Aproape orice firmă din România a auzit de GDPR. Mulți știu că „are legătură cu datele personale”. Unii știu că există amenzi.
Dar, în practică, una dintre cele mai frecvente probleme rămâne aceeași, la ani buni de la intrarea în vigoare a regulamentului: confuzia reală despre ce sunt datele personale și ce înseamnă să le prelucrezi corect.
GDPR nu este o lege abstractă. Nu se aplică doar multinaționalelor sau companiilor tech. Se aplică oricărei firme care lucrează cu oameni, fie că sunt clienți, angajați, colaboratori sau simpli utilizatori ai unui site.
„Date personale” nu înseamnă doar CNP și copie de buletin
Când vorbim despre date personale, majoritatea se gândesc automat la:
– nume,
– CNP,
– serie de buletin,
– adresă.
Toate acestea sunt, desigur, date personale.
Dar GDPR merge mult mai departe.
Date personale sunt orice informații care pot identifica, direct sau indirect, o persoană fizică.
Iar „indirect” este cuvântul care schimbă totul.
De exemplu:
– o adresă de e-mail de tipul prenume.nume@firma.ro este dată personală;
– un număr de telefon de serviciu este dată personală;
– o adresă IP, un ID de utilizator, un cookie asociat unui cont sunt date personale;
– istoricul comenzilor unui client este dată personală;
– evaluările interne ale angajaților sunt date personale.
Chiar și atunci când nu apare un nume explicit, dacă informația poate fi legată de o persoană, GDPR se aplică.
De ce apare confuzia în firmele „obișnuite”
Multe companii nu se percep ca fiind „data-driven”.
Nu vând date. Nu fac profilare. Nu sunt platforme online.
Și totuși:
– au angajați;
– au clienți;
– trimit facturi;
– țin evidențe;
– folosesc CRM-uri, softuri de HR, newslettere, platforme cloud.
În toate aceste situații, datele personale sunt deja acolo.
Diferența dintre conform și neconform nu este existența datelor, ci modul în care sunt gestionate.
Prelucrarea datelor: mai mult decât „le avem într-un folder”
Un alt punct sensibil este noțiunea de „prelucrare”.
Mulți cred că GDPR se aplică doar atunci când datele sunt analizate complex sau folosite în scopuri comerciale.
În realitate, prelucrare înseamnă aproape orice:
– colectare,
– stocare,
– organizare,
– transmitere,
– modificare,
– ștergere.
Simplul fapt că o firmă păstrează contracte cu datele clienților este o prelucrare.
Trimiterea unui e-mail este o prelucrare.
Arhivarea documentelor este o prelucrare.
GDPR nu interzice aceste activități.
Le condiționează.
„Avem voie să folosim datele?” – întrebarea greșită
Întrebarea corectă nu este dacă o firmă are voie să folosească date personale.
Răspunsul este aproape întotdeauna „da”.
Întrebarea corectă este:
– de ce le folosim?
– în ce scop?
– pe ce bază legală?
– cât timp le păstrăm?
– cine are acces?
Aici apare diferența dintre firmele care „știu de GDPR” și cele care sunt cu adevărat conforme.
GDPR cere logică, nu birocrație inutilă. Dar această logică trebuie documentată și aplicată coerent.
Date „sensibile” și zonele unde riscul crește
Există și categorii de date care ridică automat nivelul de risc:
date medicale, date biometrice, informații despre convingeri, viață personală, evaluări psihologice.
Multe firme ajung să prelucreze astfel de date fără să realizeze:
– HR-ul (concedii medicale, evaluări),
– furnizorii de servicii,
– platformele de recrutare,
– cabinetele private, ONG-urile, asociațiile.
În aceste situații, GDPR nu devine „mai greu”, dar devine mai strict.
Iar greșelile apar tocmai din necunoașterea diferențelor.
De ce „avem un template” nu este suficient
Unul dintre cele mai frecvente riscuri este conformarea formală:
– o politică descărcată,
– un acord bifat,
– o informare copiată.
Problema este că GDPR nu se uită doar la documente, ci la realitatea din spatele lor.
Dacă practica zilnică nu corespunde cu ce este scris, documentele devin inutile.
Firmele care înțeleg acest lucru ajung, inevitabil, la aceeași concluzie:
GDPR nu este un set de hârtii, ci un sistem de lucru cu datele personale.
De ce firmele aleg să discute GDPR cu specialiști, nu doar cu Google
GDPR este aplicabil tuturor, dar nu este identic pentru toți.
O firmă de servicii, un cabinet, o companie de IT sau un ONG au realități complet diferite.
La A&T COMPLIANCE CONSULTING SRL, lucrăm exact cu acest tip de situații:
firme care știu ce sunt datele personale, dar nu sunt sigure unde începe și unde se termină responsabilitatea lor.
Rolul nostru nu este să speriem și nici să încărcăm activitatea cu reguli inutile, ci să clarificăm:
– ce date există,
– de ce sunt folosite,
– ce riscuri reale apar,
– cum pot fi controlate.
GDPR nu este despre frână. Este despre control.
Datele personale fac deja parte din activitatea zilnică a oricărei firme.
Întrebarea nu este dacă le folosești, ci dacă știi exact ce faci cu ele.
GDPR nu cere perfecțiune.
Cere claritate, coerență și responsabilitate.
Iar atunci când aceste lucruri lipsesc, nu înseamnă că firma a greșit, ci că este momentul potrivit pentru o discuție profesionistă.