Sari la continut

Descoperă habits by Republica

Vă invităm să intrați în comunitatea habits, un spațiu în care înveți, găsești răspunsuri și resurse pentru a fi mai bun, pentru a avea o viață mai sănătoasă.

GDPR pentru un antreprenor la început de drum. Documente necesare. Plus - situații pentru care s-au aplicat amenzi

Foto: Profimedia

Printre aspectele care nu trebuie ignorate de un antreprenor la început de drum se numără și respectarea Regulamentului General privind Protecția Datelor (GDPR). Și nu doar din cauza amenzilor mari, care pot ajunge până la 4% din cifra de afaceri a anului precedent, ci și pentru că este o oportunitate de a câștiga încrederea clienților.

Indiferent dacă ai un magazin online, o clinică medicală, una veterinară sau o agenție de marketing digital, implementarea măsurilor pentru conformitatea cu GDPR este obligatorie. Aceste business-uri prelucrează date cu caracter personal: nume, adrese de e-mail, numere de telefon, istoric medical sau preferințe de consum.

În cadrul evenimentului "GDPR: Ghid practic pentru antreprenorii la început de drum", organizat de Stup, reprezentanții casei de avocatură Filip & Company le-au explicat antreprenorilor prezenți care sunt principalele documente pe care orice business trebuie să le aibă pentru a se conforma GDPR și care sunt principiile de care trebuie să țină cont.

Stup este un proiect al Băncii Transilvania, un spațiu fizic unde antreprenorii pot găsi sprijin indiferent de etapa în care se află business-ul lor. Stup funcționează ca un marketplace de produse și servicii necesare oricărui antreprenor, un loc în care oricând poți găsi consiliere gratuită dedicată afacerii tale. Și pentru că Stup este un loc în care chiar se fac lucruri, poți consulta agenda evenimentelor organizate și găzduite AICI.

Politici GDPR

GDPR: Principalele documente

1. Nota de informare sau Politica de confidențialitate

Este un document prin care o companie informează în mod transparent persoanele ale căror date personale sunt prelucrate (persoane vizate) și explică motivul (temeiul legal) și modul în care datele lor sunt colectate, utilizate, stocate și protejate. 

În general, persoanele vizate pot fi clienți (nume, prenume, adresă de e-mail, număr de telefon, adresă de livrare, date bancare; temei - consimțământ sau interes legitim), angajați (nume, prenume, CNP, adresă, număr de telefon, date bancare, date medicale, date privind performanța la locul de muncă; temei - contract de muncă), candidați pentru angajare (nume, prenume, adresă de e-mail, număr de telefon, CV, scrisori de intenție, referințe; temei - interes legitim) și vizitatori ai sediului (nume, prenume, data și ora vizitei; temei - obligație legală). 

În anexa Ghidului privind transparența emis de Working Party 29 sunt listate toate informațiile pe care trebuie să le conțină o notă de informare.

2. Registrul datelor cu caracter personal

Pentru a completa acest registru, e necesară o analiză a tuturor activităților care implică prelucrarea datelor cu caracter personal: marketing, resurse umane, recrutare etc. 

De exemplu, pentru marketing, registrul ar putea fi completat astfel:

  • Scop: derularea campaniilor promoționale pentru a atrage și reține clienți.
  • Categorii de date prelucrate: nume, prenume, număr de telefon, e-mail și fotografii (dacă e cazul).
  • Destinatari: departamentul de marketing dacă datele sunt gestionate intern și/sau agenții de marketing externe care acționează ca împuterniciți ai companiei.
  • Transferuri în afara UE/SEE: nu, da.
  • Termene de stocare: 6 luni – 2 ani.

3. Contracte cu împuterniciți și cu operatori asociați

În situațiile în care prelucrarea datelor personale implică terțe părți, compania trebuie să încheie contracte în vederea protejării acestora. De exemplu, în cazul externalizării serviciilor de marketing, de HR sau de salarizare, contractarea unor servicii de cloud computing sau de call center. Una dintre cele mai importante prevederi ale acestor contracte se referă la obligația de a folosi aceste date numai în scopul enunțat în contract.

„Operatorul stabilește scopul și mijloacele pentru care sunt prelucrate datele cu caracter personal și poate desemna o persoană împuternicită care să se ocupe de ele în cazul externalizării unor servicii de payroll, de HR etc. În acest context, persoana împuternicită care primește date de la mine are obligația să prelucreze acele date strict în scopul și cu privire la activitățile de prelucrare pentru care eu îl împuternicesc, de exemplu să plătească salariile. Nu poate folosi datele pentru a le face oferte angajaților mei”, a explicat Christiana Bouleanu.


4. Consimțământul și interesul legitim 

Acestea sunt două dintre temeiurile legale pe care o companie le poate utiliza pentru a prelucra datele personale conform GDPR. Consimțământul implică obținerea unei permisiuni explicite de la persoana vizată pentru a prelucra datele sale personale. Poate fi cerut pentru trimiterea de newslettere sau oferte, de exemplu. Interesul legitim permite prelucrarea datelor personale atunci când aceasta este necesară pentru interesele legitime urmărite de o companie sau de o terță parte și necesită o analiză a impactului asupra persoanelor vizate. 

„O mare problemă este să obții consimțământul să trimiți oamenilor date despre tine. Și atunci toată lumea încearcă să evite acest lucru. Cea mai simplă cale este să folosești alt temei de prelucrare, care se numește interes legitim. De exemplu, îl poți aplica atunci când cineva cumpără ceva de la tine și ai vrea să-l informezi în continuare despre produse similare. Noi așa ne trimitem newsletterele în care dăm informații despre noutățile din legislație, presupunând că pe oamenii care au cumpărat servicii juridice de la noi o să-i intereseze în continuare ce s-a întâmplat cu legea pe care noi am oferit consultanță”, a explicat Ioan Dumitrașcu, partener Filip & Company.


5. Politică de data breach 

Este un document în care sunt descrise procedurile și măsurile ce trebuie urmate în cazul unei încălcări de securitate care implică date cu caracter personal. De exemplu, un angajat trimite un e-mail cu datele personale ale clienților la o adresă greșită, un laptop care conține date sensibile este pierdut sau furat, un hacker obține acces la baza de date a companiei și fură informații personale. În cazul unui data breach, compania trebuie să raporteze incidentul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în 72 de ore. De asemenea, dacă există risc pentru persoanele afectate de incident, acestea trebuie anunțate.

6. Politica de cookies 

Pe lângă bannerul care permite utilizatorului să-și aleagă fișierele de tip cookies pe care le acceptă, este nevoie și de o politică de cookies, în care să fie explicat termenul, tipurile de cookies folosite și scopul pentru care sunt folosite. Noile reglementări impun ca pe banner să existe atât opțiunea de "accept all", cât și cea de "reject all".

Situații de încălcare a GDPR pentru care s-au aplicat amenzi

  • Numele, prenumele, adresa de e-mail, numărul de telefon și detaliile comenzii clienților au fost expuse din cauza unei vulnerabilități pe website.
  • Transmiterea din greșeală unui client a unor documente ce aparțineau altui client.
  • O persoană a fotografiat lista cu date personale ale clienților înscriși pe o listă și a publicat-o online.
  • Înregistrare video din parcare cu imaginea clientului unui magazin a apărut pe pagina web a unui ziar.
  • Transmiterea de newsletter în continuare către o persoană care s-a dezabonat/a solicitat ștergerea datelor.
  • Mesaj electronic către utilizatorii înregistrați pe portalul online al societății - adresele de e-mail la secțiunea „TO”, în loc de „BCC”.
  • Informarea incompletă pe website (ref. destinatari, perioada stocare, dreptul de a depune plângere) și condiții excesive (cerere semnată și datată pe e-mail și copie CI).
  • Concurs online pe Facebook pentru a atrage clienți. Din eroare au fost dezvăluite neautorizat formularele completate de participanți.
  • Evidență Excel cu date clienți publicată pe website sau transmisă pe e-mail către un alt client.
  • Cookies care nu sunt necesare din punct de vedere tehnic, instalate înainte de acordarea consimțământului prin apăsarea butonului de Accept.
  • Operatorul nu a transmis la timp datele solicitate de autoritate.
  • Refuz de a furniza copia datelor – dreptul de acces.
  • Pierdere plicuri cu date personale.

Urmăriți Republica pe Google News

Urmăriți Republica pe Threads

Urmăriți Republica pe canalul de WhatsApp 

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere
vezi toate comentariile
Subiecte din acest articol
Îți recomandăm

Solar Resources

„La 16 ani, stăteam de pază la porumbi. Voiam să-mi iau o motocicletă și tata m-a pus la muncă. Aveam o bicicletă cu motor și un binoclu și dădeam roată zi și noapte să nu intre cineva cu căruța în câmp. Că așa se fura: intrau cu căruța în mijlocul câmpului, să nu fie văzuți, făceau o grămadă de pagubă, călcau tot porumbul. Acum vă dați seama că tata nu-și punea mare bază în mine, dar voia să mă facă să apreciez valoarea banului și să-mi cumpăr motocicleta din banii câștigați de mine”.

Citește mai mult

Octavian apolozan

Tavi, un tânăr din Constanța, și-a îndeplinit visul de a studia în străinătate, fiind în prezent student la Universitatea Tehnică din Delft (TU Delft), Olanda, una dintre cele mai renumite instituții de învățământ superior din Europa. Drumul său către această prestigioasă universitate a început încă din liceu, când și-a conturat pasiunea pentru matematică și informatică.

Citește mai mult

Green Steps

100.000 de români au participat la marcarea a 100 de kilometri din traseul Via Transilvanica într-un mod ingenios. „Drumul care unește”, este un traseu turistic de lungă distanță, care traversează România pe diagonală, de la Putna la Drobeta Turnu Severin și este destinat drumeției pe jos, cu bicicleta sau călare. Via Transilvanica este semnalizată cu marcaje vopsite și stâlpi indicatori. Pe parcursul drumeției, călătorii vizitează ceea ce constructorii spun că este cea mai lungă galerie de artă din lume, pentru că la fiecare kilometru se găsește o bornă din andezit sculptată individual.

Citește mai mult
Citește în continuare pe republica.ro