Este GDPR obligatoriu pentru firme mici din România?

Da, GDPR se aplică oricărei organizații care prelucrează date personale ale persoanelor din UE, indiferent de dimensiune. O firmă cu 2 angajați care ține evidența CV-urilor sau trimite newsletter are obligații GDPR. Auditul determină exact ce obligații se aplică în funcție de activitate.

Ce este registrul activităților de prelucrare GDPR?

Registrul activităților de prelucrare (Art. 30 GDPR) documentează toate activitățile în care organizația prelucrează date personale: scopul, temeiul legal, categoriile de date, persoanele vizate, termenele de retenție și măsurile de securitate. Este obligatoriu pentru organizații cu peste 250 de angajați și recomandat pentru toate.

Când este obligatorie desemnarea unui DPO (Responsabil cu Protecția Datelor)?

DPO este obligatoriu pentru: autorități publice, organizații care monitorizează sistematic persoane la scară largă (supraveghere video, profilare), și organizații care prelucrează la scară largă categorii speciale de date (sănătate, date biometrice, religie, opinii politice). Auditul GDPR determină dacă organizația ta necesită DPO.

Cum notific o breșă de date GDPR la ANSPDCP?

Breșele de date care prezintă risc pentru drepturile persoanelor trebuie notificate ANSPDCP în 72 de ore de la constatare. Notificarea include: natura breșei, categoriile și numărul de persoane afectate, consecințele probabile și măsurile luate. Modulul GDPR din ALCIV include un workflow ghidat pentru notificare.

Audit gratuit · GDPR Art. 5(2) Accountability

Audit GDPR GratuitVerifică conformitatea GDPR a organizației tale

Chestionar de auto-audit GDPR în 10 minute. Identifică gaps-urile, prioritizează acțiunile și obține un plan de conformitate pas cu pas. Fără date personale, fără înregistrare.

Începe auditul — gratuit Demo live

Bazat pe cerințele Regulamentului (UE) 679/2016 și ghidurile ANSPDCP

Ce verifică auditul GDPR

Instrumentul de audit acoperă cele 8 domenii principale ale conformității GDPR, adaptate la tipul și dimensiunea organizației tale:

Registrul activităților de prelucrare

Verifică dacă ai documentat toate activitățile de prelucrare a datelor personale, temeiul legal, categoriile de date și termenele de retenție.

Consimțăminte și baze legale

Auditează consimțămintele colectate: dacă sunt granulare, dacă poți dovedi obținerea lor și dacă permit retragerea facilă.

Politica de confidențialitate

Verifică dacă politica respectă cerințele Art. 13-14 GDPR: identitatea operatorului, scopurile prelucrării, drepturile persoanelor vizate.

Contracte cu procesatorii (DPA)

Identifică toți procesatorii de date (cloud, HR software, CRM) și verifică existența contractelor de prelucrare conform Art. 28.

Procedura de gestionare breșe

Verifică dacă ai procedura documentată pentru notificarea ANSPDCP în 72 de ore și informarea persoanelor afectate.

○

Evaluare impact (DPIA)

Determină dacă activitățile tale de prelucrare necesită o Evaluare a Impactului asupra Protecției Datelor (DPIA).

○

Transfer date internaționale

Verifică dacă transmiți date în afara UE și dacă ai mecanismele legale necesare (SCCs, BCRs, adecvare).

○

Responsabil cu Protecția Datelor (DPO)

Determină dacă organizația ta are obligația de a desemna un DPO și dacă rolul este corect documentat.

! = Obligatoriu pentru toate organizațiile · ○ = Obligatoriu în funcție de activitate

Drepturile persoanelor vizate — termene de răspuns

Organizația ta trebuie să poată răspunde la exercitarea drepturilor GDPR în termenele legale. Auditul verifică dacă ai procedurile documentate:

Drept	Termen răspuns
Dreptul de acces (Art. 15)	30 zile
Dreptul la rectificare (Art. 16)	Fără întârziere
Dreptul la ștergere (Art. 17)	Fără întârziere
Dreptul la portabilitate (Art. 20)	30 zile
Dreptul la opoziție (Art. 21)	Imediat
Dreptul de a nu fi supus profilării (Art. 22)	Imediat

Amenzi GDPR — ce riscă organizația ta

ANSPDCP (Autoritatea Națională de Supraveghere) a emis amenzi de zeci de mii de EUR pentru companii românești. GDPR prevede două niveluri de sancțiuni:

Amenzi Nivel I

Până la 10.000.000 EUR sau 2% cifră de afaceri globală

Exemple: Lipsă registru prelucrare, nerespectare condiții procesator, lipsă DPO

Amenzi Nivel II

Până la 20.000.000 EUR sau 4% cifră de afaceri globală

Exemple: Prelucrare ilegală, încălcarea drepturilor persoanelor, transfer ilegal în state terțe

Important: Amenzile se aplică per incident, nu per companie. O singură breșă de date neraportată poate genera atât amenda pentru lipsa procedurii, cât și amenda pentru notificarea tardivă.

Modulul GDPR din ALCIV — conformitate continuă

Registru activități

Documentează automat toate activitățile de prelucrare cu temei legal, categorii date și retenție.

Gestionare consimțăminte

Colectare, stocare și retragere consimțăminte cu audit trail complet și dovadă legală.

Raportare breșe

Workflow ghidat pentru notificarea ANSPDCP în 72 de ore și comunicarea către persoanele afectate.

Auditează conformitatea GDPR a organizației tale

10 minute, gratuit, fără date personale. Raport complet cu gaps și plan de acțiune prioritizat.

Începe auditul GDPR — gratuit