Ghiduri
Registrul de evidență a activităților de prelucrare (art. 30 GDPR): cine e obligat și ce conține
Mulți cred că, dacă au sub 250 de angajați, nu trebuie să țină registrul de prelucrări. Greșit, din cauza a trei excepții. Vezi cine e obligat, ce conține registrul operatorului și al persoanei împuternicite și cum îl ții corect.
„Avem sub 250 de angajați, deci nu ne trebuie registrul." E una dintre cele mai răspândite și mai costisitoare neînțelegeri despre GDPR. Registrul de evidență a activităților de prelucrare pare o formalitate de corporație, așa că multe firme mici îl ignoră, convinse că pragul de 250 le scapă. În realitate, acel prag are trei excepții care anulează scutirea în aproape toate cazurile reale.
Vei vedea ce este registrul, cine e obligat să îl țină, de ce nici firmele sub 250 de angajați nu scapă, ce trebuie să conțină și cum îl ții corect, fără vreun formular oficial impus. Reține de la început: acesta e un ghid general, nu o consultanță juridică pentru cazul tău.
Ce este registrul de evidență a prelucrărilor
Registrul, prevăzut de articolul 30 din GDPR, este o evidență a tuturor modurilor în care firma ta folosește date personale: ce date colectezi, în ce scop, de la cine, cui le dai mai departe și cât le ții. E, practic, harta prelucrărilor tale. Nu e doar o cerință birocratică: fără ea nu poți demonstra că respecți principiul responsabilizării din GDPR și nu ai cum să răspunzi coerent la o solicitare a unei persoane sau la un control. Este temelia pe care se construiesc apoi politica de confidențialitate și restul măsurilor.
Cine e obligat: operator sau persoană împuternicită
Articolul 30 vorbește despre două roluri. Operatorul este cel care decide de ce și cum se prelucrează datele, de pildă firma ta față de datele clienților și angajaților. Persoana împuternicită prelucrează date în numele altcuiva, de exemplu un furnizor de servicii IT, o firmă de contabilitate sau o platformă de email marketing. Ambele au obligația de a ține un registru, dar cu un conținut diferit: cel al operatorului e mai detaliat, cel al persoanei împuternicite e mai scurt. Aceeași firmă poate fi, în paralel, operator pentru unele date și persoană împuternicită pentru altele.
Excepția sub 250 de angajați și de ce aproape nimeni nu scapă
Articolul 30(5) pare să scutească firmele cu mai puțin de 250 de angajați. Doar că aceeași frază adaugă trei excepții, iar dacă te încadrezi în oricare dintre ele, scutirea dispare. Sunt alternative, deci e suficientă una singură.
Prelucrarea poate genera un risc
Dacă prelucrarea e susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor. Grupul de lucru european a subliniat că e vorba de un risc, nu neapărat un risc ridicat.
Prelucrarea nu este ocazională
Dacă prelucrarea e regulată, parte din mersul obișnuit al afacerii. Prelucrarea curentă a datelor angajaților și clienților nu e „ocazională".
Date sensibile sau penale
Dacă prelucrezi date sensibile (de sănătate, biometrice și altele) sau date privind condamnări și infracțiuni, indiferent de volum.
Aproape orice firmă prelucrează date în mod regulat
Ce conține registrul operatorului
Registrul operatorului, conform articolului 30(1), cuprinde, printre altele, următoarele elemente.
Cine ești și cine e DPO
Datele de contact ale operatorului și, unde e cazul, ale operatorului asociat, ale reprezentantului și ale responsabilului cu protecția datelor.
Scopurile prelucrării
De ce prelucrezi datele: facturare, livrare, recrutare, marketing, evidența personalului.
Categoriile de persoane și de date
Despre cine sunt datele (clienți, angajați, furnizori) și ce categorii de date sunt (contact, financiare, eventual sensibile).
Categoriile de destinatari
Cui transmiți datele, inclusiv destinatari din afara țării: curieri, procesatori de plăți, autorități, furnizori IT.
Transferuri în afara UE
Dacă datele ajung în afara Uniunii Europene și pe ce garanții se bazează transferul.
Termenele de ștergere
Cât păstrezi fiecare categorie de date, acolo unde e posibil de stabilit.
Măsurile de securitate
O descriere generală a măsurilor tehnice și organizatorice de securitate, în sensul articolului 32.
Ce conține registrul persoanei împuternicite
Dacă prelucrezi date în numele altcuiva, registrul tău e mai scurt, conform articolului 30(2): datele de contact ale tale, ca persoană împuternicită, și ale fiecărui operator pentru care lucrezi, plus ale DPO, dacă există; categoriile de prelucrări făcute pentru fiecare operator; eventualele transferuri în afara UE și garanțiile lor; și o descriere generală a măsurilor de securitate. Pe scurt, nu trebuie să descrii scopurile clientului tău, ci ce faci tu cu datele lui.
Ce formă are registrul și ce faci cu el
Nu există un formular oficial obligatoriu. Articolul 30(3) cere doar ca registrul să fie în formă scrisă, inclusiv electronică, deci un fișier de tip Excel sau un tabel bine structurat este perfect acceptabil, atât timp cât e complet și actualizat. Iar articolul 30(4) spune că registrul se pune la dispoziția autorității de supraveghere la cerere. Asta înseamnă că nu îl depui și nu îl înregistrezi nicăieri din proprie inițiativă: îl ții pregătit, iar ANSPDCP îl poate cere la un control. Autorități precum CNIL pun la dispoziție modele gratuite, utile ca punct de plecare.
Mituri despre registru
Mit: sub 250 de angajați sunt scutit
Fals în majoritatea cazurilor, din cauza celor trei excepții. Prelucrarea regulată a datelor de personal și de clienți te readuce sub obligație.
Mit: trebuie să trimit registrul la ANSPDCP
Fals. Se prezintă doar la cerere, la un control. Nu există o obligație de depunere proactivă.
Mit: e un document făcut o singură dată
Fals. Trebuie să reflecte prelucrările reale și actualizat ori de câte ori apar prelucrări noi sau se schimbă cele existente.
Mit: doar operatorii au nevoie de el
Fals. Și persoanele împuternicite au propriul registru, mai scurt, conform articolului 30(2).
Dar propunerea de a ridica pragul la 750?
În 2025 a existat o propunere a Comisiei Europene de a relaxa această obligație, inclusiv prin ridicarea pragului spre 750 de angajați și adăugarea unui criteriu de risc. Este însă doar o propunere, aflată încă în dezbatere, nu o lege în vigoare. Până la o eventuală adoptare, rămâne valabilă regula actuală, cu pragul de 250 de angajați și cele trei excepții. Nu îți construi conformarea pe o modificare care s-ar putea schimba sau care ar putea să nu treacă.
Cum se leagă de restul obligațiilor
Registrul nu trăiește singur. El alimentează cu informații politica de confidențialitate și ajută un responsabil cu protecția datelor să își facă treaba. Iar dacă vrei să vezi ce se întâmplă când lipsesc măsurile și evidențele de bază, citește despre amenzile GDPR din 2025.
Vrei un registru corect, nu un fișier de formă
Întrebări frecvente
Am sub 250 de angajați. Trebuie să țin registrul de prelucrări?
Cel mai probabil, da. Excepția pentru firmele sub 250 de angajați din articolul 30(5) are trei excepții care o anulează: dacă prelucrarea poate genera un risc pentru persoane, dacă nu este ocazională, sau dacă include date sensibile ori date penale. Grupul de lucru european a explicat că prelucrarea obișnuită a datelor angajaților și clienților nu e „ocazională", așa că aproape orice firmă trebuie să țină măcar un registru parțial.
Trebuie să trimit registrul la ANSPDCP?
Nu din proprie inițiativă. Articolul 30(4) spune că registrul se pune la dispoziția autorității de supraveghere la cerere. Cu alte cuvinte, îl ții pregătit și actualizat, iar ANSPDCP îl poate cere la un control. Nu există o obligație de a-l depune sau înregistra undeva în mod proactiv, dar lipsa lui sau un registru incomplet te pot pune în dificultate la o verificare.
Ce trebuie să conțină registrul?
Registrul operatorului cuprinde, printre altele, datele de contact ale operatorului și ale DPO, scopurile prelucrării, categoriile de persoane și de date, categoriile de destinatari, eventualele transferuri în afara UE, termenele de ștergere acolo unde e posibil și o descriere generală a măsurilor de securitate. Persoana împuternicită ține un registru mai scurt, despre prelucrările făcute în numele fiecărui operator. Nu există un formular impus: un fișier de tip Excel este suficient, atât timp cât e complet și în formă scrisă sau electronică.
Nu se schimbă pragul la 750 de angajați?
A existat în 2025 o propunere a Comisiei Europene de a relaxa această obligație, inclusiv prin ridicarea pragului spre 750 de angajați, dar este doar o propunere, încă în dezbatere, nu o lege în vigoare. Până la o eventuală adoptare, rămâne valabilă regula actuală, cu pragul de 250 de angajați și cele trei excepții. Nu îți construi conformarea pe o modificare care s-ar putea schimba sau care ar putea să nu treacă.
Citește și
GhiduriDPO: când e obligatoriu un responsabil cu datele
Nu orice firmă are nevoie de un DPO, dar multe cred greșit că sunt obligate, sau că nu sunt. Vezi cele trei cazuri clare din GDPR, ce face un responsabil cu protecția datelor și cum îl declari la ANSPDCP.
GhiduriPolitica de confidențialitate pe site: e obligatorie?
Aproape orice site cu un formular de contact, comenzi sau analytics are nevoie de o politică de confidențialitate. Vezi ce trebuie să conțină legal, prin ce diferă de politica de cookie-uri și ce te poate costa lipsa ei.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.