GDPR a intrat în vigoare în 2018 și există încă antreprenori care nu știu exact ce trebuie să facă. Unii ignoră complet subiectul și speră că nu sunt controlați. Alții au cheltuit mii de euro pe consultanță și au primit documente pe care nu le înțelege nimeni. Adevărul este undeva la mijloc.
Ce înseamnă GDPR în termeni simpli
Orice date personale pe care le colectezi de la clienți, angajați sau parteneri trebuie colectate cu un scop clar, stocate în siguranță și șterse când nu mai sunt necesare. Oamenii ale căror date le deții au drepturi: să știe ce date ai despre ei, să ceară ștergerea, să ceară corectura.
Ce trebuie să faci obligatoriu
1. Politica de confidențialitate pe site — Trebuie să existe, să fie în română, să specifice ce date colectezi, de ce și cum le protejezi.
2. Consimțământul pentru newsletter — Nu poți trimite emailuri de marketing fără consimțământ explicit. Bifa "Accept termenii și condițiile" nu este suficientă — trebuie o bifă separată pentru marketing.
3. Registrul activităților de prelucrare — Un document intern care listează ce date colectezi, de unde, de ce și unde le stochezi. Nu trebuie depus nicăieri, dar trebuie să existe și să fie actualizat.
4. Contracte cu procesatorii de date — Dacă folosești un serviciu extern care procesează datele tale (contabilitate cloud, CRM, newsletter tool), trebuie să ai un contract DPA cu ei.
Ce poți ignora (cu condiții)
Dacă ești un IMM mic, fără activități de prelucrare la scară largă, fără date sensibile, nu ești obligat să angajezi un DPO. Evaluează cu un specialist dacă te încadrezi în această categorie. BA Code implementează GDPR practic, fără documente inutile și fără să paralizeze business-ul.
