GDPR în România — Ce drepturi ai asupra datelor tale personale

Ce este GDPR și de ce te privește

GDPR (Regulamentul General privind Protecția Datelor — UE 2016/679) este aplicabil în România din 25 mai 2018 și îți oferă drepturi concrete asupra datelor personale pe care companiile le colectează despre tine. Orice organizație care prelucrează datele tale — bănci, spitale, angajatori, magazine online, aplicații — trebuie să respecte aceste reguli.

În România, autoritatea de supraveghere este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal).

Drepturile tale conform GDPR

1. Dreptul de acces (Art. 15)

Poți solicita oricând să știi ce date personale deține o companie despre tine, scopul prelucrării, cui le transmite și cât timp le păstrează. Organizația are obligația să îți răspundă în 30 de zile calendaristice.

2. Dreptul la rectificare (Art. 16)

Dacă datele sunt incorecte sau incomplete, poți solicita corectarea lor. Compania trebuie să le rectifice fără întârziere nejustificată.

3. Dreptul la ștergere — „dreptul de a fi uitat" (Art. 17)

Poți solicita ștergerea datelor tale dacă:

• Datele nu mai sunt necesare scopului pentru care au fost colectate
• Ți-ai retras consimțământul și nu există alt temei legal
• Te-ai opus prelucrării și nu există motive legitime care să prevaleze
• Datele au fost prelucrate ilegal

Atenție: Dreptul la ștergere nu este absolut — există excepții (obligații legale, interes public, litigii etc.)

4. Dreptul la restricționarea prelucrării (Art. 18)

Poți solicita „înghețarea" prelucrării datelor tale (fără ștergere) în anumite situații, de exemplu dacă contești exactitatea datelor sau dacă te-ai opus prelucrării.

5. Dreptul la portabilitate (Art. 20)

Poți cere datele tale într-un format structurat, utilizat curent și citibil de o mașină (ex: JSON, CSV) pentru a le transfera unui alt operator. Se aplică datelor furnizate de tine, prelucrate pe baza consimțământului sau contractului.

6. Dreptul la opoziție (Art. 21)

Poți să te opui oricând prelucrării datelor tale în scop de marketing direct — compania trebuie să înceteze imediat. Pentru alte scopuri, opoziția poate fi respinsă dacă operatorul dovedește motive legitime imperioase.

Cum exerciți aceste drepturi

Trimite o solicitare scrisă (email sau scrisoare) la responsabilul cu protecția datelor (DPO) al organizației. Indică clar:

• Identitatea ta
• Dreptul pe care îl exerciți
• Datele la care te referi

Organizația trebuie să răspundă în 30 de zile (poate prelungi cu încă 60 de zile în cazuri complexe, cu notificare).

Răspunsul este gratuit pentru prima solicitare. Pentru cereri vădit nefondate sau excesive, pot percepe o taxă rezonabilă.

Cum depui o plângere la ANSPDCP

Dacă o organizație nu îți respectă drepturile GDPR, poți depune o plângere la ANSPDCP:

• Online pe site-ul anspdcp.ro
• Prin poștă sau depus direct la sediu (B-dul Magheru nr. 28-30, București)
• Plângerea este gratuită
• ANSPDCP are obligația să ancheteze și să răspundă

Ce amenzi riscă companiile

Amenzile GDPR sunt dintre cele mai mari din legislația europeană:

• Până la 10 milioane euro sau 2% din cifra de afaceri anuală globală — pentru încălcări mai puțin grave
• Până la 20 milioane euro sau 4% din cifra de afaceri anuală globală — pentru încălcări grave (lipsa temeiului legal, nerespectarea drepturilor persoanelor)

ANSPDCP a aplicat deja amenzi semnificative unor companii din România, inclusiv operatori de telefonie și bănci.

Cookie-uri și consimțământ

Conform Legii 506/2004, site-urile web trebuie să obțină consimțământul tău înainte de a instala cookie-uri non-esențiale (marketing, analiză). Poți refuza oricând cookie-urile, iar refuzul trebuie să fie la fel de ușor ca acceptarea.