Implementare GDPR pas cu pas — ghid practic pentru firme din România
Implementarea GDPR nu înseamnă a copia o „politică de confidențialitate" de pe un site și a o pune pe al tău. Înseamnă să înțelegi ce date prelucrezi, de ce, cum le protejezi și cum demonstrezi asta. Ghidul de față îți arată pașii concreți, în ordine.
Pasul 1 — Inventarul datelor
Înainte de orice document, trebuie să răspunzi la 6 întrebări pentru fiecare categorie de date:
| Întrebare | Exemplu |
|---|---|
| Ce date colectezi? | Nume, email, telefon, CNP, date de sănătate |
| De la cine? | Clienți, angajați, vizitatori site |
| De ce? (scop) | Livrarea serviciului, marketing, obligație legală |
| Pe ce temei legal? | Contract, consimțământ, obligație legală |
| Cât timp le păstrezi? | 3 ani pentru facturi, 70 ani pentru dosare medicale |
| Cui le transmiți? | Contabil, platformă email marketing, banca |
Verifică obligațiile GDPR și NIS2 pentru codul tău CAEN →
Verifică acumPasul 2 — Registrul de evidență a prelucrărilor (art. 30)
Registrul este documentul intern care centralizează toate activitățile de prelucrare. Nu se transmite la ANSPDCP, dar trebuie pus la dispoziția autorității la cerere. Firmele cu sub 250 angajați sunt scutite parțial — dar excepțiile sunt limitate.
Formatul minim al unui rând din registru: Activitate de prelucrare | Scopul | Categorii de date | Persoane vizate | Temei legal | Destinatari | Termen de retenție | Măsuri de securitate.
Pasul 3 — Nota de informare (art. 13-14)
Nota de informare (sau „politica de confidențialitate") trebuie transmisă persoanelor vizate la momentul colectării datelor. Trebuie să conțină obligatoriu:
- Identitatea și datele de contact ale operatorului
- Datele de contact ale DPO-ului (dacă există)
- Scopurile și temeiul legal al prelucrării
- Destinatarii datelor
- Transferuri în afara UE (dacă există)
- Durata de stocare
- Drepturile persoanei vizate și cum le poate exercita
- Dreptul de a depune plângere la ANSPDCP
Pasul 4 — Contracte cu împuterniciții (art. 28)
Orice furnizor care „atinge" datele tale în numele tău este un împuternicit. Exemple comune: platformă de email marketing, software de contabilitate cloud, furnizor de hosting, HR software. Cu fiecare trebuie să ai un contract DPA (Data Processing Agreement) care să includă:
- Obiectul și durata prelucrării
- Natura și scopul prelucrării
- Tipul de date și categoriile de persoane vizate
- Obligațiile și drepturile operatorului
- Interzicerea subcontractării fără autorizare
- Obligația de confidențialitate a angajaților furnizorului
- Obligația de ștergere sau returnare a datelor la finalul contractului
Mulți furnizori SaaS mari (Google Workspace, Microsoft 365, Mailchimp) au DPA-uri standard disponibile în panoul de administrare — trebuie doar să le accepți.
Pasul 5 — Procedura de notificare a breșelor (art. 33)
O breșă de date (acces neautorizat, pierdere, alterare) trebuie notificată la ANSPDCP în maximum 72 de ore de la detectare. Dacă riscul este ridicat, trebuie informate și persoanele afectate fără întârziere nejustificată.
Procedura internă trebuie să definească: cum detectezi o breșă, cine decide dacă e semnificativă, cine notifică ANSPDCP, ce informații incluzi în notificare.
Pasul 6 — Training pentru angajați
Cel mai frecvent vector de breșă de date este eroarea umană. Training-ul anual documentat nu este doar bune practici — este cerut implicit de principiul responsabilității GDPR. Documentează cine a participat, când și ce subiecte au fost acoperite.
Serviciu BrainTrust
Securitate Cloud & Conformitate GDPR/ISO
Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.
Vezi serviciile de conformitate GDPRSau citește mai întâi ghidul de bază despre ce este GDPR →