Responsabilitatea utilizării Reges-Online rămâne la angajator, indiferent că registrul e operat de un prestator extern

• Responsabilitatea pentru datele din Reges-Online aparține exclusiv angajatorului, chiar și când folosește servicii externe, amenzile pentru neconformitate fiind suportate tot de acesta.
• Platforma Reges-Online este construită astfel încât să reflecte responsabilitatea angajatorului: acesta creează contul inițial, poate revoca accesul delegaților și poate monitoriza permanent registrul.
• Noul sistem elimină posibilitatea delegării informale a operării registrului, prevenind situațiile în care prestatorii contractați delegau la rândul lor alți terți.
• HG 295/2025 include prevederi explicite privind obligațiile de respectare a GDPR, atât pentru angajatori, cât și pentru prestatorii externi care operează registrul.

Așa cum stabilea și până acum HG nr. 905/2017 (fostul/încă actualul Revisal), HG nr. 295/2025 (Reges-Online) prevede că „răspunderea pentru completarea, transmiterea şi corectitudinea datelor transmise în Registru revine în exclusivitate angajatorului”, dar și faptul că „contractarea serviciului de completare şi transmitere a datelor în registru nu exonerează angajatorul de obligaţiile stabilite de prezenta hotărâre”. 

Responsabilitatea angajatorului înseamnă, la finele zilei, că amenzile pentru nerespectarea prevederilor HG 295 le plătește chiar el - desigur, are posibilitatea de regres împotriva prestatorului extern. De asemenea, sancțiunile ce țin de tranziția la noul Reges nu vor fi suportate de prestatori, ci de angajatori, prevederile art. 11 din HG 295 fiind destul de clare în ceea ce privește titularul obligațiilor de înregistrare în Reges-Online și de completare a datelor lipsă până la 30 septembrie 2025 - „angajatorul (...)”.

În spatele acestor prevederi legale, trebuie spus însă că inclusiv soluția tehnică adoptată pentru Reges-Online pune în centru această responsabilitate a angajatorului. În primul rând, dobândirea accesului la registrul unui angajator sau al altuia nu se poate face direct din contul prestatorului extern de servicii, ci e nevoie ca reprezentantul legal sau un alt împuternicit al angajatorului să-și facă un cont în Reges-Online, din care să ceară ulterior accesul la registrul angajatorului, iar după ce obține acces să facă delegarea către prestatorul extern (sau către propriul angajat al angajatorului pentru care s-a obținut acordul, desigur). Deși pare că soluția tehnică este una complicată, ea are de fapt în centru fix această responsabilitate a angajatorului în tot ceea ce privește accesul și utilizarea Reges-Online.

În al doilea rând, platforma permite angajatorului (administrator sau alt împuternicit, dar nu prestator) să decidă oricând și prin câteva clickuri, să taie accesul oricărei persoane delegate să utilizeze registrul. În niciun moment, angajatorul nu poate pretinde că nu știe cum arată registrul sau ce fac prestatorii externi, întrucât poate avea oricând accesul la acesta. Schimbarea prestatorului, de asemenea, nu mai presupune decât revocarea accesului în platforma online pentru fostul prestator și completarea datelor pentru delegarea către noul prestator. 

În al treilea rând, soluția tehnică face imposibilă delegarea informală în vederea operării către altcineva - chiar dacă ea nu a fost permisă niciodată la nivel legal, în practică au existat situații, ajunse inclusiv în atenția ANSPDCP (în materie de prelucrări neconforme de date personale), în care prestatorii contractați de angajator au delegat la rândul lor pe alții să opereze registrul. ANSPDCP a amendat o firmă de contabilitate anul acesta cu 10.000 de euro pentru că un angajat a transmis prin Whatsapp către o terță persoană un tabel ce conținea parole de acces în platforma Revisal pentru mai multe entități juridice. 

Dacă tot am ajuns la subiectul GDPR, HG 295/2025 prevede expres, spre deosebire de fosta hotărâre, norme în ceea ce privește responsabilitatea prelucrării datelor personale ale angajaților: 

„Angajatorii sau, după caz, prestatorii care completează şi transmit datele în Registru au obligaţia să prelucreze datele cu caracter personal ale salariaţilor, cu respectarea dispoziţiilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)”.

Prevederea de mai sus le reamintește angajatorilor și prestatorilor ceva prevăzut oricum de GDPR: responsabilitatea operatorului pentru prelucrările de date, raportul dintre operator și persoana împuternicită - în sensul GDPR - (în cazul de față, prestatorul de servicii) și răspunderea fiecăruia în cadrul acestui raport. Pe tărâmul acesta, așadar, responsabilitatea nu revine exclusiv angajatorului, ambele entități (angajator și prestator extern) putând fi sancționate pentru fapte distincte.