Close-up of stacked binders filled with documents for office or educational use.

Top 5 cele mai importante documente GDPR într-o firmă (și de ce contează în practică, nu doar „la dosar”)

Leave a Comment / Compliance Tips, GDPR / By

GDPR nu este o colecție de hârtii frumos denumite.
Este un sistem de responsabilitate. Iar documentele cerute de regulament nu există „ca să existe”, ci pentru a demonstra că o firmă știe ce face cu datele personale.

În controale, litigii sau incidente, autoritatea nu întreabă „ce intenții ați avut?”, ci „ce ați documentat și ce aplicați?”.

Mai jos sunt cele 5 documente esențiale pe care orice firmă ar trebui să le aibă – indiferent de mărime – și ce rol real joacă ele.

1. Registrul activităților de prelucrare (Art. 30 GDPR)

Dacă ar fi să existe un singur document GDPR, acesta ar fi.
Registrul activităților este harta completă a datelor din firmă.

El arată:

  • ce date sunt prelucrate,
  • în ce scop,
  • pe ce bază legală,
  • cine are acces,
  • cât timp sunt păstrate,
  • cui sunt transmise.

Fără acest document, conformarea este, practic, imposibil de demonstrat.
Autoritatea pornește de la ideea că dacă nu știi ce date ai, nu le poți proteja.

Registrul nu este doar pentru firme mari. Este cerut și firmelor mici, atunci când prelucrarea nu este ocazională – adică în aproape toate cazurile reale.

2. Informările GDPR (Art. 13 și 14)

Informările sunt documentele prin care spui oamenilor, în mod transparent:

  • cine ești,
  • ce date le prelucrezi,
  • de ce,
  • ce drepturi au.

Ele există în mai multe forme:

  • informare pentru clienți,
  • informare pentru angajați,
  • informare pentru candidați,
  • informare pentru website / cookies,
  • informare pentru evenimente sau supraveghere video.

Greșeala frecventă este să existe o singură informare generică.
În realitate, fiecare categorie de persoane are nevoie de o informare adaptată prelucrărilor concrete.

În lipsa informării corecte, chiar și o prelucrare „legală” devine problematică.

3. Contractele GDPR cu terții (Art. 28 și 26)

Nicio firmă nu lucrează singură.
Contabilitate, IT, HR, marketing, cloud, platforme – toate înseamnă transfer de date.

GDPR cere:

  • contracte de împuternicire (Art. 28) cu persoanele împuternicite;
  • acorduri de operatori asociați (Art. 26), acolo unde decizia este comună.

Aceste documente stabilesc:

  • cine răspunde pentru ce,
  • ce este permis și ce nu,
  • ce se întâmplă în caz de incident.

Fără ele, responsabilitatea cade aproape automat pe operator, chiar dacă datele sunt la altcineva.

4. Politicile și procedurile interne GDPR

GDPR nu se aplică doar „în relația cu exteriorul”.
El trăiește zilnic în interiorul firmei.

Politicile și procedurile interne acoperă, de regulă:

  • securitatea datelor,
  • controlul accesului,
  • gestionarea incidentelor,
  • răspunsul la cererile subiecților de date,
  • regulile pentru angajați.

Autoritatea verifică adesea nu doar existența lor, ci și:

  • dacă angajații le cunosc,
  • dacă sunt aplicate,
  • dacă există dovezi (training, log-uri, proceduri urmate).

Politici care există doar pe hârtie sunt ușor de demontat.

5. DPIA și documentația de evaluare a riscurilor

Nu toate firmele au nevoie de DPIA, dar foarte multe au – fără să știe.

DPIA (analiza de impact) este documentul care arată că:

  • ai identificat riscurile pentru persoane,
  • ai evaluat gravitatea lor,
  • ai luat măsuri înainte să apară problemele.

În lipsa unei DPIA obligatorii, firma se expune nu doar la amenzi, ci și la acuzația de neglijență.

Chiar și atunci când DPIA nu este formal necesară, documentarea riscurilor este un avantaj major în caz de control.

Ce au toate aceste documente în comun

Toate cele 5 documente au un scop comun:
 demonstrarea responsabilității (accountability).

GDPR nu funcționează pe baza promisiunilor, ci pe baza dovezilor.
Și nu contează cât de bine intenționată este firma, dacă nu poate arăta ce face.

De ce „le avem” nu este suficient

Una dintre cele mai frecvente afirmații în controale este:
„Avem documentele, dar nu le folosim zilnic.”

Pentru GDPR, acest lucru nu ajută.
Documentele trebuie:

  • să reflecte realitatea,
  • să fie actualizate,
  • să fie cunoscute de cei care le aplică.

GDPR nu este un dosar. Este un sistem.

Cele mai sănătoase implementări GDPR nu sunt cele mai stufoase, ci cele mai coerente.

La A&T COMPLIANCE CONSULTING SRL, lucrăm exact cu aceste documente, dar nu ca simple livrabile, ci ca instrumente reale de lucru, adaptate fiecărei firme.

Cele mai importante documente GDPR nu sunt cele mai multe.
Sunt cele care chiar funcționează.

Leave a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *