 190/2018 nu adaugă cerințe suplimentare specifice pentru DPA, dar confirmă aplicabilitatea directă a GDPR și stabilește cadrul sancțiunilor prin Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Sursa: Legea nr. 190/2018

Explicație detaliată

Ce este un DPA și când este necesar?

Un DPA este necesar ori de câte ori un operator (entitatea care stabilește scopurile și mijloacele prelucrării) încredințează unei persoane împuternicite (entitatea care prelucrează datele în numele operatorului) sarcina de a prelucra date cu caracter personal.

Exemple practice frecvente:

  • O firmă angajează un furnizor de servicii cloud (AWS, Google Cloud, Azure)
  • O companie externalizează salarizarea către un provider de payroll
  • Un magazin online folosește un procesator de plăți
  • O firmă folosește un serviciu de email marketing (Mailchimp, Sendinblue)
  • O clinică transmite date pacienților către un laborator extern pentru analize

Operator vs. Persoană împuternicită — cum se face distincția?

Distincția este esențială:

  • Operatorul decide de ce și cum se prelucrează datele
  • Persoana împuternicită prelucrează datele doar la instrucțiunile operatorului, fără a decide independent asupra scopurilor

Dacă o entitate care primește datele decide independent ce face cu ele, aceasta devine operator asociat (Art. 26 GDPR) sau chiar operator independent — situație care schimbă complet cadrul juridic aplicabil.

Clauzele obligatorii ale unui DPA

Conform Art. 28 alin. (3) GDPR, un DPA trebuie să conțină cel puțin următoarele elemente:

  1. Obiectul și durata prelucrării — ce servicii presupun prelucrarea și pe ce perioadă
  2. Natura și scopul prelucrării — ce operațiuni se efectuează (colectare, stocare, ștergere etc.) și pentru ce scop
  3. Tipul de date cu caracter personal — categoriile de date prelucrate (nume, email, CNP, date medicale etc.)
  4. Categoriile de persoane vizate — angajați, clienți, pacienți, utilizatori etc.
  5. Obligațiile și drepturile operatorului

Pe lângă acestea, persoana împuternicită trebuie să se angajeze prin DPA la:

  • Prelucrarea doar conform instrucțiunilor documentate ale operatorului (Art. 28 alin. (3) lit. a)
  • Obligația de confidențialitate — toate persoanele autorizate să prelucreze datele trebuie să fi semnat angajamente de confidențialitate (Art. 28 alin. (3) lit. b)
  • Măsuri de securitate adecvate — implementarea măsurilor tehnice și organizatorice prevăzute la Art. 32 GDPR (Art. 28 alin. (3) lit. c)
  • Condiții pentru sub-împuternicire — utilizarea unui alt procesator necesită acordul prealabil, scris, al operatorului (Art. 28 alin. (3) lit. d)
  • Asistență pentru drepturile persoanelor vizate — sprijin în răspunsul la cererile de acces, rectificare, ștergere etc. (Art. 28 alin. (3) lit. e)
  • Asistență pentru obligațiile operatorului — sprijin în evaluarea impactului (DPIA), notificarea breșelor de securitate etc. (Art. 28 alin. (3) lit. f)
  • Ștergerea sau returnarea datelor la încetarea prestării serviciilor (Art. 28 alin. (3) lit. g)
  • Posibilitatea auditurilor și inspecțiilor din partea operatorului (Art. 28 alin. (3) lit. h)

Sub-împuterniciții (Sub-procesatorii)

Un aspect important al DPA-ului este reglementarea sub-împuterniciților. Art. 28 alin. (2) GDPR prevede două variante:

  • Autorizare specifică prealabilă — operatorul aprobă fiecare sub-procesator în parte
  • Autorizare generală — operatorul acceptă principiul sub-împuternicirii, dar persoana împuternicită trebuie să informeze despre orice schimbare, iar operatorul poate obiecta

Indiferent de variantă, persoana împuternicită rămâne pe deplin responsabilă față de operator pentru actele sub-împuterniciților săi (Art. 28 alin. (4) GDPR).

Forma DPA-ului

DPA-ul poate fi:

  • Un contract de sine stătător — document separat
  • O anexă la contractul principal de servicii
  • Clauze incluse direct în contractul de servicii

Art. 28 alin. (9) GDPR precizează că acest contract poate fi întocmit în scris, inclusiv în format electronic.

Clauzele contractuale standard ale Comisiei Europene

Decizia de punere în aplicare (UE) 2021/915 a Comisiei Europene stabilește clauze contractuale standard (SCC) care pot fi folosite ca bază pentru DPA-uri. Acestea acoperă toate cerințele Art. 28 și pot fi adoptate direct, fără modificări, sau completate cu clauze suplimentare.

Sursa: Decizia (UE) 2021/915

Aspecte practice

Când trebuie încheiat DPA-ul?

DPA-ul trebuie încheiat înainte de începerea prelucrării. În practică, acesta se semnează odată cu contractul principal de servicii sau imediat după.

Greșeli frecvente

  • Absența completă a DPA-ului — mulți antreprenori nu știu că externalizarea serviciilor care implică date personale necesită un DPA
  • DPA generic, neadaptat — un model copiat de pe internet fără a reflecta realitatea relației comerciale nu îndeplinește cerințele GDPR
  • Confuzia operator–persoană împuternicită — uneori, ambele părți sunt de fapt operatori asociați, caz în care DPA-ul nu este instrumentul potrivit (se aplică Art. 26 GDPR)
  • Lipsa clauzelor privind sub-împuterniciții — mai ales în cazul serviciilor cloud, unde lanțul de sub-procesatori poate fi lung
  • Neactualizarea DPA-ului — când se schimbă categoriile de date prelucrate sau serviciile furnizate

Lista de verificare pentru un DPA complet

  • ☐ Identificarea clară a operatorului și persoanei împuternicite
  • ☐ Obiectul, durata, natura și scopul prelucrării
  • ☐ Categoriile de date și persoane vizate
  • ☐ Instrucțiuni documentate ale operatorului
  • ☐ Obligații de confidențialitate
  • ☐ Măsuri de securitate (Art. 32 GDPR)
  • ☐ Reguli privind sub-împuternicirea
  • ☐ Asistență pentru drepturile persoanelor vizate
  • ☐ Asistență pentru notificarea breșelor (Art. 33-34 GDPR)
  • ☐ Ștergerea/returnarea datelor la finalul contractului
  • ☐ Dreptul operatorului de audit
  • ☐ Condiții pentru transferuri internaționale de date (dacă este cazul)

Sancțiuni în lipsa DPA-ului

Nerespectarea obligațiilor prevăzute la Art. 28 GDPR poate atrage sancțiuni de până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală (Art. 83 alin. (4) GDPR).

ANSPDCP a aplicat deja amenzi în România pentru lipsa sau insuficiența acordurilor de prelucrare. Răspunderea este solidară în anumite condiții: dacă un procesator acționează în afara instrucțiunilor operatorului, acesta este considerat operator pentru respectiva prelucrare (Art. 28 alin. (10) GDPR).

Practică și opinii

⚠️ Opinie specialistă — Comitetul European pentru Protecția Datelor (EDPB) Ghidul EDPB 07/2020 privind conceptele de operator și persoană împuternicită subliniază că simpla calificare contractuală nu determină statutul real al părților — ceea ce contează este realitatea factuală a relației: cine decide efectiv scopurile și mijloacele prelucrării. Sursa: EDPB Guidelines 07/2020, versiunea 2.0, iulie 2021

⚠️ Opinie specialistă — ANSPDCP Autoritatea Națională a subliniat în repetate rânduri că operatorii trebuie să verifice efectiv garanțiile oferite de persoanele împuternicite, nu doar să semneze un contract formal. Due diligence-ul privind capacitatea tehnico-organizatorică a procesatorului este o obligație de fond, nu doar una formală. Sursa: ANSPDCP — Rapoarte de activitate

Legislație europeană

Directive și regulamente aplicabile

Acordul de prelucrare a datelor este reglementat în mod direct și exhaustiv de Regulamentul (UE) 2016/679 (GDPR), care este aplicabil în toate statele membre fără a necesita transpunere. Spre deosebire de alte domenii juridice, DPA-ul nu se bazează pe directive, ci pe un regulament cu aplicabilitate directă.

Cele mai relevante acte normative europene sunt:

Regulamentul (UE) 2016/679 — Art. 28 stabilește cadrul complet al obligațiilor contractuale dintre operator și persoana împuternicită, inclusiv clauzele obligatorii, condițiile de sub-împuternicire și dreptul de audit. Sursa: Regulamentul (UE) 2016/679

Decizia de punere în aplicare (UE) 2021/915 — Stabilește clauzele contractuale standard (SCC) între operatori și persoanele împuternicite, conform Art. 28 alin. (7) GDPR. Aceste clauze pot fi utilizate ca bază pentru orice DPA, fără a fi necesare modificări, și acoperă toate cerințele legale. Sursa: Decizia (UE) 2021/915

Decizia de punere în aplicare (UE) 2021/914 — Stabilește clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe conform Art. 46 alin. (2) lit. (c) GDPR. Este distinctă de Decizia 2021/915, dar adesea utilizată complementar atunci când persoana împuternicită se află în afara SEE. Sursa: Decizia (UE) 2021/914

Regulamentul (UE) 2018/1725 — Reglementează prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii Europene. Art. 29 conține dispoziții echivalente cu Art. 28 GDPR, aplicabile atunci când o instituție UE externalizează prelucrarea datelor. Sursa: Regulamentul (UE) 2018/1725

Transpunerea în dreptul român

GDPR fiind un regulament, nu necesită transpunere în sensul clasic. Cu toate acestea, România a adoptat Legea nr. 190/2018 privind măsuri de punere în aplicare, care:

  • Confirmă aplicabilitatea directă a GDPR pe teritoriul României
  • Stabilește ANSPDCP ca autoritate națională de supraveghere
  • Nu adaugă cerințe suplimentare specifice pentru DPA față de cele prevăzute la Art. 28 GDPR

Diferențe față de standardul minim UE: România nu a exercitat „gold-plating" în privința DPA-urilor — cerințele sunt identice cu cele din GDPR. Unele state membre (de exemplu, Germania prin BDSG) au introdus prevederi suplimentare privind protecția datelor angajaților care influențează indirect conținutul DPA-urilor — România nu a adoptat astfel de măsuri.

O particularitate a dreptului românesc este prevăzută de Legea nr. 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării sau urmăririi penale (transpunerea Directivei (UE) 2016/680 — „Directiva Poliție"), care stabilește un regim separat de DPA pentru aceste scopuri specifice.

Jurisprudență CJUE

Cauza C-683/21, Nacionalinis visuomenės sveikatos centras (5 decembrie 2023) — CJUE a clarificat distincția dintre operator și persoană împuternicită. Curtea a statuat că o entitate poate fi considerată operator chiar și în absența unui contract formal de achiziție sau de prelucrare, dacă în fapt a determinat scopurile și mijloacele prelucrării. De asemenea, a confirmat că amenzile administrative pot fi impuse doar în cazul unei încălcări intenționate sau din neglijență. Sursa: CJUE, C-683/21, ECLI:EU:C:2023:949

Cauza C-807/21, Deutsche Wohnen (5 decembrie 2023) — CJUE a statuat că amenzile administrative prevăzute la Art. 83 alin. (4)-(6) GDPR pot fi aplicate oricărei entități care îndeplinește definiția de operator, inclusiv în cadrul unui grup de societăți. Conceptul de „întreprindere" din dreptul concurenței se aplică și în materia protecției datelor pentru calculul amenzilor. Sursa: CJUE, C-807/21, ECLI:EU:C:2023:950

Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein (5 iunie 2018) — Decizie fundamentală privind calificarea ca operator comun (Art. 26 GDPR). CJUE a stabilit că administratorul unei pagini de Facebook este operator comun împreună cu Facebook, chiar dacă nu are acces direct la datele personale. Această jurisprudență subliniază importanța distincției corecte între DPA (Art. 28) și acordul de operare comună (Art. 26). Sursa: CJUE, C-210/16, ECLI:EU:C:2018:388

Cauza C-40/17, Fashion ID (29 iulie 2019) — CJUE a extins conceptul de operator comun și în situația integrării unui buton social „Like" pe un site web. Hotărârea subliniază că relația contractuală dintre părți trebuie analizată cu atenție pentru a determina dacă se impune un DPA (operator–persoană împuternicită) sau un acord de operare comună. Sursa: CJUE, C-40/17, ECLI:EU:C:2019:629

Aspecte practice din perspectivă europeană

Implicații transfrontaliere: Atunci când o persoană împuternicită își are sediul într-un alt stat membru UE, DPA-ul rămâne guvernat de GDPR, dar autoritatea de supraveghere competentă se determină conform mecanismului „ghișeului unic" (Art. 56 GDPR). Operatorul român va interacționa cu ANSPDCP, dar investigațiile pot fi coordonate cu autoritatea din statul membru al procesatorului.

Transferuri către țări terțe: După invalidarea Privacy Shield prin hotărârea Schrems II (C-311/18, 16 iulie 2020), transferurile de date către SUA sau alte țări terțe necesită, pe lângă DPA, și garanții suplimentare — de regulă, clauzele contractuale standard din Decizia 2021/914, completate cu măsuri tehnice suplimentare (criptare, pseudonimizare).

Data Act și Data Governance Act: Regulamentul (UE) 2023/2854 (Data Act) și Regulamentul (UE) 2022/868 (Data Governance Act) introduc noi obligații privind accesul și partajarea datelor care pot genera noi relații operator–persoană împuternicită și, implicit, noi DPA-uri, în special în contextul IoT și al serviciilor cloud.

Dezvoltări legislative 2025-2026

EU Digital Omnibus Package (noiembrie 2025): Comisia Europeană a propus modificări importante la GDPR prin pachetul Digital Omnibus:

  • Extinderea termenului de notificare: Termenul pentru notificarea breșelor de securitate către autoritățile de protecție a datelor se extinde de la 72 la 96 de ore de la luarea la cunoștință
  • Standardizarea DPIA: Evaluările de impact asupra protecției datelor (DPIA) vor fi standardizate la nivel UE prin EDPB, înlocuind listele naționale ale autorităților
  • Clarificări AI: Noi prevederi pentru operatorii care prelucrează date personale în dezvoltarea sistemelor de inteligență artificială

Calendar legislativ: Discuțiile în Consiliu încep în paralel, cu o „abordare generală" așteptată în T1 2026, și negocieri trilogue în T2/T3 2026, adoptarea finală fiind așteptată până la mijlocul anului 2026.

⚠️ Opinie — Modificările propuse prin Digital Omnibus vor afecta clauzele DPA-urilor privind notificarea breșelor și evaluările de impact. Organizațiile ar trebui să monitorizeze adoptarea finală pentru a actualiza acordurile existente.

Jurisprudență națională

Decizii relevante

Decizii favorabile (PRO)

Curtea de Apel Târgu-Mureș, august 2021 — Actamedica SRL Instanța a confirmat amenda de 3.000 EUR aplicată de ANSPDCP unui centru medical pentru încălcarea Art. 12(3), 15(1), 28(1), 32 și 33 GDPR, după pierderea unor probe biologice și a unei sume de bani trimise printr-o firmă de curierat. Instanța a reținut că operatorul nu poate invoca lipsa de responsabilitate pentru acțiunile terților — clauzele contractuale cu alte părți nu sunt opozabile persoanelor vizate care s-au adresat exclusiv operatorului. Operatorul rămâne responsabil pentru implementarea măsurilor tehnice și organizatorice adecvate, chiar și atunci când utilizează serviciile unei persoane împuternicite. Sursa: GDPRhub — ANSPDCP Fine against Actamedica SRL

Curtea de Apel Cluj, Decizia civilă nr. 9, 13 aprilie 2022 — Banca Transilvania SA Instanța a menținut amenda de 100.000 EUR aplicată de ANSPDCP pentru încălcarea Art. 32(1), (2) și Art. 5(1) lit. f) GDPR, după ce angajații băncii au distribuit date personale ale clienților pe WhatsApp. Instanța a reținut că GDPR „a introdus un nivel mult mai înalt de responsabilizare a operatorilor" și că simpla existență a procedurilor interne este insuficientă — operatorul trebuie să dovedească „participarea efectivă a personalului la cursuri de formare" și „aplicarea unei metode de verificare" a cunoștințelor. Lipsa de cunoaștere a procedurilor de manipulare a datelor și incapacitatea de a identifica datele cu caracter personal demonstrează „o lipsă acută de formare eficientă". Sursa: ANSPDCP — Comunicat de presă hotărâre definitivă

ANSPDCP, 28 octombrie 2019 — Fan Courier Express SRL ANSPDCP a aplicat o amendă de 11.000 EUR (52.325,9 lei) pentru încălcarea Art. 32(1) și (2) GDPR, după un incident de securitate care a afectat aproximativ 1.100 de persoane vizate. Autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate riscului, rezultând accesul neautorizat și divulgarea unor date sensibile (numere de carduri, coduri CVV, numere de cont IBAN, documente de identitate). Incidentul demonstrează importanța implementării efective a Art. 32 GDPR, indiferent de complexitatea lanțului de prelucrare. Sursa: JURIDICE.ro — ANSPDCP amendă Fan Courier

Decizii contrare sau limitative (CONTRA)

Curtea de Apel București, dosarul nr. 31192/3/2019 — Inteligo Media SA vs. ANSPDCP În această cauză, instanța a redus amenda inițială de 9.000 EUR la 4.500 EUR. Cazul a fost ulterior trimis la CJUE pentru o hotărâre preliminară (C-654/23), evidențiind complexitatea aplicării GDPR în contextul serviciilor digitale. CJUE a statuat în noiembrie 2025 că atunci când se aplică Art. 13(2) din Directiva ePrivacy, regimul special al acestei directive înlocuiește prevederile Art. 6(1) GDPR privind bazele legale de prelucrare. Acest lucru clarifică relația dintre cele două acte normative în contextul comunicărilor electronice nesolicitate. Sursa: EUR-Lex — Cauza C-654/23

ING Bank N.V. Amsterdam, Artmark Holding, CN TAROM — diverse cauze 2019-2022 Operatorii au contestat cu succes sancțiunile ANSPDCP în instanță. Aceste cazuri demonstrează că nu toate deciziile autorității de supraveghere sunt confirmate — instanțele românești evaluează proporționalitatea sancțiunilor și corectitudinea procedurii administrative. Din totalul de 23 de cauze finalizate până în martie 2023, 5 au fost câștigate de operatori, ceea ce reprezintă o rată de succes de aproximativ 22% pentru contestatari. Sursa: JURIDICE.ro — Soluții definitive în favoarea ANSPDCP

Nuanțe și cazuri speciale

CJUE, Cauza C-683/21, Nacionalinis visuomenės sveikatos centras, 5 decembrie 2023 CJUE a clarificat că o entitate poate fi considerată operator chiar și în absența unui contract formal de achiziție sau de prelucrare, dacă în fapt a determinat scopurile și mijloacele prelucrării. De asemenea, Curtea a confirmat că operatorul este responsabil nu doar pentru prelucrarea pe care o efectuează el însuși, ci și pentru orice altă prelucrare efectuată în numele său, cu excepția cazului în care a obiectat în mod expres și în prealabil la respectiva prelucrare. Această jurisprudență subliniază importanța definirii clare a rolurilor în DPA și a documentării instrucțiunilor operatorului. Sursa: CURIA — C-683/21

CJUE, Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, 5 iunie 2018 Instanța a stabilit că administratorul unei pagini Facebook este operator comun împreună cu Facebook, chiar dacă nu are acces direct la datele personale. Această jurisprudență este esențială pentru distincția între DPA (Art. 28) și acordul de operare comună (Art. 26 GDPR). Sursa: CURIA — C-210/16

Tendințe jurisprudențiale

Analiza jurisprudenței relevante evidențiază câteva tendințe majore:

  1. Responsabilitatea operatorului pentru acțiunile persoanelor împuternicite: Instanțele românești confirmă constant că operatorul nu poate invoca clauzele contractuale cu terții pentru a se exonera față de persoanele vizate (cazul Actamedica). Existența unui DPA nu transferă automat responsabilitatea către procesor.

  2. Importanța formării efective: Simpla adoptare a procedurilor interne nu este suficientă — operatorii trebuie să demonstreze implementarea practică și verificarea cunoștințelor angajaților (cazul Banca Transilvania).

  3. Rata de succes a ANSPDCP în instanță: Aproximativ 78% din sancțiunile ANSPDCP contestate sunt menținute de instanțe, ceea ce indică o aplicare riguroasă și proporțională a regulamentului.

  4. Clarificări CJUE privind calificarea: Jurisprudența europeană oferă ghidaj pentru distincția între operator, persoană împuternicită și operatori comuni — elemente esențiale pentru redactarea corectă a DPA-urilor.

  5. Evoluție spre responsabilizare crescută: Tendința europeană, confirmată de CJUE în 2023, este de a extinde responsabilitatea operatorului pentru toate prelucrările efectuate în numele său, consolidând importanța DPA-urilor bine redactate.

Aspecte speciale și cazuri complexe

Lanțuri lungi de sub-împuterniciri

În practică, lanțurile de sub-procesatori pot fi foarte lungi (de ex., operator → cloud provider → sub-procesor infrastructură → furnizor backup). GDPR nu stabilește o limită legală pentru adâncimea lanțului, dar Art. 28 alin. (4) prevede că procesatorul principal rămâne „pe deplin responsabil" față de operator pentru toți sub-împuterniciții.

Riscuri practice: cu cât lanțul e mai lung, cu atât e mai greu de monitorizat conformitatea; fiecare verigă trebuie să aibă propriul DPA cu aceleași obligații; operatorul are drept de audit asupra întregului lanț. Recomandare EDPB: operatorul ar trebui să primească o hartă completă a sub-procesatorilor (inclusiv cei de nivel 2, 3 etc.) și să poată obiecta la orice nouă adăugare.

Interacțiunea DPA cu AI Act (Regulamentul UE 2024/1689)

Regulamentul privind inteligența artificială intrat în vigoare în august 2024 creează obligații suplimentare când procesatorul folosește sisteme AI pentru prelucrarea datelor. Conform Art. 10 AI Act, sistemele AI de risc ridicat necesită: date de instruire de calitate înaltă, documentare tehnică detaliată, și jurnalizare automată a evenimentelor.

Pentru DPA-uri, aceasta înseamnă: operatorul trebuie să fie informat dacă procesatorul folosește AI pentru prelucrare (de ex., clasificare automată, profilare); DPA-ul ar trebui să prevadă cerințe de transparență privind algoritmii folosiți și evaluarea riscului specific AI; pentru sisteme AI de risc ridicat (de ex., analiză CV-uri, scoring clienți), pot fi necesare clauze suplimentare de evaluare a impactului conform Art. 27 AI Act.

Răspunderea penală pentru sustragerea de date

Dacă un angajat al persoanei împuternicite sustrage date cu caracter personal și le divulgă terților, se pot angaja atât răspunderea administrativă GDPR, cât și răspunderea penală. Conform Codului Penal:

  • Art. 360 — Divulgarea informațiilor secrete de serviciu: aplicabil dacă angajatul avea obligație de confidențialitate
  • Art. 325 — Accesul ilegal la un sistem informatic: aplicabil dacă angajatul a depășit drepturile de acces acordate
  • Art. 227 — Furtul: aplicabil în cazul sustragerii suportului fizic (hard disk, USB) conținând datele

Operatorul poate depune plângere penală direct, fără a fi necesar să acționeze prin persoana împuternicită. De asemenea, operatorul poate solicita despăgubiri civile de la procesator pentru încălcarea obligațiilor din DPA și de la angajatul vinovat pe bază de fapt ilicit (Art. 1357 Cod Civil).

Sursa: Codul Penal — Legea 286/2009

Nivelul de formalism pentru instrucțiunile documentate

Art. 29 GDPR cere ca procesatorul să acționeze „la instrucțiunile operatorului", iar Art. 28 alin. (3) lit. (a) precizează că acestea trebuie să fie „documentate". Nu există un ghidaj ANSPDCP explicit privind formalismul necesar, dar practica arată:

  • E-mailurile și ticketele de suport sunt acceptate ca documentare, dacă sunt clare și păstrate sistematic
  • Pentru instrucțiuni complexe sau sensibile (de ex., ștergerea în masă a datelor, modificări ale parametrilor de securitate), se recomandă formulare semnate sau procese-verbale
  • Best practice: DPA-ul să prevadă procedura de transmitere a instrucțiunilor (cine este persoana autorizată din partea operatorului, ce canal se folosește, confirmare de primire)

EDPB subliniază că esențial nu e formalismul, ci demonstrabilitatea: în caz de audit, operatorul trebuie să poată dovedi ce instrucțiuni a dat și când.

Întrebări frecvente

Trebuie un DPA dacă furnizorul meu de servicii este în afara UE? Da, și chiar mai mult — pe lângă DPA, va fi necesară și o bază legală pentru transferul internațional de date (Art. 44-49 GDPR), cum ar fi clauzele contractuale standard pentru transfer (diferite de cele pentru DPA).

Un furnizor de hosting este persoană împuternicită? De regulă, da — dacă are acces tehnic la datele cu caracter personal stocate pe serverele sale, chiar dacă nu le accesează în mod activ. Dacă furnizorul oferă doar infrastructură fără nicio posibilitate de acces la conținut, situația poate fi diferită.

Pot folosi modelul standard al Comisiei Europene ca DPA? Da. Clauzele contractuale standard din Decizia (UE) 2021/915 pot fi folosite ca atare sau completate cu prevederi suplimentare. Nu pot fi însă modificate în sensul reducerii nivelului de protecție.

Cine este responsabil dacă procesatorul provoacă o breșă de securitate? Persoana vizată poate solicita despăgubiri atât operatorului, cât și persoanei împuternicite (Art. 82 GDPR). Intern, responsabilitățile sunt stabilite prin DPA. Procesatorul este exonerat doar dacă dovedește că nu este responsabil în niciun fel de eveniment.

Este suficient un DPA semnat electronic? Da. Art. 28 alin. (9) GDPR permite explicit forma electronică.

Poate o persoană fizică autorizată (PFA) sau întreprindere individuală să fie persoană împuternicită? Da. GDPR definește persoana împuternicită ca „persoană fizică sau juridică" (Art. 4 pct. 8), deci un PFA sau II poate acționa legal ca procesator. Totuși, operatorul trebuie să verifice „garanțiile suficiente" pentru măsuri tehnice și organizatorice (Art. 28 alin. 1). În practică, pentru PFA/II este recomandat: asigurare de răspundere civilă profesională pentru acoperirea eventualelor daune conform Art. 82 GDPR, măsuri de securitate documentate (criptare, backup-uri, control acces), și clauze clare în DPA privind limitarea răspunderii și garanțiile financiare.

Ce se întâmplă cu obligațiile DPA când procesatorul intră în insolvență? Legea nr. 85/2014 privind procedura insolvenței nu prevede excepții pentru obligațiile GDPR. În practică: datele cu caracter personal rămân protejate chiar și în insolvență — administratorul judiciar preia obligația de respectare a GDPR; operatorul trebuie să acționeze rapid pentru recuperarea sau ștergerea datelor (Art. 28 alin. 3 lit. g); DPA-ul ar trebui să prevadă clauze de reziliere anticipată în caz de insolvență și o procedură de transfer urgent al datelor. Operatorul nu poate invoca insolvența procesatorului pentru a se exonera față de persoanele vizate.

Este necesar DPA pentru un furnizor IaaS cu criptare end-to-end controlată de operator? Dacă operatorul deține exclusiv cheile de criptare și furnizorul nu are nicio posibilitate tehnică de a accesa datele în clar (true end-to-end encryption), există argumente că furnizorul nu „prelucrează" date în sensul GDPR — ci doar oferă infrastructură. EDPB nu a emis încă un ghidaj definitiv pe această temă. În practică, recomandarea majorității juriștilor este să se încheie totuși un DPA adaptat, care să clarifice lipsa accesului la date și responsabilitățile limitate ale furnizorului. Această abordare prudenţială protejează operatorul în caz de audit ANSPDCP.

Cum funcționează dreptul de audit când procesatorul este un furnizor cloud global? Art. 28 alin. (3) lit. (h) GDPR cere să permită „inspecții, inclusiv la fața locului". Furnizorii cloud mari (AWS, Azure, Google Cloud) refuză de obicei audituri on-site directe din motive de securitate și confidențialitate. Alternative acceptate de ANSPDCP și EDPB: certificări ISO 27001, SOC 2 Type II, rapoarte de audit independente (third-party attestations), dreptul de a desemna un auditor independent acceptat de ambele părți, vizite la data centers în condiții controlate și cu preaviz. DPA-ul ar trebui să prevadă explicit aceste mecanisme alternative de verificare.

Pentru IMM-uri, DPA-urile standard ale furnizorilor cloud sunt negociabile? În general, nu. Google Workspace, Microsoft 365, Salesforce și alți furnizori de masă oferă DPA-uri standard „take-it-or-leave-it". Un operator mic nu are putere de negociere. Ce poate face un IMM român: verifica dacă DPA-ul standard respectă Art. 28 alin. (3) GDPR (majoritatea furnizorilor mari respectă cerințele minime); documentează în scris acceptarea DPA-ului și păstrează o copie; completează cu măsuri proprii de securitate (criptare locală, backup separat) pentru datele critice; evaluează alternative locale sau europene pentru date sensibile (de ex., salarii, dosare medicale). ANSPDCP recunoaște această realitate și nu sancționează operatorii mici pentru lipsa de negociere dacă furnizorul oferă un DPA conform.

Referințe

  1. Regulamentul (UE) 2016/679 (GDPR), Art. 28, 29, 32, 82, 83 — EUR-Lex
  2. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 — legislatie.just.ro
  3. Decizia de punere în aplicare (UE) 2021/915 privind clauzele contractuale standard — EUR-Lex
  4. EDPB Guidelines 07/2020 on the concepts of controller and processor, versiunea 2.0, iulie 2021 — EDPB
  5. ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — dataprotection.ro