Incidente de Securitate și Notificarea Încălcărilor (Data Breach)

📅Creat: 14 februarie 2026
✏️Actualizat: acum 1 lună

Incidente de Securitate și Notificarea Încălcărilor (Data Breach)

Pe scurt

O încălcare a securității datelor cu caracter personal (data breach) este orice incident care provoacă distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date personale. GDPR impune operatorilor obligația de a notifica ANSPDCP în termen de 72 de ore de la conștientizarea incidentului, dacă încălcarea prezintă un risc pentru drepturile persoanelor vizate. Nereportarea la timp poate atrage amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală.

Definiția încălcării de securitate

Conform Art. 4(12) GDPR, o încălcare a securității datelor personale este:

Art. 4(12) din Regulamentul (UE) 2016/679 — „o încălcare a securității care duce, în mod accidental sau ilicit, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în orice alt mod"

Sursa: Regulamentul (UE) 2016/679 (GDPR)

Exemple de încălcări de securitate

Breșele de securitate pot lua diverse forme:

  • Atacuri cibernetice — hackeri care accesează baze de date cu clienți, angajați sau parteneri
  • Dispozitive pierdute sau furate — laptop-uri, USB-uri, telefoane mobile care conțin date personale necriptate
  • Erori umane — trimiterea unui email cu date personale către destinatari greșiți
  • Acces neautorizat intern — angajați care accesează sau folosesc ilegal date personale fără autorizare
  • Ransomware — criptarea datelor de către atacatori cu cereri de răscumpărare
  • Divulgare accidentală — publicarea din greșeală a unor liste cu date personale pe site-uri web

Obligații legale după o încălcare de securitate

1. Notificarea către ANSPDCP (Art. 33 GDPR)

Termenul: 72 de ore de la conștientizarea breșei.

Art. 33(1) GDPR — „În cazul unei încălcări a securității datelor cu caracter personal, operatorul notifică încălcarea autorității de supraveghere competente [...] fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil ca această încălcare a securității datelor cu caracter personal să genereze un risc pentru drepturile și libertățile persoanelor fizice."

Sursa: GDPR Art. 33

Exceptare de la obligația de notificare: Dacă încălcarea este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor vizate, nu este necesară notificarea. Totuși, operatorul trebuie să documenteze intern toate breșele, indiferent dacă le raportează sau nu.

Conținutul notificării către ANSPDCP

Conform Art. 33(3) GDPR, notificarea trebuie să conțină:

  1. Natura încălcării — descrierea incidentului, categoriile de date afectate și numărul aproximativ de persoane vizate
  2. Date de contact — numele și datele de contact ale responsabilului cu protecția datelor (DPO) sau alt punct de contact
  3. Consecințele probabile — ce impact ar putea avea încălcarea asupra persoanelor afectate
  4. Măsuri adoptate sau propuse — ce acțiuni a luat operatorul pentru a gestiona breșa și a reduce efectele negative

Dacă nu este posibil să furnizați toate informațiile în 72 de ore, acestea pot fi transmise în etape, fără întârzieri nejustificate suplimentare.

Cum se notifică ANSPDCP în România

Notificarea se face prin formularul online al ANSPDCP:

Important: ANSPDCP poate deschide o investigație din oficiu în urma notificării de încălcare a securității datelor, conform Procedurii ANSPDCP privind investigațiile (Art. 3 lit. d).

2. Notificarea persoanelor vizate (Art. 34 GDPR)

Dacă încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul trebuie să informeze și persoanele afectate, fără întârziere.

Art. 34(1) GDPR — „Atunci când este probabil ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul comunică persoanei vizate această încălcare fără întârzieri nejustificate."

Sursa: GDPR Art. 34

Conținutul comunicării către persoanele vizate

Comunicarea trebuie să fie clară și în limbaj simplu, și să includă:

  • Natura încălcării — ce date au fost compromise
  • Riscurile potențiale — ce consecințe ar putea suferi persoanele afectate (ex: furt de identitate, fraudă)
  • Măsuri recomandate — pași pe care persoanele vizate îi pot lua pentru a se proteja
  • Date de contact — cum pot obține informații suplimentare

Excepții de la obligația de notificare către persoane

Nu este necesară notificarea persoanelor afectate dacă:

  1. Datele sunt criptate — măsurile tehnice de protecție (cum ar fi criptarea) fac datele inintelligibile pentru terți
  2. Riscul a fost eliminat — operatorul a luat măsuri ulterioare care elimină riscul ridicat
  3. Efort disproporționat — ar necesita un efort disproporționat (ex: milioane de persoane afectate); în acest caz, se face o comunicare publică prin care persoanele sunt informate într-un mod la fel de eficient

⚠️ Atenție: Criptarea cu cheia compromisă NU califică pentru exceptare

Dacă cheia de criptare a fost compromisă împreună cu datele criptate, excepția de la notificarea persoanelor vizate NU mai este aplicabilă.

Conform Art. 34(3)(a) GDPR, excepția se aplică doar când criptarea „face datele cu caracter personal inintelligibile pentru orice persoană care nu este autorizată să le acceseze". Dacă atacatorii au obținut atât baza de date criptată cât și cheia de decriptare, datele NU mai sunt inintelligibile pentru ei.

Principii EDPB:

  • Criptarea trebuie să fie robustă și implementată corect
  • Cheia de criptare trebuie să rămână confidențială — dacă cheia este compromisă, datele devin descifrabile
  • Dacă există dovezi sau suspiciuni că cheia a fost accesată de atacatori, operatorul trebuie să notifice persoanele vizate
  • Chiar dacă ulterior se descoperă că cheia a fost compromisă (după ce operatorul a decis inițial că nu este necesară notificarea), notificarea devine obligatorie

Sursa: GDPR Article 34 și EDPB Guidelines on personal data breach notification

3. Rolul persoanei împuternicite de operator (procesor)

Dacă încălcarea apare la un procesor de date (ex: furnizor IT, platformă cloud), acesta are obligația să notifice imediat operatorul (clientul său).

Art. 33(2) GDPR — „Persoana împuternicită de operator notifică operatorul fără întârzieri nejustificate după ce ia cunoștință de încălcarea securității datelor cu caracter personal."

Operatorul (nu procesorul) este cel care notifică ANSPDCP și persoanele vizate.

Când începe termenul de 72 de ore pentru operator?

O întrebare practică esențială: dacă procesorul notifică operatorul târziu (de exemplu, la ora 60 din termenul de 72 de ore de la conștientizarea breșei), are operatorul doar 12 ore rămase sau începe un nou termen de 72 de ore?

Răspuns conform EDPB Guidelines 9/2022: Termenul de 72 de ore începe să curgă pentru operator din momentul în care OPERATORUL ia cunoștință de breșă, nu din momentul în care procesorul a descoperit-o. Aceasta înseamnă că operatorul are propriul termen de 72 de ore, DIFERIT de momentul descoperirii de către procesor.

Implicații practice:

  • Procesorul trebuie să notifice operatorul „fără întârzieri nejustificate" (GDPR nu stabilește un termen explicit pentru procesori)
  • EDPB recomandă ca procesorul să notifice prompt, furnizând informații în etape pentru a ajuta operatorul să respecte termenul de 72 de ore
  • Contractul dintre operator și procesor ar trebui să specifice termene concrete pentru notificarea timpurie de către procesor (de exemplu, „în maximum 24 de ore de la conștientizare")

Sursa: EDPB Guidelines 9/2022 on personal data breach notification under GDPR, versiunea 2.0, adoptată la 28 martie 2023

Aspecte practice

Cum să vă pregătiți pentru un incident de securitate

  1. Plan de răspuns la incidente — Elaborați o procedură internă clară:

    • Cine identifică și raportează intern incidentul?
    • Cine evaluează riscul și ia decizia de notificare?
    • Cine comunică cu ANSPDCP și persoanele vizate?

  2. Registru intern al încălcărilorArt. 33(5) GDPR impune operatorilor să țină un registru scris cu toate încălcările, chiar dacă nu le raportează către ANSPDCP. Acest registru trebuie să conțină:

    • Faptele legate de încălcare
    • Efectele încălcării
    • Măsurile corective adoptate

  3. Măsuri tehnice și organizatorice (Art. 32 GDPR) — Prevenirea este esențială:

    • Criptare — protejează datele chiar dacă sunt accesate neautorizat
    • Pseudonimizare — reduce riscul identificării persoanelor
    • Backup-uri regulate — permit recuperarea datelor în caz de ransomware
    • Controale de acces — limitează cine poate accesa datele
    • Instruirea angajaților — majoritatea breșelor sunt cauzate de erori umane

  4. Testarea planului — Efectuați simulări de incidente pentru a verifica dacă echipa poate reacționa în termenul de 72 de ore.

Greșeli frecvente

  • Întârzierea notificării — Termenul de 72 de ore este strict. Chiar dacă nu aveți toate informațiile, trebuie să notificați ANSPDCP și să transmiteți detalii suplimentare ulterior.
  • Subestimarea riscului — Multe companii consideră că o breșă minoră nu necesită raportare, dar ANSPDCP poate avea o altă perspectivă. În caz de îndoială, raportați.
  • Lipsa documentării — Chiar dacă nu raportați ANSPDCP, trebuie să documentați intern fiecare incident. ANSPDCP poate solicita acest registru la control.
  • Comunicare insuficientă către persoane — Dacă notificați persoanele afectate, fiți transparenți și practici. Evitați limbajul juridic complex.

Sancțiuni pentru nerespectarea obligațiilor

Art. 83(4)(a) GDPR prevede amenzi de până la:

  • 10 milioane EUR sau
  • 2% din cifra de afaceri globală anuală (se aplică valoarea mai mare)

pentru nenotificarea sau notificarea cu întârziere a ANSPDCP sau a persoanelor vizate.

ANSPDCP poate aplica sancțiuni suplimentare:

  • Avertismente și mustrări
  • Suspendarea temporară sau permanentă a prelucrării datelor
  • Ordine de conformare cu măsuri corective specifice

Răspundere penală în România pentru încălcări de securitate?

Legea nr. 190/2018 (legea de implementare a GDPR în România) NU prevede sancțiuni penale pentru încălcările de securitate a datelor personale. Această lege conține exclusiv sancțiuni administrative (avertismente și amenzi contravenţionale de până la 200.000 lei pentru autorități publice).

Când pot apărea infracțiuni în context de breșe de date:

Încălcările de securitate pot antrena răspundere penală în România doar dacă sunt asociate cu infracțiuni cibernetice prevăzute în Codul Penal sau legi speciale, cum ar fi:

  • Accesul ilegal la un sistem informatic (Art. 360 Cod Penal) — pedeapsă cu închisoarea de la 1 la 5 ani
  • Transferul neautorizat de date informatice (Art. 362 Cod Penal) — pedeapsă cu închisoarea de la 1 la 5 ani
  • Frauda informatică (Art. 249 Cod Penal) — pedeapsă cu închisoarea de la 2 la 7 ani
  • Sabotajul informatic (ștergerea sau alterarea datelor) — pedeapsă cu închisoarea de la 3 la 12 ani

Important: Simpla nerespectare a obligației de notificare GDPR (neraportarea unei breșe în 72 de ore sau nenotificarea persoanelor vizate) NU constituie infracțiune penală în România — este doar contravenție administrativă sancționată de ANSPDCP.

Surse: Legea nr. 190/2018 și Codul Penal (Art. 360-362)

Practică și opinii

⚠️ Opinie specialistă — Iorgulescu Legal „Data breaches are inevitable, but non-compliance is not. Romanian businesses must take a proactive approach to GDPR compliance, ensuring that they are prepared to respond within the legal timeframe, protect affected individuals, and demonstrate accountability to regulators. Missing the 72-hour deadline can result in fines of up to €10 million or 2% of the company's global annual turnover, whichever is higher."

Sursa: Data breaches in Romania: legal obligations and response under GDPR, Iorgulescu Legal, iunie 2025

Exemple de sancțiuni aplicate de ANSPDCP

ANSPDCP a devenit din ce în ce mai proactivă în investigarea breșelor și aplicarea sancțiunilor pentru:

  • Întârzieri în raportarea breșelor în termenul de 72 de ore
  • Lipsa măsurilor de criptare adecvate pentru datele personale
  • Monitorizarea ilicită a angajaților fără justificare legală
  • Lipsa registrelor complete ale activităților de prelucrare

Sancțiunile financiare pot ajunge la milioane de euro, iar impactul reputațional și pierderea încrederii clienților pot fi și mai grave.

Legislație europeană

Regulamentul General privind Protecția Datelor (GDPR)

Obligațiile de notificare a încălcărilor de securitate sunt reglementate direct de Regulamentul (UE) 2016/679 (GDPR), care se aplică direct în România și în toate statele membre UE.

Art. 33(1) GDPR — „În cazul unei încălcări a securității datelor cu caracter personal, operatorul notifică încălcarea autorității de supraveghere competente [...] fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil ca această încălcare a securității datelor cu caracter personal să genereze un risc pentru drepturile și libertățile persoanelor fizice."

Sursa: Regulamentul (UE) 2016/679 (GDPR), Art. 33

Art. 34(1) GDPR — „Atunci când este probabil ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul comunică persoanei vizate această încălcare fără întârzieri nejustificate."

Sursa: Regulamentul (UE) 2016/679 (GDPR), Art. 34

Termenul de 72 de ore și condițiile de notificare sunt identice în toate statele membre UE — GDPR fiind un regulament (nu directivă), se aplică direct și uniform în întreaga Uniune Europeană.

Ghidurile EDPB privind notificarea încălcărilor

Comitetul European pentru Protecția Datelor (EDPB) a emis Guidelines 9/2022 pentru a clarifica aplicarea uniformă a obligațiilor de notificare în toată UE.

Principii cheie din Guidelines 9/2022:

  1. Când începe termenul de 72 de ore — Operatorul devine "conștient" de încălcare atunci când există un grad rezonabil de certitudine că un incident de securitate a dus la o breșă de date personale. Nu este suficient să spuneți "nu am știut" — trebuie să aveți mecanisme adecvate de detectare și monitorizare.

  2. Obligația procesorilor — Procesorul trebuie să notifice operatorul fără întârziere nejustificată după ce ia cunoștință de breșă. EDPB recomandă notificarea promptă, cu informații furnizate în etape, pentru a ajuta operatorul să respecte termenul de 72 de ore.

  3. Notificare în faze — Dacă nu aveți toate informațiile în 72 de ore, trebuie să notificați cu informațiile disponibile și să transmiteți detalii suplimentare ulterior, fără întârzieri nejustificate.

  4. Documentarea breșelorArt. 33(5) GDPR impune documentarea tuturor încălcărilor, chiar dacă nu le raportați către autoritatea de supraveghere. Acest registru trebuie să conțină: faptele legate de încălcare, efectele încălcării, măsurile corective adoptate.

Sursa: EDPB Guidelines 9/2022 on personal data breach notification under GDPR, versiunea 2.0, adoptată la 28 martie 2023

Ghidurile EDPB 01/2021 — Exemple practice de notificare

EDPB a publicat Guidelines 01/2021 care conțin 18 exemple concrete de breșe de date și când trebuie notificate:

  • Atacuri ransomware în spitale — risc ridicat, notificare obligatorie și către ANSPDCP și către persoane
  • Dispozitive pierdute/furate — dacă datele sunt criptate adecvat, nu este necesar să notificați persoanele vizate
  • Emailuri trimise greșit — depinde de sensibilitatea datelor și destinatarii
  • Exfiltrare de parole — risc ridicat, notificare obligatorie
  • Indisponibilitate temporară — depinde de impact (ex: un spital vs. o companie media)

Pentru fiecare exemplu, ghidurile analizează: măsurile de securitate existente, evaluarea riscului, și eficacitatea măsurilor de atenuare.

Sursa: EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification

Transpunerea în dreptul român

România a transpus GDPR prin Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679. Această lege completează GDPR cu măsuri naționale, dar articolele 33 și 34 GDPR se aplică direct — nu au fost modificate sau adaptate la nivel național.

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) este autoritatea de supraveghere competentă pentru România. ANSPDCP a aprobat formularul oficial de notificare prin Decizia nr. 128/2018.

Aspecte specifice României:

  • Formularul de notificare ANSPDCP: https://www.dataprotection.ro/?page=pagina_formular_679
  • ANSPDCP poate deschide investigații din oficiu în urma notificării unei breșe
  • Sancțiunile maxime sunt identice cu GDPR: până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală

Sursa: Legea nr. 190/2018 și ANSPDCP — Data Breach Notification

Jurisprudență CJUE

Cauza C-340/21, VB vs. Natsionalna agentsia za prihodite (Bulgaria) — Hotărâre din 14 decembrie 2023

Aceasta este prima hotărâre CJUE privind securitatea datelor și responsabilitatea pentru breșe în contextul GDPR.

Fapte: Agenția fiscală din Bulgaria a suferit un atac cibernetic care a expus datele a peste 6 milioane de persoane. Un subiect al datelor a solicitat despăgubiri pentru daune non-materiale, invocând frica de utilizare abuzivă viitoare a datelor sale personale.

Concluzii cheie ale CJUE:

  1. Răspunderea operatorului — Simplul fapt că a avut loc o breșă nu dovedește automat că măsurile de securitate au fost inadecvate. Operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate și proporționale cu riscul, dar GDPR nu impune prevenirea absolută a breșelor — doar prevenirea "dacă este posibil".

  2. Sarcina probei — Operatorul poartă sarcina de a dovedi că a implementat măsuri de securitate adecvate conform Art. 32 GDPR. Operatorul rămâne răspunzător chiar dacă breșa a fost cauzată de terți (hackeri), cu excepția cazului în care demonstrează că nu există legătură cauzală între încălcarea GDPR și dauna suferită.

  3. Daune non-materialeFrica subiectului datelor privind posibila utilizare abuzivă viitoare a datelor sale reprezintă o daună non-materială compensabilă conform Art. 82 GDPR.

  4. Impact asupra notificării conform Art. 33 — Curtea a observat că agenția fiscală bulgară a notificat breșa autorității de supraveghere și autorităților de aplicare a legii, precum și a permis subiecților datelor să verifice dacă datele lor au fost expuse, procedând conform Art. 33 și 34 GDPR.

Cauza C-340/21, VB vs. Natsionalna agentsia za prihodite — CJUE (Camera a Treia), 14 decembrie 2023

Sursa: CJEU C-340/21 pe GDPRhub și EUR-Lex

Implicații practice:

  • Operatorii trebuie să documenteze măsurile de securitate implementate pentru a dovedi conformitatea
  • Rapoartele de expertiză singure nu sunt suficiente — trebuie dovezi concrete ale implementării
  • Această hotărâre facilitează acțiunile colective împotriva operatorilor în cazul breșelor de date
  • Notificarea promptă conform Art. 33 și 34 GDPR este esențială pentru a demonstra conformitatea

Aspecte practice din perspectivă europeană

Mecanismul „One-Stop-Shop" pentru încălcări transfrontaliere

Pentru organizațiile care desfășoară prelucrări transfrontaliere în UE (adică au sediul principal într-un stat membru și prelucrează date în mai multe state membre), Art. 56 GDPR stabilește mecanismul "one-stop-shop":

  • Trebuie să notificați autoritatea de supraveghere principală (lead supervisory authority) din statul membru unde este sediul principal al organizației
  • Autoritatea principală coordonează cu celelalte autorități de supraveghere afectate
  • Dacă breșa afectează substanțial doar persoane dintr-un singur stat membru, autoritatea locală poate prelua cazul

Exemplu practic — Operator român cu infrastructură AWS Irlanda:

O companie cu sediul în România folosește servere AWS Ireland pentru găzduirea datelor clienților. În caz de breșă:

  1. Unde este sediul principal? — România (unde compania ia decizii privind scopurile și mijloacele prelucrării)
  2. Cui trebuie notificată breșa?ANSPDCP (autoritatea principală română)
  3. AWS Irlanda notifică și DPC (Data Protection Commission) din Irlanda?Nu, dacă AWS acționează ca procesor pentru compania română. AWS notifică compania română (operatorul), care apoi notifică ANSPDCP.
  4. Se notifică și autoritățile din alte state membre? — Dacă breșa afectează persoane din mai multe state UE, ANSPDCP coordonează cu autoritățile de supraveghere din statele respective (mecanismul de cooperare dintre autoritățile UE)

IMPORTANT: Sediul serverelor (AWS Irlanda) nu determină autoritatea competentă — contează sediul operatorului de date (unde se iau deciziile de prelucrare).

Surse: GDPR Art. 56, EDPB — How to notify a data breach, și One-Stop-Shop mechanism

Aplicabilitate teritorială și valabilitate în UE

  • Hotărârile CJUE sunt obligatorii și aplicabile uniform în toate statele membre UE
  • Ghidurile EDPB nu sunt obligatorii juridic, dar reprezintă interpretarea comună a autorităților de supraveghere din UE și sunt urmate de ANSPDCP
  • Notificările către ANSPDCP pentru breșe în România au aceeași valoare și consecințe ca notificările către orice altă autoritate UE

Modificări viitoare la nivel european

La începutul anului 2026, nu există modificări legislative planificate ale Art. 33 și 34 GDPR. Comisia Europeană monitorizează aplicarea GDPR și poate propune revizuiri în viitor, dar termenul de 72 de ore și cadrul general de notificare rămân stabile.

Evoluții relevante:

  • AI Act (Regulamentul UE 2024/1689) introduce obligații suplimentare de notificare a incidentelor grave pentru sistemele AI de înalt risc
  • NIS2 Directive (transpusă în România prin OUG 155/2024 și Legea 124/2025) impune obligații de raportare a incidentelor de securitate cibernetică pentru entitățile critice, în paralel cu GDPR
  • Coordonarea între notificarea GDPR (către ANSPDCP) și notificarea NIS2 (către CERT-RO) este esențială pentru entitățile care cad sub ambele regimuri

Sursa: EDPB Guidelines 9/2022

Coordonarea GDPR și NIS2 — Notificări duale pentru incidente cibernetice

Entitățile care intră sub incidența ambelor regimuri (GDPR și NIS2) trebuie să notifice atât ANSPDCP cât și CERT-RO/DNSC în cazul unui incident de securitate care afectează date personale.

Diferențe cheie:

Aspect GDPR (Art. 33) NIS2 (OUG 155/2024)
Autoritate ANSPDCP CERT-RO / DNSC
Termen notificare 72 ore de la conștientizare 24 ore (notificare preliminară), raport complet în 72 ore
Pragul de raportare Risc pentru drepturile persoanelor vizate Incident semnificativ de securitate cibernetică
Aplicabilitate Toate entitățile care prelucrează date personale Entități esențiale și importante (energie, transport, sănătate, finanțe, infrastructură digitală, etc.)

Procedură practică pentru notificare duală:

  1. Evaluați dacă incidentul declanșează ambele regimuri:

    • Afectează date personale? → GDPR
    • Afectă servicii critice/esențiale? → NIS2

  2. Notificați CERT-RO (pentru NIS2): https://cert.ro24 ore notificare preliminară

  3. Notificați ANSPDCP (pentru GDPR): https://www.dataprotection.ro72 ore

  4. Nu există formular unificat în România la începutul anului 2026 — trebuie făcute două notificări separate

La nivel european, Comisia Europeană a propus prin pachetul Digital Omnibus (2025) un mecanism „report once, share many" pentru a simplifica notificările care cad sub multiple regimuri (GDPR, NIS2, eIDAS, DORA, CER). Acest mecanism va permite depunerea unei singure notificări care va fi distribuită automat către autoritățile competente, dar nu este încă implementat în practică.

Surse: NIS2 Directive, OUG 155/2024, EU Digital Omnibus package

Jurisprudență națională

Specificul jurisprudenței în materia notificării încălcărilor GDPR

Obligațiile de notificare a încălcărilor de securitate (Art. 33-34 GDPR) sunt în primul rând o chestiune de drept administrativ, aplicată de ANSPDCP prin sancțiuni administrative. Din această cauză, jurisprudența instanțelor române în această materie specifică este încă limitată.

Instanțele române ar putea fi sesizate în următoarele situații:

  1. Contestarea sancțiunilor ANSPDCP — Operatorii sancționați de ANSPDCP pentru nerespectarea obligațiilor de notificare pot contesta decizia în contencios administrativ (conform Legii nr. 554/2004). Până în prezent, astfel de cazuri nu sunt publicate în mod semnificativ în bazele de date de jurisprudență.

  2. Acțiuni în despăgubire — Persoanele afectate de încălcări pot introduce acțiuni civile pentru daune materiale sau morale (Art. 82 GDPR). Jurisprudența românească în această materie este în curs de formare, GDPR fiind relativ recent (2018).

  3. Infracțiuni legate de date personale — Încălcări grave pot antrena răspundere penală conform Legii nr. 190/2018. Dosarele penale nu sunt întotdeauna publicate în bazele de date de jurisprudență civilă.

Jurisprudența europeană relevantă

Cea mai importantă jurisprudență pentru notificarea încălcărilor provine din Curtea de Justiție a Uniunii Europene (CJUE), care este obligatorie și aplicabilă direct în România:

Cauza C-340/21, VB vs. Natsionalna agentsia za prihodite (Bulgaria) — CJUE, 14 decembrie 2023

Aceasta este prima hotărâre CJUE privind răspunderea operatorilor pentru încălcări de securitate. Curtea a stabilit că:

  • Operatorul poartă sarcina probei că a implementat măsuri de securitate adecvate (Art. 32 GDPR)
  • Simplul fapt că a avut loc o breșă nu dovedește automat neglijența operatorului
  • Frica persoanei vizate privind utilizarea abuzivă viitoare a datelor reprezintă o daună compensabilă conform Art. 82 GDPR
  • Notificarea promptă conform Art. 33 și 34 GDPR este esențială pentru a demonstra conformitatea și poate reduce răspunderea operatorului

Sursa: CJEU C-340/21

Practică administrativă ANSPDCP

ANSPDCP publică periodic sancțiuni aplicate pentru încălcări GDPR, inclusiv pentru nerespectarea obligațiilor de notificare. Aceste decizii administrative constituie practică relevantă pentru interpretarea Art. 33-34 GDPR în România:

  • Întârzieri în notificare — sancțiuni pentru depășirea termenului de 72 de ore
  • Notificări incomplete — sancțiuni pentru lipsa informațiilor obligatorii din Art. 33(3) GDPR
  • Nenotificarea persoanelor vizate — sancțiuni pentru încălcarea Art. 34 GDPR când riscul a fost ridicat

Sursa: ANSPDCP — Sancțiuni GDPR

Concluzie

Pentru materia notificării încălcărilor GDPR, jurisprudența CJUE (în special Cauza C-340/21) și practicile ANSPDCP constituie sursele principale de ghidare pentru operatorii din România. Pe măsură ce legislația GDPR devine mai matură, este de așteptat că instanțele române vor dezvolta o jurisprudență mai substanțială în această materie, în special prin contestații ale sancțiunilor ANSPDCP și acțiuni în despăgubire intentate de persoanele afectate de încălcări.

Întrebări frecvente

1. Ce înseamnă "a luat cunoștință de încălcare"?

Termenul de 72 de ore începe să curgă din momentul în care organizația ar fi trebuit în mod rezonabil să conștientizeze că a avut loc o breșă. Nu este suficient să spuneți "nu am știut" — trebuie să aveți mecanisme de detectare și monitorizare.

2. Trebuie să raportez orice incident de securitate?

Nu. Raportați doar dacă există risc pentru drepturile persoanelor vizate. Totuși, documentați intern toate incidentele, indiferent de gravitate.

3. Ce se întâmplă dacă procesorul nostru (furnizorul IT) a cauzat breșa?

Procesorul vă notifică imediat, dar dvs. (operatorul) sunteți responsabil pentru notificarea ANSPDCP. Contractul cu procesorul trebuie să prevadă această obligație.

4. Cum calculez termenul de 72 de ore?

Termenul se calculează din momentul conștientizării, nu din momentul în care a avut loc incidentul. Dacă aflați vineri la 18:00, termenul expiră luni la 18:00 (72 de ore continue, inclusiv weekend).

5. Ce risc justifică notificarea persoanelor vizate?

Un risc ridicat înseamnă situații precum:

  • Date financiare sau de sănătate compromise
  • Risc de furt de identitate sau fraudă
  • Date de copii
  • Date care ar putea duce la discriminare sau prejudicii grave

6. Pot amâna notificarea pentru a investiga incidentul mai întâi?

Nu. Termenul de 72 de ore este imperativ. Notificați cu informațiile disponibile și transmiteți detalii suplimentare în etape pe măsură ce investigați.

7. Ce se întâmplă dacă ANSPDCP consideră că nu trebuia să notific?

Este preferabil să raportați din precauție. ANSPDCP nu va sancționa raportările făcute cu bună-credință, chiar dacă decide ulterior că riscul a fost subestimat.

8. Există proceduri simplificate pentru microîntreprinderi și PFA-uri?

Nu. GDPR nu prevede praguri diferite, proceduri simplificate sau excepții pentru microîntreprinderi, PFA-uri sau întreprinderi individuale. Obligațiile de notificare sunt identice indiferent de dimensiunea operatorului:

  • Termen: 72 de ore pentru notificarea ANSPDCP
  • Același prag de risc — trebuie evaluat dacă încălcarea prezintă risc pentru drepturile persoanelor vizate
  • Aceleași consecințe — sancțiuni administrative de până la 10 milioane EUR sau 2% din cifra de afaceri

ANSPDCP aplică aceleași standarde de evaluare a riscului pentru toate categoriile de operatori. Totuși, în practică, complexitatea măsurilor de securitate cerute (Art. 32 GDPR) poate fi proporțională cu riscul și resursele disponibile — o microîntreprindere nu trebuie să implementeze măsuri la nivelul unei corporații, dar trebuie să aibă măsuri adecvate și proporționale cu riscul.

9. Cum se coordonează GDPR cu AI Act pentru incidente care implică sisteme AI?

Începând cu 2 august 2026, intră în vigoare obligațiile de notificare a incidentelor grave pentru sistemele AI de înalt risc conform Regulamentului UE 2024/1689 (AI Act).

Dacă un sistem AI de HR suferă o breșă care afectează date personale:

  1. Notificare GDPR (către ANSPDCP) — dacă breșa afectează date personale și prezintă risc pentru drepturile persoanelor vizate (termen: 72 ore)
  2. Notificare AI Act (către autoritatea de supraveghere AI) — dacă incidentul este un „incident grav" conform AI Act (termen: conform Art. 73 AI Act)

IMPORTANTE:

  • Două notificări separate — nu există încă un mecanism unificat în România
  • AI Act și GDPR sunt complementare, nu se exclud reciproc
  • Ghidarea finală a Comisiei Europene pentru raportarea incidentelor AI este așteptată să se aplice din august 2026

Surse: AI Act (Regulamentul UE 2024/1689), European Commission guidance on serious AI incidents

Referințe

  1. Regulamentul (UE) 2016/679 (GDPR), în special:

  2. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 — legislatie.just.ro

  3. Procedura ANSPDCP privind investigațiile din oficiu și la plângere — legislatie.just.ro

  4. Guidelines 9/2022 on personal data breach notification under GDPR — European Data Protection Board (EDPB)

  5. Formulare de notificare ANSPDCP:

  6. Iorgulescu Legal — „Data breaches in Romania: legal obligations and response under GDPR" (iunie 2025)