Ce este Legea 190/2018 si ce reguli adauga la GDPR?

Legea 190/2018 este legea romaneasca care pune GDPR in aplicare la nivel national. Nu inlocuieste regulamentul european, ci adauga reguli proprii acolo unde GDPR lasa libertate fiecarui stat membru. A intrat in vigoare la 31 iulie 2018.

GDPR se aplica direct in toata Uniunea Europeana, dar lasa cateva decizii in seama statelor: cum tratezi numerele de identificare nationala, cum monitorizezi angajatii, ce regim de sanctiuni au autoritatile publice. Legea 190/2018 completeaza exact aceste goluri pentru Romania.

Diferenta dintre GDPR si Legea 190/2018

Aspect	GDPR	Legea 190/2018
Tip de act	Regulament UE, direct aplicabil	Lege nationala romaneasca
Rol	Cadrul general de protectie a datelor	Reguli specifice pentru Romania
Acopera	Principii, drepturi, obligatii generale	CNP, monitorizare angajati, DPO, contexte speciale
In vigoare din	25 mai 2018	31 iulie 2018

Cele doua se citesc impreuna. Cand prelucrezi date personale, obligatiile de baza vin din GDPR, iar regulile romanesti suplimentare vin din Legea 190/2018. Legea nu poate contrazice regulamentul, doar il detaliaza.

Prevederile principale ale legii

Legea 190/2018 are articole cu impact direct asupra firmelor:

• Art. 2 defineste numarul de identificare national, adica numarul prin care o persoana este identificata intr-un sistem de evidenta. CNP-ul intra in aceasta categorie.
• Art. 3 reglementeaza categoriile speciale de date: origine rasiala, opinii politice, date genetice, biometrice si de sanatate.
• Art. 4 cere, pentru prelucrarea CNP pe baza interesului legitim, masuri tehnice de securitate, termene clare de stergere si desemnarea unui responsabil cu protectia datelor.
• Art. 5 stabileste cand poti monitoriza electronic angajatii: numai dupa informarea lor prealabila, consultarea sindicatului sau a reprezentantilor si cu stocare de maximum 30 de zile.
• Art. 10 trimite la GDPR pentru conditiile de numire a unui responsabil cu protectia datelor.

Restul legii acopera contexte speciale (jurnalism, cercetare stiintifica, partide politice) si regimul sanctiunilor.

Legea 190/2018 mai e in vigoare in 2026?

Da. Legea este in vigoare din 31 iulie 2018 si nu a fost abrogata. Versiunea actualizata se gaseste pe Portalul Legislativ si pe site-ul ANSPDCP.

Pe cine afecteaza Legea 190/2018

Te afecteaza daca firma ta prelucreaza date personale, indiferent de marime. In practica, articolele care prind cel mai des firmele pe picior gresit sunt cele despre CNP si monitorizarea angajatilor.

Ai un SRL de transport cu 14 angajati si masini cu GPS. Inregistrezi si pozitia soferilor, si copii dupa cartile de identitate ale clientilor. Legea 190/2018 iti cere trei lucruri concrete: informezi soferii in scris despre GPS, stergi datele de localizare dupa 30 de zile si tii copiile cu CNP intr-un sistem cu acces restrictionat. Daca lipseste una, prelucrarea devine ilegala.

Trebuie sa numesc un DPO din cauza Legii 190/2018?

Daca prelucrezi CNP pe baza interesului legitim, Art. 4 cere explicit desemnarea unui responsabil cu protectia datelor. In firmele mici, acelasi angajat poate acoperi acest rol, dar numele si contactul trebuie comunicate la ANSPDCP.

Sanctiunile prevazute de lege

Pentru firmele private raman valabile amenzile GDPR: pana la 20 de milioane EUR sau 4% din cifra de afaceri anuala globala. Pentru autoritatile si organismele publice, Legea 190/2018 prevede un regim mai bland: intai avertisment cu plan de remediere in 90 de zile, apoi amenzi intre 10.000 si 200.000 lei.

Aplicarea este reala. In 2025, ANSPDCP a finalizat 488 de investigatii si a dat 96 de amenzi GDPR. Cele mai multe au vizat masuri tehnice insuficiente si prelucrare fara temei legal.

Un sistem de management al securitatii informatiei, precum ISO 27001, documenteaza chiar controalele cerute de aceste articole. Pentru maparea concreta a fiecarui articol pe controale, vezi ghidul despre GDPR, Legea 190/2018 si ISO 27701.