Ce se aplică unui IMM tipic
Dacă ai un formular de contact, trimiți newsletter, stochezi date de clienți sau ai angajați în România, ești sub incidența GDPR. Nu trebuie să angajezi un DPO (Data Protection Officer) dacă nu procesezi date la scară mare sau date sensibile.
Obligații de bază
Politică de confidențialitate clară pe site (ce colectezi, de ce, cât timp păstrezi, cu cine partajezi). Consimțământ explicit pentru newsletter (nu bifat implicit). Procedură pentru cereri de ștergere date ("dreptul de a fi uitat"). Notificare la breșe de securitate în 72h.
Registrul de evidență a prelucrărilor
Un document intern (poate fi un spreadsheet) care listează: ce date colectezi, pentru ce scop, pe ce bază legală, cât le păstrezi, unde le stochezi, cu cine le partajezi. Nu e public, dar trebuie să existe.
Cookie-uri și consimțământ
Bannerul de cookie-uri nu e opțional dacă folosești Google Analytics, Facebook Pixel sau orice alt cookie non-esențial. Consimțământul trebuie să fie explicit (nu "dacă continui, ești de acord"). Înregistrează consimțămintele.
Ce NU trebuie să faci neapărat
Să angajezi un DPO (dacă nu ești obligat). Să înregistrezi nimic la ANSPDCP (obligație eliminată pentru majoritatea). Să ai un sistem tehnic complex. Un IMM mic se poate conforma cu 2-3 documente și setări corecte pe site.
Articole relevante
Cine are acces la ce este una dintre deciziile pe care echipele mici le amână mereu. Iată o structur…
Securitatea digitală nu e doar pentru corporații. Iată elementele minime pe care orice echipă ar tre…
Un manager de parole rezolvă problema parolelor slabe, a celor partajate prin WhatsApp și a celor ui…