GDPR ca lege de securitate: art. 32, breșele în 72 de ore și evidența prelucrărilor
GDPR e cunoscut pentru consimțământ și cookie-uri — dar amenzile din România vin cel mai des din altă parte: măsuri de securitate insuficiente. Articolul 32 îți cere să protejezi efectiv datele personale, articolul 33 îți dă 72 de ore să anunți o breșă, iar articolul 30 îți cere evidența prelucrărilor. Ghidul de față ia exact acest unghi: GDPR ca lege de securitate a datelor — ce cere concret și cum bifezi cerințele o singură dată, împreună cu NIS2.
01GDPR e și lege de securitate, nu doar de consimțământ
Regulamentul (UE) 2016/679 are două fețe. Prima — cea faimoasă — e despre drepturile persoanelor: temeiuri de prelucrare, informare, acces, ștergere. A doua, mai puțin discutată dar la fel de sancționabilă, e despre protecția efectivă a datelor: securitatea prelucrării (art. 32), notificarea breșelor (art. 33–34) și responsabilitatea demonstrabilă (art. 5(2) și 24). În practica autorității române ANSPDCP, o parte consistentă a amenzilor vine tocmai din măsuri de securitate insuficiente — parole slabe, acces nelimitat al angajaților, date pierdute sau expuse din neglijență tehnică.
Concluzia practică: dacă firma ta prelucrează date personale — și aproape orice firmă o face, măcar pentru angajați și clienți — ai obligații de securitate concrete, indiferent că nu intri sub NIS2 sau DORA.
02Ce cere concret articolul 32
Art. 32 cere „măsuri tehnice și organizatorice adecvate” pentru un nivel de securitate corespunzător riscului. Formularea e deliberat flexibilă — dar articolul numește explicit câteva măsuri de referință:
- Pseudonimizarea și criptarea datelor cu caracter personal — în tranzit și la stocare.
- Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continuă a sistemelor și serviciilor de prelucrare.
- Capacitatea de a restabili disponibilitatea și accesul la date în timp util după un incident fizic sau tehnic — adică backup testat, nu doar existent.
- Un proces de testare, evaluare și apreciere periodică a eficacității măsurilor — verifici regulat că funcționează, nu doar că sunt scrise.
„Adecvat riscului” înseamnă că măsurile se calibrează după natura datelor și impactul potențial: un cabinet medical cu date de sănătate are alt prag decât un magazin online cu adrese de livrare. Dar minimul de igienă — control de acces, criptare, backup, jurnalizare, instruirea angajaților — e greu de negociat în fața autorității indiferent de mărime.
03Breșele de date: cele 72 de ore, pas cu pas
- Detectezi și oprești: izolezi sistemele afectate, oprești scurgerea, păstrezi dovezile.
- Evaluezi riscul pentru persoane: ce date au fost afectate, ale cui, ce consecințe pot apărea (fraudă, discriminare, prejudiciu de imagine).
- Notifici ANSPDCP în cel mult 72 de ore de la constatare (art. 33) — cu excepția cazului în care breșa e improbabil să genereze un risc pentru persoane. Dacă nu ai toate informațiile, notifici în etape.
- Informezi persoanele afectate fără întârzieri nejustificate dacă riscul e ridicat (art. 34) — direct, pe înțeles, cu recomandări concrete.
- Documentezi TOT în registrul intern de breșe — inclusiv incidentele pe care ai decis să NU le notifici, cu justificare (art. 33(5)).
04Evidența prelucrărilor (art. 30): harta datelor tale
Registrul activităților de prelucrare e inventarul obligatoriu al datelor personale: ce categorii de date prelucrezi, în ce scopuri, pe ce temei, cui le transmiți, cât le păstrezi și — direct legat de securitate — ce măsuri tehnice și organizatorice le protejează. Formal, firmele sub 250 de angajați au o derogare, dar ea cade dacă prelucrarea e regulată (cum e la aproape orice angajator sau magazin online), așa că în practică registrul e necesar aproape mereu. Dincolo de obligație, e cel mai bun punct de pornire pentru securitate: nu poți proteja date despre care nu știi că există.
05Suprapunerea GDPR–NIS2: măsurile se bifează o dată
Dacă intri și sub NIS2, vestea bună e că măsurile de securitate se suprapun masiv: controlul accesului, criptarea, backup-ul, managementul incidentelor, instruirea angajaților acoperă simultan art. 32 GDPR și art. 21 NIS2. Diferența e la raportare — regimuri paralele, nu alternative: o breșă de date personale care e și incident semnificativ NIS2 se raportează și la ANSPDCP (72h), și la DNSC (24h/72h/1 lună), pe formulare și criterii diferite. Măsurile le implementezi o dată; obligațiile de raportare rămân separate.
06Greșeli frecvente care aduc amenzi
- Acces nelimitat: toți angajații văd toate datele, conturi partajate, fără jurnalizare — imposibil de demonstrat cine a accesat ce.
- Backup inexistent sau netestat: art. 32 cere explicit capacitatea de restabilire în timp util.
- Date trimise greșit: e-mail cu destinatar greșit, documente cu date personale expuse public — breșe banale, frecvent sancționate.
- Angajați neinstruiți: phishing-ul reușit e breșă de date; instruirea periodică e măsură organizatorică cerută.
- Breșe nenotificate sau notificate târziu: amânarea „să vedem dacă se află” transformă un incident gestionabil într-o sancțiune dublă.
- Furnizori fără garanții: împuterniciții (procesatorii) trebuie aleși cu garanții de securitate și legați prin acord de prelucrare (art. 28).
07Amenzile: două plafoane
| Încălcarea | Plafonul maxim |
|---|---|
| Obligațiile de securitate (art. 32), notificarea breșelor, evidența prelucrărilor | până la 10 mil. € sau 2% din cifra de afaceri globală anuală — oricare e mai mare |
| Principiile de prelucrare, temeiurile, drepturile persoanelor | până la 20 mil. € sau 4% din cifra de afaceri globală anuală — oricare e mai mare |
În România amenzile sunt de regulă mult sub plafoane, dar frecvente și publice — ANSPDCP publică sancțiunile pe site, cu numele operatorului. Costul reputațional se adaugă celui financiar.
08Cum te ajută Normward
Normward tratează GDPR exact pe unghiul acestui ghid: securitatea datelor. Ai un catalog de 35 de controale evaluabile — de la temeiuri și evidența prelucrărilor până la măsurile art. 32, breșe și relația cu împuterniciții — cu evaluare pe politică + implementare, scor, lacune și plan de remediere, pe același motor ca NIS2 și ISO 27001. Onest: generarea de documente cu AI pentru GDPR (registrul art. 30, procedura de breșe) e în lucru — evaluarea și gap analysis-ul sunt complete. Iar dacă gestionezi și NIS2, măsurile comune le evaluezi o singură dată per cadru, cu tot contextul în același loc.
GDPR pe securitate, în cifre
- Actul de bază
- Regulamentul (UE) 2016/679, aplicabil din 25 mai 2018
- Autoritatea în România
- ANSPDCP
- Notificarea breșelor
- 72 de ore de la constatare (art. 33)
- Amenda pe securitate
- până la 10 mil. € sau 2% din cifra de afaceri globală
- Articolele-cheie de securitate
- art. 5(1)(f), 24, 25, 28, 30, 32–34
Surse și texte oficiale
Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.