Audit GDPR pas cu pas pentru primării — ghid practic 2026
Auditul GDPR este temut, dar e mult mai abordabil decât pare — cu condiția să fie făcut metodic. Acest ghid descrie pașii pe care îi parcurgem cu primăriile partenere, cu accent pe ce documente verifică inspectorii ANSPDCP la control și ce evidențe trebuie să existe în registratură.
Pasul 1 — Inventarul prelucrărilor (RoPA)
Registrul de evidență a prelucrărilor (Records of Processing Activities) este documentul central. Se face pe departament și include: scopul prelucrării, baza legală, categoriile de date, categoriile de persoane vizate, perioada de retenție, măsurile de securitate, transferurile către terți. Pentru o primărie tipică, ies între 30 și 60 de prelucrări distincte.
Departamentele cu cel mai mare volum de prelucrări: Asistență Socială, Stare Civilă, Registru Agricol, Resurse Umane, Taxe și Impozite. Aici se concentrează și riscul cel mai mare la control.
Pasul 2 — Evaluarea de impact (DPIA) pentru prelucrări cu risc înalt
Nu toate prelucrările necesită DPIA — doar cele care prezintă risc înalt. ANSPDCP a publicat liste de prelucrări care necesită obligatoriu DPIA. Pentru primării, exemple frecvente: monitorizare video în spații accesibile publicului, prelucrare pe scară largă a categoriilor speciale (date de sănătate la cabinetele școlare), evaluare automatizată în asistență socială.
Pasul 3 — Politicile interne
Setul minim funcțional include 5 până la 8 documente, în funcție de complexitatea instituției:
- Politica generală de protecție a datelor
- Politica de retenție și ștergere
- Politica de utilizare echipamente IT
- Procedura de gestionare a incidentelor de securitate
- Procedura de exercitare a drepturilor persoanelor vizate
- Politica de cookies (pentru site)
- Acord de prelucrare cu împuterniciții (model)
- Procedura de notificare ANSPDCP în 72h
Pasul 4 — Formarea angajaților
Formare obligatorie, cu atestare nominală. Inspectorii cer să vadă listele de prezență și suportul de curs. Recomandăm o sesiune anuală de 2-3 ore + scurtă verificare a înțelegerii. Pentru funcționarii din departamentele cu risc înalt, formare separată mai detaliată.
Pasul 5 — DPO desemnat și activ
Pentru autoritățile publice DPO este obligatoriu. Inspectorii nu acceptă DPO „pe hârtie” — verifică rapoartele trimestriale, registrul cererilor persoanelor vizate, comunicarea efectivă cu ANSPDCP. Un DPO extern profesionist costă mai puțin decât un angajat dedicat și aduce expertiză multi-instituțională.
Pasul 6 — Mecanism de exercitare a drepturilor persoanelor vizate
Cetățenii au dreptul la informare, acces, rectificare, ștergere, restricționare, opoziție, portabilitate. Trebuie să existe un canal clar (formular online sau email dedicat de tip dpo@institutie.ro), un proces documentat de răspuns în 30 de zile și un registru intern al cererilor primite și răspunsurilor.
Ce verifică efectiv inspectorul la control
Din experiența noastră: cere RoPA pe departament, cere ultimul raport DPO, verifică un caz concret de cerere persoană vizată (de la primire la răspuns), urmărește un dosar de incident de securitate (chiar dacă a fost minor), verifică documentele de formare angajați. Dacă toate aceste cinci verificări trec curat, restul controlului devine formal.
Cât durează implementarea completă
Pentru o primărie nouă (fără implementare GDPR anterioară): 6 până la 8 săptămâni pentru audit, RoPA, politici și formare. Apoi DPO extern lunar, cu raport trimestrial, devine treabă de rutină.
Pregătiți primăria pentru control? Vedeți serviciul nostru GDPR & DPO extern sau solicitați un audit pre-control. Cu noi se rezolvă fără surprize.