Verifică alt cod

    Obligații GDPR & NIS2 — CAEN 6201: Activități de realizare a soft-ului la comandă

    GDPR și NIS2 pentru firmele de software development — CAEN 6201

    Companiile de development software la comandă se află de regulă în rolul de împuternicit (procesator) față de clienții lor — au acces la sistemele și bazele de date ale clienților, procesează date personale ale utilizatorilor finali în cadrul proiectelor și livrează cod care va fi folosit pentru a prelucra date cu caracter personal. Înțelegerea acestui rol și a obligațiilor care decurg din el este esențială, dar adesea ignorată în firmele de software din România.

    Scenarii specifice care creează expunere GDPR pentru CAEN 6201

    • Acces la date de producție în cursul dezvoltării sau debugging-ului — frecvent întâlnit, impune anonimizare sau pseudonimizare a datelor de test; utilizarea datelor reale de producție în medii de dev este o încălcare GDPR
    • Integrări cu API-uri terțe care transferă date personale — fiecare integrare poate constitui un nou flux de date care necesită documentare și DPA
    • Livrarea de software pentru sectoare reglementate (medical, HR, financiar) — necesită privacy by design și privacy by default (art. 25 GDPR) demonstrate în documentația proiectului
    • Rolul de subprocesator — dacă clienții tăi sunt și ei procesatori pentru clienții lor finali, ești subprocesator cu obligații contractuale în cascadă

    NIS2 și companiile de software B2B

    Firmele de software development care oferă servicii altor companii (B2B) pot intra în sectorul ICT service management din NIS2 (Anexa II). Dacă deservești clienți din sectoare critice (sănătate, energie, financiar) sau dacă o breșă în codul tău ar putea afecta semnificativ clienții, NIS2 poate fi aplicabil. Pragurile: 50+ angajați sau 10M+ EUR cifră de afaceri — calculatorul de mai jos verifică automat.

    Documentele esențiale pentru o firmă de software

    • DPA cu fiecare client care îți transmite date personale pentru procesare — obligatoriu art. 28 GDPR, inclus în contractul de prestări servicii
    • Politica de date de test — date de producție nu trebuie folosite în medii de development fără anonimizare documentată
    • Registrul de prelucrări (art. 30) — include toate proiectele în care procesezi date în numele clienților
    • Procedura de notificare a breșelor — dacă descoperi o breșă care afectează datele unui client, trebuie să îl notifici imediat, fără să aștepți evaluarea completă

    Verificatorul de mai jos calculează obligațiile complete pentru codul CAEN 6201, inclusiv dacă dimensiunea companiei atinge pragurile NIS2.

    Cod CAEN analizat

    6201 — Activități de realizare a soft-ului la comandă

    NIS2

    În afara domeniului NIS2

    Sector: ICT_service_management_B2B

    GDPR

    Aplicabil — cerințe standard

    DPO

    Posibil obligatoriu — verifică pragurile

    DPO obligatoriu dacă: large_scale_monitoring_if_SaaS; processing_special_categories_for_clients_at_scale.

    DPIA

    Posibil necesară

    DPIA posibil necesară dacă: Dezvoltarea de software care monitorizează sistematic utilizatorii (tracking, analytics, supraveghere), Sisteme AI care prelucrează date personale

    Analiza NIS2

    Încadrarea NIS2 depinde de condiții specifice: operates_as_MSP; operates_as_MSSP; manages_client_infrastructure; provides_managed_security_services. Consultați un specialist pentru evaluare detaliată.

    Obligații aplicabile

    Pași concreti pentru tine

    1. 1Creează Registrul de evidență a prelucrărilor (art. 30 GDPR) — folosește template-ul nostru gratuit
    2. 2Redactează Nota de informare și plasează-o vizibil pe site / la recepție / în contracte.
    3. 3Elaborează o procedură internă pentru notificarea breșelor în 72h la ANSPDCP.
    4. 4Evaluează dacă ești obligat să desemnezi un DPO — consultă criteriile de mai sus.

    Serviciu BrainTrust

    Securitate Cloud & Conformitate GDPR/ISO

    Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.

    Vezi serviciile de conformitate GDPR

    Notă: Informațiile prezentate pe această pagină au caracter orientativ și sunt generate automat pe baza codului CAEN declarat. Ele nu constituie consultanță juridică și nu înlocuiesc analiza unui specialist în protecția datelor sau drept IT. Reglementările GDPR și NIS2 pot fi interpretate diferit în funcție de contextul specific al fiecărei organizații. BrainTrust nu își asumă răspunderea pentru deciziile luate exclusiv pe baza acestui instrument.

    Analiză generată pe baza CAEN Rev.3, GDPR (UE) 679/2016, Directiva NIS2 (UE) 2022/2555, OUG 155/2024 și Legea 124/2025.

    Folosim cookie-uri

    Folosim cookie-uri pentru a îmbunătăți experiența de navigare și a analiza traficul site-ului. Făcând clic pe „Acceptă", sunteți de acord cu utilizarea cookie-urilor. Politica de cookie-uri