Există o specie aparte de oferte care bântuie micile afaceri din România: cele de tipul „noi vă facem site-ul și vă punem și partea de GDPR”.
Uneori vin de la băieții care construiesc site-uri, alteori de la contabila firmei care „știe și de GDPR”, sau de la alt consultant care are „un model” de politică de confidențialitate.
La prima vedere, sună convenabil: cineva se ocupă „de tot”, tu nu mai pierzi timp și ai impresia că ești „acoperit”.
Doar că, în realitate, acea „parte de GDPR” e cel mai adesea un copy-paste dintr-un site străin, o politică de confidențialitate fără legătură cu activitatea ta și, uneori, o bombă cu ceas în materie de răspundere juridică.
Lipsa de cunoștințe și confuzia generală
Protecția datelor nu se reduce la o politică publicată pe site.
Nu e o formalitate și nici o bifă de pus în colțul paginii web.
E un proces continuu, care implică oameni, procese interne, contracte, sisteme IT și mai ales responsabilități clare.
Orice cuvânt în plus sau căsuță prebifată poate atrage răspunderea iar investigațiile vin mai mereu cu amenzi, măsuri corective, risc reputațional și chiar pierderi financiare sau solicitări de despăgubire.
Un web designer, oricât de bun ar fi în cod și estetică digitală, nu are (și nici nu trebuie să aibă) competențe juridice și de conformitate.
La fel cum un contabil nu e responsabil de securitatea informațiilor din contractele de muncă, ci doar de înregistrările contabile.
Dar, pentru mulți operatori, e greu de înțeles unde se termină munca fiecăruia și unde începe răspunderea legală. De multe ori din comoditatea de a lucra cu un singur furnizor, de muuuulte alte ori din cauza costurilor reduse.
Așa ajungem la situații în care „băiatul cu site-ul” are acces la toate bazele de date cu clienți, pentru că el „face și formularele de contact”, iar contabila trimite tabele cu date personale fără să știe dacă există un temei legal sau o minimă analiză de risc.
Implicațiile: de la superficialitate la sancțiuni
GDPR-ul nu iartă necunoașterea.
Dacă un operator de date nu respectă principiile de legalitate, transparență sau securitate, responsabilitatea nu e a prestatorului, ci a operatorului însuși.
Asta înseamnă că, dacă „partea de GDPR” făcută de altcineva e greșită sau incompletă, tot operatorul plătește.
Mai grav, aceste intervenții superficiale pot crea o falsă senzație de siguranță:
- „Avem politicile pe site, deci suntem acoperiți.”
- „A zis contabila că e ok.”
- „Ne-a pus băiatul o bifă de consimțământ, deci e GDPR-compliant.”
Realitatea e că, în spatele acestor fraze, se ascund lipsa de analiză, absența procedurilor interne și, de multe ori, scurgeri de date necontrolate.
Conflictele de interese: când lupul păzește stâna
Una dintre cerințele esențiale ale Regulamentului este independența responsabilului cu protecția datelor (DPO).
Dacă aceeași persoană care gestionează resursele umane, conturile sau partea tehnică este și „responsabilul GDPR”, vorbim deja de un conflict de interese în toată regula.
Nu poți să fii în același timp și cel care prelucrează datele, și cel care verifică dacă prelucrarea e legală.
La fel cum nu poți fi contabil și auditor în același dosar.
Sau, mai simplu spus: nu te poți controla singur.
Când un prestator extern îți promite că îți face și „partea de GDPR”, întreabă-l direct:
„Pe ce bază juridică îmi prelucrezi datele?”
„Ce experiență ai în domeniul protecției datelor?”
„Poți demonstra că respecți principiile din Regulament?”
De obicei, răspunsul e o tăcere lungă sau o schimbare rapidă de subiect.
Ce ar trebui să faci, de fapt
Protecția datelor nu e un fișier .docx și nici o pagină de „Privacy Policy” generată automat.
E o abordare strategică, care pleacă de la o analiză reală a proceselor din compania ta.
Înseamnă să știi ce date colectezi, de ce, pe ce temei legal, cum le păstrezi, cât timp și cui le comunici.
Iar dacă lucrezi cu prestatori (site, HR, contabilitate), înseamnă să ai contracte clare și clauze de confidențialitate solide.
Și, mai ales, să colaborezi cu oameni care știu ce fac — nu doar care „au un model”.
Atentie, esti responsabil de alegerea fiecarui furnizor catre care alegi sa externalizezi prelucrari de date personale!
Dacă vrei ca „partea de GDPR” să fie mai mult decât un text pe site, hai să discutăm.
Te pot ajuta să înțelegi unde ești vulnerabil, ce ai de făcut și cum poți construi o conformitate reală, nu doar de formă.
📩 Scrie-mi pe dana.cireasa@netspace.ro si hai să punem lucrurile în ordine — cu cap, nu cu copy-paste.
