Legea 190/2018: ce este și ce adaugă la GDPR

Legea 190/2018 este legea românească care pune GDPR în aplicare la nivel național. Nu înlocuiește regulamentul european, ci adaugă reguli proprii acolo unde GDPR lasă libertate fiecărui stat membru. A intrat în vigoare la 31 iulie 2018.

GDPR se aplică direct în toată Uniunea Europeană, dar lasă câteva decizii în seama statelor: cum tratezi numerele de identificare națională, cum monitorizezi angajații, ce regim de sancțiuni au autoritățile publice. Legea 190/2018 completează exact aceste goluri pentru România.

Diferența dintre GDPR și Legea 190/2018

Aspect	GDPR	Legea 190/2018
Tip de act	Regulament UE, direct aplicabil	Lege națională românească
Rol	Cadrul general de protecție a datelor	Reguli specifice pentru România
Acoperă	Principii, drepturi, obligații generale	CNP, monitorizare angajați, DPO, contexte speciale
În vigoare din	25 mai 2018	31 iulie 2018

Cele două se citesc împreună. Când prelucrezi date personale, obligațiile de bază vin din GDPR, iar regulile românești suplimentare vin din Legea 190/2018. Legea nu poate contrazice regulamentul, doar îl detaliază.

Prevederile principale ale legii

Legea 190/2018 are articole cu impact direct asupra firmelor:

• Art. 2 definește numărul de identificare național, adică numărul prin care o persoană este identificată într-un sistem de evidență. CNP-ul intră în această categorie.
• Art. 3 reglementează categoriile speciale de date: origine rasială, opinii politice, date genetice, biometrice și de sănătate.
• Art. 4 cere, pentru prelucrarea CNP pe baza interesului legitim, măsuri tehnice de securitate, termene clare de ștergere și desemnarea unui responsabil cu protecția datelor.
• Art. 5 stabilește când poți monitoriza electronic angajații: numai după informarea lor prealabilă, consultarea sindicatului sau a reprezentanților și cu stocare de maximum 30 de zile.
• Art. 10 trimite la GDPR pentru condițiile de numire a unui responsabil cu protecția datelor.

Restul legii acoperă contexte speciale (jurnalism, cercetare științifică, partide politice) și regimul sancțiunilor.

Legea 190/2018 mai e în vigoare în 2026?

Da. Legea este în vigoare din 31 iulie 2018 și nu a fost abrogată. Versiunea actualizată se găsește pe Portalul Legislativ și pe site-ul ANSPDCP.

Pe cine afectează Legea 190/2018

Te afectează dacă firma ta prelucrează date personale, indiferent de mărime. În practică, articolele care prind cel mai des firmele pe picior greșit sunt cele despre CNP și monitorizarea angajaților.

Ai un SRL de transport cu 14 angajați și mașini cu GPS. Înregistrezi și poziția șoferilor, și copii după cărțile de identitate ale clienților. Legea 190/2018 îți cere trei lucruri concrete: informezi șoferii în scris despre GPS, ștergi datele de localizare după 30 de zile și ții copiile cu CNP într-un sistem cu acces restricționat. Dacă lipsește una, prelucrarea devine ilegală.

Trebuie să numesc un DPO din cauza Legii 190/2018?

Dacă prelucrezi CNP pe baza interesului legitim, Art. 4 cere explicit desemnarea unui responsabil cu protecția datelor. În firmele mici, același angajat poate acoperi acest rol, dar numele și contactul trebuie comunicate la ANSPDCP.

Sancțiunile prevăzute de lege

Pentru firmele private rămân valabile amenzile GDPR: până la 20 de milioane EUR sau 4% din cifra de afaceri anuală globală. Pentru autoritățile și organismele publice, Legea 190/2018 prevede un regim mai blând: întâi avertisment cu plan de remediere în 90 de zile, apoi amenzi între 10.000 și 200.000 lei.

Aplicarea este reală. În 2025, ANSPDCP a finalizat 488 de investigații și a dat 96 de amenzi GDPR. Cele mai multe au vizat măsuri tehnice insuficiente și prelucrare fără temei legal.

Un sistem de management al securității informației, precum ISO 27001, documentează chiar controalele cerute de aceste articole. Pentru maparea concretă a fiecărui articol pe controale, vezi ghidul despre GDPR, Legea 190/2018 și ISO 27701.