Transferuri Internaționale de Date Personale

Pe scurt

Transferul de date personale în afara Uniunii Europene este strict reglementat de GDPR. Companiile pot transfera date doar către țări cu nivel adecvat de protecție (decis de Comisia Europeană) sau prin folosirea unor garanții adecvate (clauzele contractuale standard, reguli corporatiste obligatorii). Încălcarea acestor reguli poate atrage amenzi de până la 4% din cifra de afaceri globală.

Cadrul legal

Principiul general

Articolul 44 GDPR stabilește principiul fundamental:

Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională.

Sursa: Regulamentul (UE) 2016/679, Capitolul V

Protecția conferită de GDPR însoțește datele în călătoria lor — normele care protejează datele continuă să se aplice indiferent unde ajung acestea.

Mecanisme legale de transfer

GDPR pune la dispoziție trei categorii principale de instrumente juridice pentru transferurile internaționale de date:

Decizia de adecvare este un act prin care Comisia Europeană recunoaște că o țară terță, un teritoriu sau un sector dintr-o țară terță asigură un nivel de protecție adecvat a datelor personale.

Art. 45(1) GDPR — Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

Sursa: GDPR, Art. 45

Țări și teritorii cu decizie de adecvare (2026)

Conform listei publicate de Comisia Europeană, următoarele țări și teritorii beneficiază de decizie de adecvare:

Andorra (din 2010)
Argentina (din 2003)
Canada — doar pentru organizațiile comerciale (din 2002)
Insulele Feroe (din 2010)
Guernsey (din 2003)
Israel (din 2011)
Insula Man (din 2004)
Japonia (din 2019)
Jersey (din 2008)
Noua Zeelandă (din 2013)
Coreea de Sud (din 2021)
Elveția (din 2000)
Regatul Unit (din 2021, reînnoit în 2025)
Uruguay (din 2012)

Transferul de date către aceste destinații este asimilat unei transmiteri în interiorul UE — nu necesită autorizări suplimentare sau garanții contractuale.

Atenție: Deciziile de adecvare sunt revizuite periodic (la 4 ani). Comisia Europeană poate suspenda sau abroga o decizie dacă țara respectivă nu mai îndeplinește condițiile.

În absența unei decizii de adecvare, transferul este posibil doar dacă operatorul oferă garanții adecvate și persoanele vizate beneficiază de drepturi opozabile și căi de atac eficace.

Art. 46(1) GDPR — În absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

Sursa: GDPR, Art. 46

Tipuri de garanții adecvate (fără autorizare prealabilă):

a) Clauze contractuale standard (Standard Contractual Clauses - SCC)

Clauzele contractuale standard sunt contracte-model aprobate de Comisia Europeană, care stabilesc obligații de protecție a datelor pentru importatorul de date din țara terță.

Decizia Comisiei UE 914/2021 din 4 iunie 2021 a aprobat noile SCC, care au înlocuit vechile clauze din 27 septembrie 2021. Noile SCC:

Acoperă patru scenarii de transfer: operator → operator, operator → împuternicit, împuternicit → împuternicit, împuternicit → operator
Impun obligația de evaluare a impactului transferului (Transfer Impact Assessment - TIA)
Includ clauze specifice pentru protecția împotriva accesului autorităților publice din țări terțe
Conferă drepturi directe persoanelor vizate împotriva importatorului de date

⚠️ Opinie specialistă — MMC Law „Urmeaza, in perioada urmatoare, ca toti operatorii de date cu caracter personal din Romania si din celelalte state UE / SEE care ajung sa exporte date cu caracter personal in afara UE / SEE pe baza SCC catre operatori, operatori asociati sau imputerniciti (in sensul definitiilor din GDPR) sa se asigure ca partea din sau anexa la contractele cu furnizorii respectivi de servicii de hosting, e-mail, stocare sau alte diverse tipuri de servicii care implica prelucrari de date cu caracter personal, se actualizeaza pentru a reflecta noul continut impus pentru SCC, in caz contrar nemafiind dupa 27 septembrie [2021] legala utilizarea acelor servicii." Sursa: MMC Law - Decizia 914/2021, 18 iunie 2021

b) Reguli corporatiste obligatorii (Binding Corporate Rules - BCR)

Aplicabile grupurilor de întreprinderi multinaționale. BCR sunt politici interne de protecție a datelor aprobate de autoritățile de supraveghere, obligatorii pentru toate entitățile din grup.

Art. 47(1) GDPR — Autoritatea de supraveghere competentă aprobă reguli corporatiste obligatorii, cu condiția ca acestea:

să fie obligatorii din punct de vedere juridic și să se aplice fiecărui membru vizat al grupului de întreprinderi

să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal

să îndeplinească cerințele prevăzute la alineatul (2)

Sursa: GDPR, Art. 47

c) Coduri de conduită și mecanisme de certificare

Operatorul sau împuternicitul din țara terță poate adera la un cod de conduită aprobat (Art. 40 GDPR) sau la un mecanism de certificare (Art. 42 GDPR), însoțit de angajamente obligatorii și executorii de a aplica garanțiile adecvate.

Garanții adecvate cu autorizare prealabilă:

Sub rezerva autorizării de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), transferul poate fi încadrat prin:

Clauze contractuale ad-hoc între operator și destinatarul din țara terță
Dispoziții incluse în acorduri administrative între autorități publice

În absența atât a unei decizii de adecvare, cât și a unor garanții adecvate, transferul este permis doar în situații specifice și limitate:

a) Consimțământul explicit al persoanei vizate

Persoana vizată și-a exprimat în mod explicit acordul pentru transfer, după ce a fost informată asupra riscurilor pe care astfel de transferuri le pot implica (lipsa deciziei de adecvare și a garanțiilor).

b) Executarea unui contract

Transferul este necesar pentru:

Executarea unui contract între persoana vizată și operator
Aplicarea unor măsuri precontractuale la cererea persoanei vizate
Încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă entitate

c) Motive de interes public important

Transferul este necesar din considerente importante de interes public, recunoscute în dreptul UE sau în dreptul statului membru (de exemplu, cooperare judiciară internațională, sănătate publică).

d) Stabilirea, exercitarea sau apărarea unui drept în instanță

e) Protejarea intereselor vitale

Transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul.

f) Transferuri din registre publice

Transferul se realizează dintr-un registru care, potrivit dreptului UE sau intern, are scopul de a furniza informații publicului.

Transferuri ocazionale (Art. 49(1) parag. 2)

Dacă nu este aplicabilă nicio derogare de mai sus, transferul poate avea loc doar dacă:

Nu este repetitiv
Se referă la un număr limitat de persoane vizate
Este necesar în scopul intereselor legitime majore ale operatorului
Operatorul a evaluat toate circumstanțele și a prezentat garanții corespunzătoare
Operatorul informează ANSPDCP cu privire la transfer
Operatorul informează persoana vizată cu privire la transfer și la interesele legitime majore

Atenție: Această derogare are caracter excepțional și nu poate fi folosită pentru a înlocui mecanismele principale (decizie de adecvare sau garanții adecvate).

Clarificare: Când este un transfer „ocazional" vs. „sistematic/repetitiv"?

GDPR nu definește o frecvență numerică precisă, dar ghidurile EDPB și practica autorităților oferă orientări:

Ocazional = transfer neplanificat, excepțional, fără regularitate (ex: transfer unic de date către un client din SUA pentru încheierea unui contract specific, transfer pentru soluționarea unui litigiu unic)
Sistematic/repetitiv = transfer regulat, planificat, predictibil (ex: facturare lunară către clienți din SUA, transfer zilnic de date HR către filială din India, procesare recurentă de comenzi)

Exemple practice:

❌ NU este ocazional: Facturare lunară către un client din SUA — chiar dacă clientul este doar unul, facturarea lunară este repetitivă și predictibilă. Necesită SCC sau decizie de adecvare.

✅ Este ocazional: Transfer unic de date medicale ale unui angajat către un spital din SUA pentru obținerea unui al doilea aviz medical — transfer singular, neplanificat, justificat de interes legitim major (sănătatea angajatului).

❌ NU este ocazional: Procesare zilnică de comenzi prin platform de plată din Singapore — transfer sistematic, chiar dacă numărul de persoane vizate este mic. Necesită SCC.

Limita critică: Dacă transferul se repetă lunar, săptămânal sau zilnic, nu mai este „ocazional" — trebuie să ai SCC sau decizie de adecvare, chiar dacă privește puține persoane.

Aspecte practice

Cum verifici dacă poți transfera date în afara UE?

Pasul 1: Identifică destinația

Verifică dacă țara destinație are decizie de adecvare pe site-ul Comisiei Europene.

Pasul 2: Dacă nu există decizie de adecvare

Asigură garanții adecvate:

Pentru furnizori de servicii cloud, SaaS, hosting: solicită SCC (clauze contractuale standard conform Deciziei 914/2021)
Pentru grupuri multinaționale: implementează BCR (proces complex, necesită aprobare ANSPDCP)
Pentru alte cazuri: clauzele contractuale ad-hoc (necesită aprobare ANSPDCP)

Pasul 3: Evaluarea impactului transferului (Transfer Impact Assessment - TIA)

Chiar și cu SCC, trebuie să evaluezi dacă țara terță respectă în practică garanțiile oferite:

Există legislație locală care obligă furnizorul să divulge date autorităților?
Ce măsuri suplimentare pot fi implementate (criptare, pseudonimizare, minimizarea datelor)?

Când este TIA strict obligatorie vs. recomandată?

Conform Clauze i 14 din SCC 2021 și Recomandările EDPB 01/2020:

TIA este OBLIGATORIE când:

Transferi date către o țară fără decizie de adecvare (ex: SUA, China, India, Rusia)
Folosești SCC ca temei legal pentru transfer
Excepție: TIA poate fi omisă doar dacă transferul este strict limitat la date care nu pot fi accesate de autoritățile publice din țara terță (ex: date complet criptate end-to-end cu cheia deținută exclusiv de exportator, pseudonimizare ireversibilă). Această excepție este foarte rară în practică.

TIA este RECOMANDATĂ (dar nu obligatorie) când:

Transferi date către o țară cu decizie de adecvare (ex: UK, Japonia, Elveția) — în acest caz, Comisia Europeană a evaluat deja nivelul de protecție, dar poți face o evaluare suplimentară dacă dorești
Transferul se bazează pe derogări Art. 49 (ex: consimțământ explicit) și este ocazional — TIA nu este cerută explicit, dar evaluarea circumstanțelor este necesară conform Art. 49(1) par. 2

Concluzie: Pentru majoritatea transferurilor bazate pe SCC (furnizori SaaS din SUA, cloud providers, call centers din India), TIA este obligatorie conform Clauzel or SCC 2021 — nu este discreționară.

Pasul 4: Documentare

Consemnează în Registrul activităților de prelucrare (Art. 30 GDPR):

Tipul de date transferate
Categoria de persoane vizate
Destinația (țara terță)
Garanțiile aplicate (SCC, BCR, decizie de adecvare)
Evaluarea impactului (TIA), dacă este cazul

Situația microîntreprinderilor și a persoanelor fizice autorizate (PFA/II)

Întrebare frecventă: Microîntreprinderile și PFA-urile care folosesc instrumente SaaS comune (Gmail, Mailchimp, Shopify, Stripe) pentru activități comerciale trebuie să respecte aceleași obligații privind SCC ca și companiile mari?

Răspuns: Da, GDPR nu prevede niciun prag de minimis sau obligații simplificate pentru operatorii mici. Indiferent de dimensiunea afacerii, dacă transferi date personale în afara SEE, trebuie să ai:

Fie decizie de adecvare pentru țara destinație
Fie SCC (clauze contractuale standard) cu furnizorul

Abordare practică pentru IMM-uri:

✅ Verifică dacă furnizorul este certificat sub EU-US Data Privacy Framework

Majoritatea furnizorilor SaaS majori (Google Workspace, Microsoft 365, Mailchimp, Shopify, Stripe) sunt certificați sub DPF. Verifică pe:

👉 https://www.dataprivacyframework.gov/list

Dacă furnizorul este certificat, transferul este legal fără SCC suplimentare — DPF funcționează ca o decizie de adecvare.

✅ Folosește SCC pre-integrate de furnizor

Dacă furnizorul NU este certificat DPF, furnizorii majori de SaaS oferă SCC deja integrate în termenii lor de serviciu (Data Processing Agreement - DPA):

Google Workspace / Google Cloud: Include SCC conform Deciziei 2021/914 în Data Processing Agreement
Microsoft 365 / Azure: Include SCC în Microsoft Product Terms
Mailchimp: Include SCC în Data Processing Addendum
Shopify: Include SCC în Data Processing Addendum

Nu trebuie să negociezi separat SCC — doar acceptă DPA-ul furnizorului, care deja le include.

✅ Înregistrează transferul în Registrul de prelucrare (Art. 30 GDPR)

Chiar dacă ești PFA sau microîntreprindere, trebuie să consemnezi în registru:

Ce date transferi (ex: nume, email clienți)
Unde (ex: „SUA — Google LLC certificat DPF")
Temeiul legal (ex: „Decizie de adecvare DPF" sau „SCC conform Deciziei 2021/914")

⚠️ Risc: Chiar și pentru operatori mici, ANSPDCP poate aplica amenzi pentru transferuri ilegale. Deși amenzile sunt proporționale (mai mici pentru IMM-uri), obligațiile rămân aceleași.

Surse:

Greșeli frecvente

❌ Transferul de date către furnizori SaaS din SUA fără SCC actualizate

Multe companii românești folosesc servicii cloud (Google Workspace, Microsoft 365, AWS, Salesforce) fără să verifice dacă contractul include SCC 2021 (Decizia 914/2021). Vechile SCC din 2001/2010 nu mai sunt valabile.

Soluție: Solicită furnizorului dovada SCC actualizate sau verifică în Data Processing Agreement (DPA) dacă include trimitere la Decizia 914/2021.

❌ Presupunerea că SUA are decizie de adecvare

SUA nu are decizie de adecvare generală. Cadrul „EU-US Data Privacy Framework" înlocuiește Privacy Shield invalidat în 2020 (Hotărârea Schrems II), dar nu este o decizie de adecvare — companiile americane trebuie să adere individual la Framework și să respecte principiile acestuia.

❌ Transferuri către filiale din țări terțe fără garanții

Faptul că destinatarul este o filială a companiei nu înlătură obligația de a asigura garanții (SCC sau BCR). Relația de grup nu înlocuiește cadrul legal de transfer.

❌ Invocarea derogării pentru „interes legitim" în mod sistematic

Derogările din Art. 49 sunt pentru situații ocazionale, nu pentru transferuri regulate și sistematice. Nu poți invoca „interes legitim" pentru a transfera zilnic date clienți către un call center din India.

Transferuri obligatorii prin lege: Interacțiunea cu CRS (Common Reporting Standard)

Cum interacționează GDPR cu obligațiile fiscale automate de raportare (CRS)?

Standardul Comun de Raportare (CRS) — implementat de OCDE și transpus în dreptul UE prin Directiva 2014/107/UE — obligă băncile și instituțiile financiare să transfere automat date clienților către autorități fiscale din țări terțe (inclusiv non-UE), pentru combaterea evaziunii fiscale.

Temeiul legal pentru transferurile CRS:

Transferurile de date în cadrul CRS sunt legale sub GDPR pe baza următoarelor:

Art. 6(1)(c) GDPR — Obligație legală: Băncile prelucrează și transferă datele pentru a respecta o obligație legală impusă de legislația națională de implementare a CRS (în România, prin OUG nr. 112/2017 privind reglementarea activităților de schimb automat de informații din domeniul fiscal).
Art. 6(1)(e) GDPR — Interes public: Raportarea automată de informații fiscale este în interes public important — combaterea evaziunii fiscale și respectarea acordurilor internaționale fiscale.
Art. 49(1)(d) GDPR — Derogare pentru interes public important: Chiar dacă țara destinație nu are decizie de adecvare (ex: transfer de date CRS către autoritățile fiscale din Elveția, Turcia, sau alte țări CRS), transferul este permis ca derogare pentru motive de interes public important recunoscute în dreptul UE.

Observație importantă: GDPR nu blochează transferurile CRS, însă European Data Protection Board (EDPB) a solicitat statelor membre în 2022 să reevalueze garanțiile de confidențialitate ale schimbului automat de informații fiscale, pentru a se asigura că datele transferate sunt necesare și proporționale cu scopul combaterii evaziunii fiscale.

⚠️ Tensiuni între CRS și GDPR: Există o dezbatere în curs privind compatibilitatea CRS cu principiul GDPR al minimizării datelor — unii experți argumentează că CRS impune transferuri disproporționate de date, inclusiv despre persoane care nu evită taxele. Totuși, până în prezent, nicio instanță europeană nu a invalidat CRS pe motive GDPR.

Surse:

Remedii practice în caz de încălcare a SCC sau de suspendare a transferului de către ANSPDCP

Ce se întâmplă dacă furnizorul american refuză să respecte SCC sau dacă ANSPDCP dispune suspendarea transferului în timpul unui contract cu termen fix?

Remedii contractuale prevăzute de SCC 2021

Clauzele contractuale standard (Decizia 2021/914) prevăd mecanisme clare de remediere:

1. Suspendarea transferului (Clauza 14 SCC)

Dacă importatorul de date (furnizorul) încalcă obligațiile SCC sau nu poate respecta garanțiile (ex: legislația țării terțe îl obligă să divulge date autorităților fără respectarea drepturilor UE), exportatorul de date (operatorul român) are dreptul și obligația de a suspenda transferul până când:

Conformarea este restabilită SAU
Contractul este reziliat

2. Rezilierea contractului (Clauza 16 SCC)

Exportatorul de date are dreptul de a rezilia contractul (în măsura în care privește prelucrarea datelor sub SCC) dacă:

A suspendat transferul și conformarea nu este restabilită într-un termen rezonabil (maxim 1 lună de la suspendare)
Importatorul este în încălcare substanțială sau persistentă a SCC
Importatorul nu respectă o decizie obligatorie a unei instanțe sau a autorității de supraveghere privind obligațiile SCC

3. Răspundere și daune (Clauza 12 SCC)

Părțile la SCC sunt răspunzătoare pentru daune materiale sau nemateriale cauzate prin încălcarea SCC. Nu sunt permise clauze de excludere completă a răspunderii în contractul comercial subiacent — astfel de clauze ar contrazice SCC și ar prejudicia drepturile persoanelor vizate.

Invocarea forței majore

Poate operatorul invoca forță majoră dacă ANSPDCP suspendă transferul?

Nu în mod automat. Suspendarea transferului de către ANSPDCP nu este un eveniment extern imprevizibil — este consecința nerespectării obligațiilor GDPR de către operator. Forța majoră (Art. 1351 Cod Civil) presupune un eveniment extern, imprevizibil și de neînlăturat, nu o decizie administrativă motivată de propria culpă.

Excepție: Dacă ANSPDCP suspendă transferul din cauza unei modificări legislative neprevăzute în țara terță (ex: o lege nouă care obligă furnizorul să divulge date, incompatibilă cu GDPR — similar cu cazul Schrems II și Privacy Shield), operatorul ar putea discuta cu furnizorul renegocierea contractului sau trecerea la un alt furnizor din UE/SEE.

Reclamarea daunelor de la furnizor

Dacă furnizorul refuză să respecte SCC și operatorul suferă prejudicii (ex: trebuie să migreze urgent serviciul, pierde acces la date), operatorul poate:

Reclama daune contractuale conform SCC Clauza 12
Invoca răspunderea contractuală conform dreptului comun (Cod Civil Art. 1350 și urm.) pentru neexecutarea culpabilă a obligațiilor contractuale

Important: Contractul comercial dintre operator și furnizor nu poate limita sau exclude răspunderea pentru încălcarea SCC — astfel de clauze sunt nule conform Deciziei 2021/914.

Surse:

Munca la distanță din țări terțe (remote work)

Dacă un angajat român lucrează temporar din Serbia, Moldova sau Turcia și accesează sistemele HR ale companiei, constituie acest acces un transfer internațional care necesită SCC?

Răspuns: Nu în mod automat, dar depinde de circumstanțe.

Conform ghidului EDPB privind transferurile internaționale și jurisprudenței europene:

Scenariul 1: Angajatul accesează date REMOTE din țara terță

Dacă angajatul accesează de la distanță bazele de date ale companiei din UE (ex: se conectează prin VPN la serverul din România), nu constituie transfer internațional, deoarece:

Angajatul nu este un alt operator sau împuternicit separat — este parte integrantă a aceluiași operator (compania română)
Datele rămân stocate pe servere în UE — nu sunt transferate fizic sau logic în țara terță
Este echivalent cu accesul unui angajat aflat în călătorie de afaceri

Nu sunt necesare SCC pentru această situație.

Scenariul 2: Datele sunt STOCATE local pe dispozitivul angajatului în țara terță

Dacă angajatul descarcă și stochează date personale pe un laptop sau server local din țara terță (Serbia, Moldova, Turcia), constituie transfer internațional și necesită:

Decizie de adecvare (niciuna dintre Serbia, Moldova, Turcia nu are decizie de adecvare în 2026) SAU
SCC între angajator și angajat (angajatul acționând ca împuternicit) SAU
Măsuri suplimentare: criptare end-to-end, pseudonimizare, minimizarea datelor

Obligații ale angajatorului:

✅ Politici de remote work: Stabiliți reguli clare — angajații care lucrează din țări terțe trebuie să acceseze datele doar prin conexiuni securizate (VPN), fără stocare locală pe dispozitive.

✅ Evaluarea riscurilor: Dacă angajații lucrează regulat din țări terțe fără decizie de adecvare, efectuați Transfer Impact Assessment (TIA) și implementați măsuri tehnice (criptare, acces limitat).

✅ Informare: Informați persoanele vizate (clienți, angajați) că datele lor pot fi accesate de angajați aflați în țări terțe, și ce garanții aplică compania.

Surse:

Cazuri speciale: Transferuri ulterioare (onward transfers)

Dacă importatorul de date (destinatarul din țara terță) intenționează să transfere ulterior datele către o altă țară terță sau o altă organizație internațională, trebuie respectate aceleași condiții:

Dacă destinația ulterioară are decizie de adecvare → transfer permis
Dacă nu → garanții adecvate (SCC) între importatorul inițial și următorul destinatar
Persoana vizată trebuie informată despre transferurile ulterioare

Cine are obligația de a asigura SCC pentru transferul ulterior — operatorul inițial, importatorul intermediar sau destinatarul final?

Răspuns: Conform Clauzel or 8.7 și 8.8 din SCC 2021, responsabilitatea este partajată:

Importatorul inițial (ex: AWS din SUA) are obligația de a informa exportatorul (operatorul român) despre orice transfer ulterior planificat și de a obține consimțământul prealabil al exportatorului.
Importatorul inițial trebuie să asigure că transferul ulterior este acoperit de SCC între el și următorul destinatar (ex: dacă AWS transferă date către un subcontractant din India, AWS trebuie să aibă SCC cu subcontractantul indian).
Operatorul inițial român rămâne responsabil față de persoanele vizate pentru întregul lanț de transferuri — dacă subcontractantul din India încalcă garanțiile, persoana vizată poate reclama daune direct de la operatorul român.

Recomandare practică: Când semnezi SCC cu un furnizor cloud (AWS, Google, Azure), verifică în DPA lista de subcontractanți și destinații de transfer ulterior. Asigură-te că furnizorul are obligația contractuală de a notifica și obține acordul tău pentru orice nou subcontractant din țări terțe.

Sancțiuni

Încălcarea prevederilor privind transferurile internaționale (Art. 44-49 GDPR) atrage amenzi administrative de până la:

20.000.000 EUR sau
4% din cifra de afaceri anuală globală a exercițiului financiar precedent (se aplică valoarea mai mare)

conform Art. 83(5) GDPR.

Exemple de încălcări sancționate:

Transfer de date în afara UE fără SCC sau decizie de adecvare
SCC neactualizate (din 2001/2010 în loc de 2021)
Lipsa evaluării impactului transferului (TIA)
Netransmiterea informațiilor către ANSPDCP în cazul transferurilor ocazionale

Legislație europeană

Cadrul juridic european privind transferurile internaționale

Transferurile internaționale de date personale sunt reglementate direct prin Regulamentul (UE) 2016/679 (GDPR), care este direct aplicabil în România și în toate statele membre UE, fără necesitatea transpunerii.

Regulamentul (UE) 2016/679 — GDPR, Capitolul V (Articolele 44-50)

Stabilește cadrul complet pentru transferurile de date personale în afara Spațiului Economic European (SEE), incluzând:

Art. 44: Principiul general — protecția însoțește datele

Art. 45: Transferuri pe baza deciziilor de adecvare

Art. 46: Transferuri pe baza garanțiilor adecvate (SCC, BCR)

Art. 47: Reguli corporatiste obligatorii (BCR)

Art. 48: Transferuri sau divulgări neautorizate de dreptul UE

Art. 49: Derogări pentru situații specifice

Art. 50: Cooperarea internațională pentru protecția datelor

Sursa: Regulamentul (UE) 2016/679 privind protecția datelor personale (GDPR)

Decizia de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021 privind clauzele contractuale standard pentru transferul de date personale către țări terțe în temeiul Regulamentului (UE) 2016/679.

Această decizie aprobă clauzele contractuale standard (SCC) actualizate, înlocuind vechile clauze din 2001 și 2010. Noile SCC acoperă patru scenarii modulare de transfer: operator → operator, operator → împuternicit, împuternicit → împuternicit, împuternicit → operator. Include obligația de evaluare a impactului transferului (Transfer Impact Assessment — TIA) și clauze specifice pentru protecția împotriva accesului autorităților publice din țări terțe.

Sursa: Decizia Comisiei (UE) 2021/914 privind clauzele contractuale standard

Decizia de punere în aplicare (UE) 2023/1795 a Comisiei din 10 iulie 2023 privind adecvarea protecției oferite de Cadrul UE-SUA privind confidențialitatea datelor.

Stabilește că Statele Unite ale Americii asigură un nivel adecvat de protecție a datelor personale transferate din UE către companii americane certificate sub EU-US Data Privacy Framework. Această decizie de adecvare înlocuiește cadrul Privacy Shield, invalidat în 2020 prin Hotărârea Schrems II. Companiile americane participante trebuie să respecte principii de confidențialitate și limitări clare privind accesul agențiilor de informații americane.

⚠️ Atenție — Revizuire periodică și riscul „Schrems III": Decizia de adecvare DPF este supusă revizuirii periodice de către Comisia Europeană, reprezentanți ai autorităților europene de protecție a datelor și autoritățile americane, cu prima revizuire în termen de un an de la implementare (2024). Activistul austriac Max Schrems a anunțat intenția de a contesta DPF în instanță (cazul „Schrems III"), invocând aceleași motive care au dus la invalidarea Safe Harbor și Privacy Shield: accesul disproporționat al agențiilor de informații americane (NSA, CIA) la datele cetățenilor UE. Riscul de invalidare a DPF prin jurisprudență CJUE este real, mai ales în contextul restructurărilor recente ale organelor americane de supraveghere independentă (U.S. Privacy and Civil Liberties Oversight Board, Federal Trade Commission), care ridică întrebări privind eficacitatea mecanismelor de control.

Recomandare pentru operatori: Chiar dacă furnizorul este certificat DPF, menține o strategie de backup — asigură-te că ai SCC semnate cu furnizorul și că ai evaluat măsuri suplimentare (criptare, minimizarea datelor) în caz de invalidare DPF. Monitorizează evoluțiile jurisprudențiale și pregătește-te pentru o potențială migrare către furnizori din UE/SEE sau pentru implementarea măsurilor suplimentare conform Schrems II.

Sursa: Decizia Comisiei (UE) 2023/1795 privind EU-US Data Privacy Framework Surse suplimentare: Schrems addresses emerging questions around EU-US Data Privacy Framework, EU-U.S. Data Privacy Framework: Where do we stand in 2025?

Transpunerea în dreptul român

GDPR este un regulament UE direct aplicabil — nu necesită transpunere. Totuși, România a adoptat Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, care completează GDPR cu:

Stabilirea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ca autoritate de supraveghere
Reglementări specifice pentru prelucrări în domeniul judiciar, siguranței naționale și apărării
Proceduri de sancționare și cooperare cu alte autorități naționale

Important: Prevederile Legii 190/2018 privind transferurile internaționale nu derogă de la GDPR — Capitolul V al GDPR se aplică direct și integral în România. ANSPDCP monitorizează respectarea obligațiilor privind transferurile internaționale și poate suspenda sau interzice transferuri care nu respectă garanțiile GDPR.

Sursa: Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679

Jurisprudență CJUE

Curtea de Justiție a Uniunii Europene (CJUE) a emis hotărâri fundamentale care au reformat complet cadrul transferurilor internaționale de date:

Cauza C-362/14, Maximillian Schrems v Data Protection Commissioner („Schrems I")

Data hotărârii: 6 octombrie 2015

Esența hotărârii: CJUE a invalidat Decizia Comisiei 2000/520 privind cadrul „Safe Harbor" pentru transferuri UE-SUA, pe motiv că legislația americană de supraveghere (în special programele de colectare în masă a datelor de către NSA) nu oferă un nivel de protecție esențial echivalent cu cel garantat de dreptul UE.

Efecte practice:

Safe Harbor nu mai putea fi folosit ca mecanism de transfer legal

Autoritățile naționale de supraveghere păstrează puterea de a examina plângeri privind transferuri, chiar dacă există decizie de adecvare a Comisiei

Persoanele vizate au dreptul fundamental de a contesta în fața autorităților naționale protecția oferită de țara terță

Sursa: CJEU, Cauza C-362/14, Schrems v Data Protection Commissioner

Cauza C-311/18, Data Protection Commissioner v Facebook Ireland Limited și Maximillian Schrems („Schrems II")

Data hotărârii: 16 iulie 2020

Esența hotărârii: CJUE a invalidat Decizia Comisiei 2016/1250 privind Privacy Shield (succesorul Safe Harbor) din aceleași motive: legislația americană de supraveghere (Section 702 FISA, Executive Order 12333) permite acces disproporționat la datele cetățenilor UE, iar mecanismul Ombudsperson Privacy Shield nu oferă căi de atac judiciare eficiente.

Clarificări privind SCC: CJUE nu a invalidat clauzele contractuale standard, însă a stabilit că:

SCC nu pot compensa singure deficiențele legislației țării terțe

Operatorul care transferă date trebuie să facă o evaluare a impactului transferului (TIA) pentru fiecare destinație

Dacă legislația țării terțe impune furnizorului să divulge date autorităților într-un mod incompatibil cu drepturile UE, transferul trebuie suspendat

Autoritățile de supraveghere pot și trebuie să suspende sau interzică transferuri dacă SCC nu pot fi respectate în practică

Efecte practice:

Privacy Shield invalidat — transferurile către SUA necesită SCC + TIA + măsuri suplimentare

Companiile trebuie să evalueze dacă țara terță respectă în practică garanțiile oferite de SCC

Măsuri suplimentare recomandate: criptare end-to-end, pseudonimizare, minimizarea datelor

Sursa: CJEU, Cauza C-311/18, Data Protection Commissioner v Facebook Ireland

Cauza T-354/22, Bindl v Comisia Europeană

Data hotărârii: ianuarie 2025

Esența hotărârii: Tribunalul Uniunii Europene a condamnat Comisia Europeană să plătească 400 EUR despăgubiri unui solicitant ale cărui date personale au fost transferate în SUA fără garanții adecvate. Hotărârea confirmă că transferurile internaționale ilegale dau dreptul la compensare pentru prejudiciu nematerial.

Efecte practice: Încălcarea regulilor de transfer nu atrage doar amenzi administrative de la ANSPDCP, ci și răspundere civilă față de persoanele vizate pentru daune morale.

Sursa: Tribunalul UE, Cauza T-354/22, Bindl v Comisia Europeană

Aspecte practice din perspectivă europeană

Transferuri către SUA după Schrems II

Transferurile către Statele Unite sunt posibile prin două mecanisme principale:

1. EU-US Data Privacy Framework (pentru companii certificate)

De la 10 iulie 2023, companiile americane care s-au autocertificat sub EU-US Data Privacy Framework beneficiază de decizie de adecvare. Verifică dacă furnizorul tău (Google, Microsoft, AWS, Salesforce etc.) este certificat pe:

👉 https://www.dataprivacyframework.gov/list

2. Clauze contractuale standard + Transfer Impact Assessment

Dacă furnizorul NU este certificat sub DPF, trebuie:

SCC actualizate conform Deciziei 2021/914
Evaluarea impactului transferului (TIA): analizează dacă legislația SUA (FISA 702, CLOUD Act) poate afecta datele tale
Măsuri suplimentare: criptare, pseudonimizare, minimizarea datelor

Transferuri intra-UE și către Regatul Unit

Transferuri în interiorul UE/SEE: nu sunt considerate „transferuri internaționale" — se aplică GDPR fără restricții suplimentare
Transferuri către Regatul Unit: UK are decizie de adecvare valabilă până în 2025 (reînnoită). Transferurile către UK sunt tratate ca transferuri intra-UE.

Transferuri către alte țări cu decizie de adecvare

Conform listei actualizate a Comisiei Europene (2026), următoarele țări/teritorii beneficiază de decizie de adecvare: Andorra, Argentina, Canada (doar sectorul comercial), Insulele Feroe, Guernsey, Israel, Insula Man, Japonia, Jersey, Noua Zeelandă, Coreea de Sud, Elveția, Regatul Unit, Uruguay.

👉 Lista completă: Comisia Europeană — Decizii de adecvare

Transferuri ulterioare (onward transfers)

Dacă importatorul de date (destinatarul din țara terță) transferă ulterior datele către o altă țară terță, se aplică aceleași condiții:

Dacă destinația ulterioară are decizie de adecvare → transfer permis
Dacă nu → SCC între importatorul inițial și următorul destinatar
Informare obligatorie a persoanei vizate despre transferurile ulterioare

Rolul ANSPDCP în transferurile internaționale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate:

Suspenda sau interzice transferuri care nu respectă GDPR (Art. 58 GDPR)
Aproba clauze contractuale ad-hoc și dispoziții administrative (Art. 46(3) GDPR)
Aproba reguli corporatiste obligatorii (BCR) pentru grupuri multinaționale (Art. 47 GDPR)
Investiga plângeri ale persoanelor vizate privind transferuri internaționale
Coopera cu alte autorități europene de supraveghere prin mecanismul de cooperare și coerență (Art. 60-67 GDPR)

Jurisprudență națională

Observație preliminară

Transferurile internaționale de date personale sunt reglementate direct prin GDPR (Regulament UE, aplicabil fără transpunere), iar jurisprudența fundamentală în această materie provine de la Curtea de Justiție a Uniunii Europene (CJUE), nu de la instanțele naționale. Hotărârile CJUE (Schrems I, Schrems II, Bindl) sunt obligatorii pentru toate statele membre, inclusiv România, și au fost detaliate în secțiunea „Legislație europeană" de mai sus.

Instanțele românești nu au dezvoltat o jurisprudență autonomă semnificativă privind transferurile internaționale (Art. 44-50 GDPR), deoarece:

Majoritatea litigiilor privind transferuri sunt soluționate administrativ de ANSPDCP, fără a ajunge în instanță
Operatorii conformează direct prevederile GDPR și deciziile CJUE, evitând litigii
Transferurile internaționale implică chestiuni de drept european care sunt de competența CJUE, nu a instanțelor naționale

Totuși, există practică administrativă relevantă a ANSPDCP și câteva decizii judecătorești care confirmă competențele autorității de supraveghere în materie de protecție a datelor.

Practica ANSPDCP în materia transferurilor internaționale

Aprobări de Reguli Corporatiste Obligatorii (BCR)

ANSPDCP, Decizia privind Genpact România S.R.L. — septembrie 2024

Context: ANSPDCP a analizat și a emis opinie favorabilă privind regulile corporatiste obligatorii (BCR) pentru Genpact România S.R.L., o companie multinațională care transferă date personale între entitățile grupului, inclusiv către țări terțe.

Relevanță: Această decizie confirmă că ANSPDCP examinează activ cererile de aprobare BCR conform Art. 47 GDPR și cooperează cu alte autorități europene de supraveghere pentru aprobarea acestor instrumente de transfer.

Sursa: EDPB — Decizia ANSPDCP privind BCR Genpact România

Activitatea ANSPDCP în primele luni ale anului 2023

În primele patru luni ale anului 2023, ANSPDCP a analizat 4 solicitări de aprobare BCR depuse de companii multinaționale. Autoritatea a acționat atât în calitate de co-reviewer, cât și ca membru al echipei de redactare pentru avizele Comitetului European pentru Protecția Datelor (EDPB) privind seturi de reguli corporatiste.

Tendință: Companiile multinaționale cu sedii în România adoptă activ BCR pentru a legitima transferurile intra-grup, în locul SCC bilaterale, mai ales după invalidarea Privacy Shield prin Schrems II.

Sursa: juridice.ro — Activitatea ANSPDCP în primele luni ale anului 2023

Acțiuni de supraveghere privind transferurile către SUA

Comunicatul ANSPDCP din 9 iulie 2020 — Invalidarea Privacy Shield

Context: După hotărârea CJUE în cauza Schrems II (16 iulie 2020), ANSPDCP a emis un comunicat public prin care a informat operatorii români despre invalidarea Privacy Shield și necesitatea de a reevalua transferurile de date către Statele Unite.

Recomandări ANSPDCP:

Operatorii care transferă date în SUA trebuie să suspende transferurile bazate pe Privacy Shield

Să adopte SCC actualizate conform Deciziei 2021/914

Să efectueze Transfer Impact Assessment (TIA) pentru a evalua dacă legislația SUA (FISA 702, CLOUD Act) permite respectarea garanțiilor SCC

Să implementeze măsuri suplimentare (criptare, pseudonimizare, minimizarea datelor) dacă este necesar

Efect: ANSPDCP a urmat poziția EDPB și a CJUE, solicitând conformare imediată, fără perioadă de grație.

Sursa: ANSPDCP — Comunicat privind transferurile către SUA

Decizii judecătorești relevante (protecția datelor în general)

Deși nu există hotărâri românești specifice pe Art. 44-50 GDPR, instanțele au confirmat competențele ANSPDCP în materie de protecție a datelor, inclusiv privind transferuri:

Curtea de Apel București — Soluții definitive în favoarea ANSPDCP (2022-2023)

Prin decizii definitive din 2022 și 2023, instanțele au menținut deciziile ANSPDCP prin care s-a dispus încetarea prelucrării și ștergerea imaginilor colectate de poliția locală, în urma controalelor care au constatat ilegalitatea acelor operațiuni de prelucrare.

Principiu relevant pentru transferuri: Instanțele confirmă puterea ANSPDCP de a suspenda sau interzice prelucrări ilegale, inclusiv transferuri internaționale care nu respectă garanțiile GDPR (Art. 58(2)(f) GDPR).

Sursa: juridice.ro — Soluții definitive în favoarea ANSPDCP

Tribunalul București — Menținere sancțiune ANSPDCP pentru ANPC (WhatsApp)

Tribunalul București a menținut procesul-verbal al ANSPDCP privind faptul că ANPC (Autoritatea Națională pentru Protecția Consumatorilor) a colectat numeroase date personale din reclamații primite prin aplicația WhatsApp, care nu se afla sub controlul său, încălcând astfel prevederile GDPR.

Relevanță pentru transferuri: Cazul ilustrează că transferul implicit de date către platforme terțe (WhatsApp = Meta, cu servere în SUA) fără garanții adecvate (SCC, TIA) constituie încălcare GDPR. ANSPDCP sancționează astfel de practici, chiar când sunt comise de autorități publice.

Sursa: juridice.ro — TB menține sancțiunea ANSPDCP aplicată ANPC

Tendințe în practica ANSPDCP

Pe baza activității publicate de ANSPDCP în 2022-2024, se observă următoarele tendințe:

1. Aplicarea strictă a standardelor CJUE

ANSPDCP urmează îndeaproape jurisprudența CJUE (Schrems I, Schrems II) și recomandările EDPB. Nu există „interpretare mai relaxată" a cerințelor privind transferurile — operatorii trebuie să respecte integral:

SCC actualizate (Decizia 2021/914)
Transfer Impact Assessment (TIA) pentru fiecare destinație
Măsuri suplimentare când legislația țării terțe permite acces autorităților publice

2. Creșterea aprobărilor BCR

Numărul cererilor de aprobare BCR a crescut în 2023-2024, pe măsură ce grupurile multinaționale cu prezență în România preferă acest instrument pentru transferuri intra-grup, evitând SCC bilaterale multiple.

3. Sancționarea transferurilor implicite

ANSPDCP sancționează transferuri implicite către țări terțe prin utilizarea de platforme terțe (WhatsApp, Facebook Pixel, Google Analytics) fără garanții adecvate. Cazul ANPC-WhatsApp este exemplu tipic.

4. Verificarea conformării post-Schrems II

În controale, ANSPDCP verifică dacă operatorii:

Au actualizat SCC la versiunea 2021
Au efectuat TIA pentru transferuri către SUA, China, Rusia
Au implementat măsuri suplimentare (criptare end-to-end, minimizarea datelor)
Au înregistrat transferurile în Registrul activităților de prelucrare (Art. 30 GDPR)

5. Cooperare europeană în cazuri transfrontaliere

ANSPDCP acționează frecvent ca autoritate de supraveghere conducătoare (lead supervisory authority) sau autoritate de supraveghere interesată (concerned supervisory authority) în cazuri transfrontaliere care implică transferuri internaționale (Art. 56, 60-67 GDPR).

Concluzii practice

Pentru operatorii din România:

✅ Urmați jurisprudența CJUE — Schrems I, Schrems II, Bindl sunt direct aplicabile în România

✅ Colaborați cu ANSPDCP — Solicitați aprobare pentru BCR, consultați ghidurile ANSPDCP

✅ Actualizați SCC — Verificați că furnizorii folosesc clauzele din Decizia 2021/914

✅ Efectuați TIA — Evaluați impactul transferurilor, mai ales către SUA, China, Rusia

✅ Evitați transferuri implicite — Nu folosiți platforme terțe (WhatsApp, Facebook, Google) fără SCC și măsuri suplimentare

⚠️ Riscuri: ANSPDCP poate suspenda sau interzice transferuri ilegale (Art. 58(2)(f) GDPR), iar instanțele confirmă aceste decizii. Persoanele vizate pot obține despăgubiri pentru transferuri ilegale (Cauza Bindl, CJUE).

Întrebări frecvente

1. Pot folosi Google Analytics sau Facebook Pixel dacă datele sunt transferate în SUA?

Da, cu condiția ca:

Furnizorul (Google, Meta) să fie aderent la EU-US Data Privacy Framework SAU
Să existe SCC între tine și furnizor (Google și Meta oferă SCC în configurările conturilor business)
Să faci evaluarea impactului și să implementezi măsuri suplimentare dacă este necesar (de exemplu, anonimizare IP, limitarea scopurilor prelucrării)

2. Trebuie să informez persoanele vizate despre transferurile internaționale?

Da. Conform Art. 13 și 14 GDPR, în nota de informare trebuie să incluzi:

Faptul că datele vor fi transferate în afara UE
Destinația (țara terță sau organizație internațională)
Garanțiile aplicate (decizie de adecvare, SCC, BCR)

3. Ce fac dacă furnizorul refuză să semneze SCC?

Dacă furnizorul refuză să semneze SCC și nu există decizie de adecvare pentru țara sa, nu poți transfera legal datele. Caută un furnizor alternativ sau migrează serviciul în UE/SEE.

4. BCR sau SCC — care este diferența?

BCR (reguli corporatiste obligatorii): pentru grupuri de companii multinaționale — politici interne aprobate de autoritățile de supraveghere, aplicabile tuturor entităților din grup.
SCC (clauze contractuale standard): pentru relații bilaterale între operator și un destinatar specific din țara terță (furnizor, partener).

Pentru grupuri mari cu transferuri frecvente intra-grup, BCR sunt mai eficiente. Pentru relații cu furnizori externi, SCC sunt soluția standard.

5. Transferurile către Regatul Unit necesită SCC?

Nu, dacă te bazezi pe decizia de adecvare pentru UK (adoptată în 2021, reînnoită în 2025). Transferurile către UK sunt tratate ca și transferurile intra-UE. Totuși, monitorizează valabilitatea deciziei — aceasta poate fi revizuită dacă UK modifică legislația sa privind protecția datelor.

6. Cum poate un cetățean român să conteste în mod practic un transfer internațional ilegal?

Persoanele vizate au drepturi opozabile și căi de atac eficace conform GDPR:

a) Plângere la ANSPDCP (Art. 77 GDPR)

Orice persoană care consideră că datele sale sunt transferate ilegal în afara UE poate depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Contact ANSPDCP: https://www.dataprotection.ro/ — plângerea se depune online sau prin poștă
ANSPDCP investighează și poate dispune suspendarea sau interzicerea transferului (Art. 58(2)(f) GDPR)
Gratuit — nu sunt taxe de timbru pentru plângeri la ANSPDCP

b) Acțiune în instanță împotriva operatorului (Art. 79 GDPR)

Persoana vizată poate introduce acțiune civilă direct împotriva operatorului (compania care a transferat datele) la instanța competentă (tribunal):

Solicitare: suspendarea transferului, ștergerea datelor, despăgubiri pentru prejudiciu material sau nematerial
Precedent: În Cauza Bindl v Comisia Europeană (T-354/22), Tribunalul UE a condamnat Comisia să plătească 400 EUR despăgubiri pentru transfer ilegal de date în SUA fără garanții adecvate. Hotărârea confirmă că transferurile ilegale dau dreptul la compensare chiar și pentru prejudiciu nematerial (anxietate, pierderea controlului asupra datelor).
Competență: Conform Art. 79(2) GDPR, persoana poate alege între instanța locului de reședință al operatorului sau instanța propriei reședințe

c) Acțiune în instanță împotriva ANSPDCP (dacă plângerea este respinsă)

Dacă ANSPDCP respinge plângerea sau nu acționează în termen rezonabil, persoana vizată poate contesta decizia ANSPDCP la instanța de contencios administrativ competentă (Art. 78 GDPR):

Termen: 30 de zile de la comunicarea deciziei ANSPDCP (sau 6 luni de la depunerea plângerii, dacă ANSPDCP nu răspunde)
Instanță competentă: Tribunalul București — Secția Contencios Administrativ

d) Organizații de protecție a consumatorilor și asociații nonprofit

Conform Art. 80 GDPR, organizații nonprofit care activează în domeniul protecției datelor personale pot introduce plângeri la ANSPDCP sau acțiuni în instanță în numele persoanelor vizate (cu sau fără mandat).

Compensații posibile:

Daune materiale: pierderi financiare directe (ex: fraudă după scurgerea datelor)
Daune morale: anxietate, suferință psihică, pierderea controlului asupra vieții private (conform Cauza Bindl, chiar și fără dovadă de prejudiciu material concret)
Despăgubiri: între câteva sute și câteva mii EUR pentru persoane fizice, în funcție de gravitatea încălcării

Concluzie: Cetățenii nu sunt neputincioși — GDPR conferă drepturi clare și căi de atac accesibile pentru a contesta transferuri ilegale, atât administrativ (ANSPDCP), cât și judiciar (instanțe).