Legea 190/2018 impune patru garantii cumulative cand prelucrezi CNP pe baza interesului legitim: masuri tehnice conform Art. 32 GDPR, DPO, termene de stergere si instruire periodica. Aceste patru cerinte sunt chiar lucrurile pe care un sistem ISO 27701 le documenteaza oricum. Daca ai deja standardul implementat, Legea 190/2018 devine o problema de mapare, nu de munca suplimentara.
Legea 190/2018 completeaza GDPR cu reguli nationale pentru Romania. Articolele cu impact operational direct sunt Art. 4 (prelucrarea CNP si a altor numere de identificare nationala), Art. 5 (monitorizarea angajatilor) si Art. 10 (desemnarea DPO). Restul articolelor reglementeaza contexte speciale: jurnalism, cercetare stiintifica, partide politice.
Aplica Art. 4 pentru prelucrarea CNP
Art. 4 din Legea 190/2018 se aplica la orice firma care foloseste CNP, seria si numarul cartii de identitate, numarul pasaportului, numarul permisului de conducere sau numarul asigurarii de sanatate pe baza interesului legitim (Art. 6 alin. 1 lit. f GDPR). Cerintele sunt cumulative, deci lipsa uneia inseamna incalcare.
Cele patru garantii pe care trebuie sa le poti demonstra:
- Masuri tehnice si organizatorice conform Art. 32 GDPR (criptare, control acces, jurnale)
- Desemnarea unui responsabil cu protectia datelor (DPO)
- Termene clare de stocare si procedura de stergere
- Instruire periodica a personalului care proceseaza aceste date
Un sistem ISO 27701 acopera toate cele patru puncte prin controale din clauza 6.12 (sensibilizare si instruire), 6.15 (managementul accesului), 6.11 (criptare) si documentatia din Anexa B. DPO nu este o cerinta a standardului, dar este cerinta explicita atat a GDPR, cat si a Legii 190/2018.
Ai un SRL de recrutare cu 12 angajati care stocheaza CV-uri cu CNP pentru clientii din Bucuresti. Fara ISO 27701, pregatesti manual patru documente separate pentru fiecare control ANSPDCP: registrul activitatilor, politica de criptare, procedura de stergere la 30 de zile dupa incheierea recrutarii si dovada instruirii anuale. Cu ISO 27701, toate sunt generate din sistem la ultima reactualizare si legate prin referinte incrucisate.
Documenteaza monitorizarea angajatilor conform Art. 5
Art. 5 din Legea 190/2018 este articolul care prinde cele mai multe firme pe picior gresit. Monitorizarea electronica a angajatilor (camere video, GPS pe autovehicule, interceptarea email-urilor, keystroke loggers) este legala doar daca indeplinesti cinci conditii in paralel.
Conditiile din Art. 5:
- Interesele legitime ale angajatorului sunt justificate si prevaleaza asupra drepturilor salariatilor
- Angajatorul a informat in prealabil salariatii, in mod complet si explicit
- Consulta sindicatul sau, in absenta acestuia, reprezentantii salariatilor
- Alte forme si modalitati mai putin intruzive nu si-au atins scopul anterior
- Perioada de stocare a datelor este de maxim 30 de zile, cu exceptiile prevazute de lege
In 2025, ANSPDCP a sanctionat o firma cu 3.000 EUR pentru monitorizare audio-video fara informare corecta si un angajator cu 2.000 EUR pentru sistem GPS instalat pe un autovehicul de serviciu fara temei legal clar. Ambele cazuri reveneau la acelasi tipar: lipsa consultarii salariatilor si a documentatiei prealabile.
ISO 27701 cere ca fiecare categorie de date personale sa aiba un scop declarat, un temei legal si un termen de stocare asociat. Cand mapezi camerele de supraveghere ca activitate de prelucrare in registrul PIMS, sistemul te forteaza sa completezi termenul (maxim 30 de zile), temeiul (interes legitim plus Art. 5 Legea 190/2018) si dovada notificarii. Daca lasi un camp gol, auditul intern ridica neconformitate.
Gresala frecventa: stocarea inregistrarilor video 3 luni pentru siguranta. Consecinta: Art. 5 este incalcat din momentul zilei 31, iar ANSPDCP aplica amenzi intre 1.500 si 4.000 EUR la cazurile vizibile in 2025. Corectia: scurteaza perioada la 30 de zile in politica PIMS, configureaza stergerea automata pe recorder si documenteaza in registru.
Desemneaza DPO conform Art. 10
Art. 10 din Legea 190/2018 trimite direct la Art. 37 si 38 GDPR pentru conditiile de numire a DPO. Legea adauga o prevedere specifica pentru sectorul public: autoritatile publice pot desemna un singur DPO pentru mai multe entitati, pe baza structurii organizationale si a dimensiunii acestora.
Pentru firmele private, DPO este obligatoriu daca:
- Esti autoritate sau organism public (cu exceptia instantelor judecatoresti)
- Activitatea principala presupune monitorizarea sistematica a persoanelor la scara larga
- Prelucrezi la scara larga categorii speciale de date (sanatate, biometrice, genetice) sau date legate de condamnari
ISO 27701 nu cere DPO direct, dar impune desemnarea unui rol de responsabil cu sistemul de management al informatiilor de confidentialitate. In firmele mici si mijlocii, acelasi om acopera ambele roluri. Numele, contactul si responsabilitatile trebuie notificate la ANSPDCP prin formularul electronic de pe dataprotection.ro.
Mapeaza controalele ISO 27701 pe Legea 190/2018
Tabelul urmator arata ce acopera ISO 27701:2025 din articolele Legii 190/2018. Pentru fiecare articol, coloana a doua indica zona din standard care raspunde cerintei.
| Articol Legea 190/2018 | Ce cere | Zona ISO 27701:2025 |
|---|---|---|
| Art. 3 (date genetice, biometrice, sanatate) | Temei legal si garantii suplimentare | Clauza 6.12, Anexa A.7.2.2 |
| Art. 4 (CNP pe interes legitim) | 4 garantii cumulative (masuri, DPO, termene, instruire) | Clauze 6.11, 6.12, 6.15, Anexa B.8.2 |
| Art. 5 (monitorizare angajati) | Informare, consultare, 30 zile stocare | Anexa A.7.2.1, A.7.4.3 |
| Art. 10 (DPO) | Desemnare conform GDPR Art. 37 si 38 | Rol definit in clauza 5.1 |
Pentru Art. 7 (jurnalism), Art. 8 (cercetare stiintifica) si Art. 9 (partide politice), standardul nu ofera acoperire directa. Sunt contexte juridice speciale care raman in afara domeniului PIMS.
Alege versiunea corecta a standardului
ISO/IEC 27701:2025 a fost publicat in octombrie 2025 si inlocuieste versiunea 2019. Firmele care au certificare pe 2019 au timp pana in octombrie 2028 sa faca tranzitia. Pentru implementari noi, incepe direct cu 2025.
Principalele schimbari care conteaza pentru operatorii romani:
- Anexa D revizuita, cu mapare mai detaliata pe articolele GDPR
- Certificarea poate fi obtinuta independent, fara sa ai ISO 27001 in prealabil
- Controalele sunt aliniate la structura ISO 27002:2022 (categorii pe teme, nu pe functii)
Daca faci tranzitia de la 2019 la 2025, auditul intern trebuie sa acopere noile mapari din Anexa D si sa actualizeze Declaratia de Aplicabilitate. Procesul tipic dureaza intre 4 si 8 luni, in functie de dimensiunea firmei.
Intelege legatura dintre GDPR si Legea 190/2018
GDPR se aplica direct in toate statele UE din 25 mai 2018. Legea 190/2018, intrata in vigoare cateva luni mai tarziu, nu inlocuieste regulamentul. Adauga prevederi nationale acolo unde GDPR lasa libertate statelor membre: definitia CNP ca numar de identificare nationala, regulile pentru monitorizarea angajatilor, sanctiunile pentru autoritatile publice si cateva contexte speciale (jurnalism, cercetare, partide).
Amenzile maxime raman cele din GDPR: pana la 20 milioane EUR sau 4% din cifra de afaceri globala. Pentru autoritatile publice, Art. 12 si Art. 14 din Legea 190/2018 prevad un regim intermediar: avertisment cu plan de remediere in 90 de zile, apoi amenzi intre 10.000 si 200.000 lei pentru nerespectare.
In 2025, ANSPDCP a finalizat 488 de investigatii si a aplicat 96 de amenzi GDPR, in crestere fata de 476 de investigatii in 2024. Cele mai multe amenzi au vizat masuri tehnice insuficiente, prelucrare fara baza legala si nerespectarea drepturilor persoanelor vizate, exact zonele in care ISO 27701 mapeaza pe GDPR.
Daca vrei sa intelegi diferenta operationala, articolul despre ISO 27001 si GDPR in Romania acopera ce face standardul de securitate, iar comparatia ISO 27001 vs ISO 27701 arata unde intervine extensia de confidentialitate. Pentru procesul concret, vezi cum obtii ISO 27701.