CRYPTOITDATACRYPTOITDATA

Protecția datelor

Retenția datelor GDPR: cât timp ai voie să le păstrezi

GDPR nu îți dă un număr fix de ani. Iată cât timp ești obligat și cât ai voie să păstrezi datele, ce verifică ANSPDCP în 2026 și cum ștergi corect — inclusiv din backup.

9 min citire

Una dintre cele mai frecvente întrebări pe care ni le pun clienții este simplă: „cât timp am voie să păstrez datele?". În spatele ei se ascunde o practică foarte răspândită în IMM-uri — păstrăm tot, la nesfârșit, „să fie acolo dacă ne trebuie". Mulți ani, asta a părut prudență. În 2026 este, de fapt, un risc de conformitate și de securitate.

Fiecare set de date pe care îl ții fără un motiv valid este o suprafață de atac în plus, un cost de storage în plus și o potențială amendă în plus. Acest ghid îți arată cât timp ești obligat legal să păstrezi anumite documente, cât timp ai voie să păstrezi restul și cum ștergi corect — fără jargon.

Ce spune GDPR: principiul limitării stocării

GDPR nu îți spune un număr fix de ani. Articolul 5(1)(e) — principiul „limitării stocării" — cere ca datele cu caracter personal să fie păstrate doar atât timp cât este necesar pentru scopul în care au fost colectate. Cu alte cuvinte: când scopul a dispărut și nu mai există o bază legală, datele trebuie șterse sau anonimizate.

În practică, retenția este rezultatul unei tensiuni între două forțe. Pe de o parte, principiul minimizării te împinge să ștergi cât mai repede. Pe de altă parte, alte legi (contabile, fiscale, de muncă) te obligă să păstrezi anumite documente ani buni. O politică de retenție corectă găsește, pentru fiecare categorie de date, exact intersecția dintre cele două.

Cât timp ești OBLIGAT să păstrezi (termene legale în România)

Pentru documentele unde legea îți impune un termen minim, acesta prevalează asupra principiului minimizării GDPR. Reperele cele mai des întâlnite la o firmă din România:

  • Registrele contabile obligatorii și documentele justificative: 5 ani, calculați de la 1 iulie a anului următor exercițiului financiar (Legea contabilității 82/1991, modificată prin Legea 36/2023).
  • Statele de salarii: 5 ani — termen redus de la vechiul prag de 50 de ani începând cu 1 ianuarie 2023.
  • Situațiile financiare anuale: 10 ani.
  • Documentele aferente unui contract: pe durata contractului plus perioada de prescripție a eventualelor litigii (în general 3 ani pentru pretenții, mai mult în cazuri speciale).
  • Date din relația de muncă: pe durata angajării plus termenele impuse de legislația muncii și de cea fiscală.

Atenție la tranziția statelor de salarii: reducerea de la 50 la 5 ani nu înseamnă că poți arunca imediat tot ce e mai vechi. Documentele care servesc la stabilirea drepturilor de pensie trebuie tratate cu prudență. Când nu ești sigur, întrebi contabilul sau juristul înainte să ștergi.

Cât timp ai VOIE să păstrezi (când nu există o obligație legală)

Pentru datele care nu cad sub o obligație legală de arhivare, regula se inversează: nu te întrebi „cât pot ține", ci „de ce aș mai ține". Câteva situații tipice:

  • Date colectate pe bază de consimțământ (newsletter, marketing): se șterg când persoana își retrage consimțământul și nu mai există altă bază legală.
  • Lead-uri și formulare de contact necontractate: stabilește un termen rezonabil (de exemplu 12-24 de luni de la ultimul contact) și șterge automat după.
  • Înregistrări CCTV: de regulă zile, nu luni — păstrarea pe termen lung trebuie justificată separat.
  • CV-uri primite spontan: păstrarea peste durata recrutării necesită o bază clară (de exemplu consimțământ pentru o bază de talente).

Dreptul la ștergere — ce verifică acum autoritățile

Pe lângă ștergerea automată la expirarea termenului, ai și o obligație reactivă: dreptul la ștergere („dreptul de a fi uitat", Articolul 17). Când o persoană cere ștergerea datelor sale și nu există un temei pentru a le păstra, trebuie să le ștergi fără întârziere nejustificată — din toate sistemele unde se află.

Acest subiect a fost în centrul acțiunii coordonate de control a Comitetului European pentru Protecția Datelor (EDPB) pe 2025, al cărei raport a fost adoptat pe 18 februarie 2026. Au participat 32 de autorități de supraveghere, iar 764 de operatori — de la IMM-uri la companii mari — au răspuns. Concluziile sunt relevante pentru orice firmă:

  • Lipsa unor proceduri interne clare pentru tratarea cererilor de ștergere.
  • Transparență insuficientă față de persoanele vizate.
  • Folosirea unor tehnici de anonimizare ineficiente ca substitut pentru ștergerea reală.
  • Absența unor perioade de retenție clar definite.
  • Limitări tehnice care împiedică ștergerea efectivă din sistemele de backup.

Ultimul punct este cel pe care firmele îl ignoră cel mai des: dacă ștergi un client din baza de producție, dar el rămâne în backup-uri ani de zile, ștergerea este incompletă. Soluția nu este să nu mai faci backup, ci să ai o politică de retenție a backup-urilor și o procedură documentată: datele șterse din producție „expiră" și din backup pe măsură ce copiile vechi sunt rotite. Aici se întâlnesc protecția datelor (backup și retenție) și conformitatea GDPR.

Amenzile nu sunt teoretice (ANSPDCP 2025-2026)

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) aplică activ sancțiuni. În 2025 a dat 105 amenzi, însumând aproximativ 2,56 milioane de lei (circa 511.000 de euro), dintre care 96 în baza GDPR. Iar în primele patru luni din 2026 a aplicat deja 52 de amenzi, cu o valoare de aproximativ 1,13 milioane de lei (circa 230.500 de euro).

Multe dintre aceste sancțiuni vizează exact lucrurile discutate aici: păstrarea datelor fără temei, lipsa de reacție la cererile persoanelor, securitate insuficientă a datelor păstrate. Pentru un IMM, o singură amendă poate depăși costul unei politici de retenție făcute corect de la început.

Cum construiești o politică de retenție care ține

O politică de retenție utilă nu este un document de 40 de pagini pe care nu-l citește nimeni, ci un set de reguli aplicate efectiv. Traseul pe care îl recomandăm:

  1. 1Inventariază datele: ce categorii deții, unde sunt (aplicații, fișiere, e-mail, backup), cine are acces.
  2. 2Mapează scopul și baza legală pentru fiecare categorie — fără scop și bază legală, datele nu ar trebui să existe.
  3. 3Stabilește un termen de retenție per categorie, la intersecția dintre obligația legală și principiul minimizării.
  4. 4Automatizează ștergerea: pe cât posibil, datele expiră singure, nu depind de cineva care „își aduce aminte".
  5. 5Tratează separat backup-urile: definește retenția copiilor și procedura prin care ștergerile se propagă pe măsură ce backup-urile vechi sunt rotite.
  6. 6Documentează tot: o politică scrisă, justificată, este prima dovadă pe care ți-o cere autoritatea într-un control.

Dacă vrei ca retenția să fie nu doar pe hârtie, ci aplicată tehnic — cu backup testat, retenție automatizată și ștergere conformă — putem să o construim împreună. Vezi serviciul nostru de protecția datelor sau programează o discuție și pornim de la inventarul tău real.

Concluzie

Retenția corectă a datelor nu este despre a păstra cât mai mult, ci despre a păstra exact cât trebuie — și a putea demonstra de ce. Firmele care își pun ordine în asta câștigă pe trei planuri deodată: reduc riscul de amendă, micșorează suprafața de atac și taie costuri de storage inutile. Iar când vine un control sau o cerere de ștergere, răspund în câteva ore, nu în panică.

Întrebări frecvente

GDPR îmi spune exact câți ani să păstrez datele?+

Nu. GDPR cere prin principiul limitării stocării (Art. 5(1)(e)) să păstrezi datele doar atât timp cât este necesar pentru scop. Termenele concrete vin din alte legi (contabile, fiscale, de muncă) sau le stabilești tu, justificat, pentru fiecare categorie de date.

Cât timp trebuie să țin documentele contabile și statele de salarii?+

În România, registrele contabile obligatorii și documentele justificative se păstrează 5 ani (calculați de la 1 iulie a anului următor exercițiului financiar), inclusiv statele de salarii — termen redus de la 50 la 5 ani din 2023. Situațiile financiare anuale se păstrează 10 ani.

Dacă șterg un client din aplicație, dar rămâne în backup, e suficient?+

Nu complet. Ștergerea trebuie să acopere toate sistemele, inclusiv backup-urile. Soluția practică este o politică de retenție a backup-urilor: datele șterse din producție expiră și din copii pe măsură ce backup-urile vechi sunt rotite, conform unei proceduri documentate.

Cât de mari sunt amenzile ANSPDCP pentru IMM-uri?+

Variază mult, dar nu sunt teoretice. În 2025 ANSPDCP a aplicat 105 amenzi, însumând circa 511.000 de euro, iar în primele patru luni din 2026 deja 52 de amenzi (circa 230.500 de euro). Multe vizează păstrarea datelor fără temei și securitate insuficientă.

Toate articolele

Ai o întrebare concretă?

30 de minute, gratuit. Discutăm exact despre situația ta.

Programează consultanță