GDRP pentru antreprenori. Protecția datelor personale nu mai este opțională pentru nicio afacere. Indiferent dacă ești fondatorul unui startup tech sau administrezi un mic magazin online, dacă prelucrezi date personale, ai obligații legale clare. În această primă parte a seriei noastre dedicate conformării cu Regulamentul General privind Protecția Datelor (GDPR), abordăm un pilon esențial: principiul transparenței.

Transparența nu este doar un concept vag – este o obligație juridică, iar nerespectarea acesteia poate atrage amenzi semnificative. În România, mai multe companii au fost deja sancționate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru încălcarea acestor reguli. De exemplu, în 2022, o companie din domeniul telecomunicațiilor a fost amendată cu peste €20.000 pentru lipsa unei informări clare privind prelucrarea datelor clienților.

Ce înseamnă, concret, respectarea principiului transparenței?

Pentru a respecta acest principiu, operatorii trebuie să adopte un set clar de măsuri și bune practici. În cele ce urmează, îți prezentăm 5 obligații esențiale pe care orice operator trebuie să le respecte:

1. Informarea clară și accesibilă a persoanei vizate

Înainte de a colecta orice dată personală, trebuie să informezi persoana vizată despre:

• identitatea și datele de contact ale operatorului;
• scopurile prelucrării;
• temeiul legal al prelucrării;
• destinatarii sau categoriile de destinatari ai datelor;
• perioada de stocare;
• drepturile persoanei vizate;
• posibilitatea retragerii consimțământului în orice moment.

Această informare trebuie redactată într-un limbaj simplu, fără jargon juridic sau tehnic, și oferită în momentul colectării datelor – fie că este vorba despre un formular online, o aplicație mobilă sau o interacțiune fizică.

2. Elaborarea unei politici de confidențialitate sau note de informare

Aceste documente sunt forma concretă a obligației de transparență. Ele trebuie:

• să fie ușor de găsit (de exemplu, link în footer-ul site-ului);
• să fie actualizate periodic;

Nota de informare este de obicei folosită în contexte punctuale (ex: un formular de contact), în timp ce politica de confidențialitate oferă o viziune de ansamblu asupra tuturor prelucrărilor din organizație.

3. Adaptarea conținutului la publicul țintă

Transparența nu înseamnă doar să oferi informația, ci și ca aceasta să fie înțeleasă de persoana vizată. Dacă publicul tău este format din adolescenți, seniori sau persoane fără experiență digitală, trebuie să adaptezi limbajul și forma mesajului:

• propoziții scurte;
• explicații pentru termeni tehnici;
• structuri clare (liste, titluri, bullet points);
• folosirea iconițelor sau infograficelor, acolo unde e posibil.

4. Oferirea informațiilor într-un mod proactiv

Potrivit art. 13 și 14 din GDPR, dacă datele sunt colectate direct de la persoana vizată, informațiile trebuie furnizate în momentul colectării. Dacă datele sunt obținute din alte surse (ex: parteneri, baze de date externe), informarea trebuie transmisă într-un termen rezonabil, dar nu mai târziu de o lună de la obținerea datelor.

Acest lucru poate însemna trimiterea unui e-mail, afișarea unui mesaj în contul utilizatorului sau chiar o notificare în aplicație.

5. Personalizarea informării în funcție de categoria persoanei vizate

Un alt aspect esențial al principiului transparenței este adaptarea informației în funcție de categoria din care face parte persoana vizată. Nu este suficient să ai o singură politică generică – informațiile furnizate trebuie să fie relevante pentru contextul în care datele sunt prelucrate.

Iată câteva exemple:

• Pentru angajați, nota de informare trebuie să includă detalii despre datele colectate în procesul de recrutare, administrarea contractului de muncă, accesul la echipamente, monitorizare IT sau evaluarea performanței.
• Pentru clienți, informațiile vor viza datele colectate în cadrul comenzilor, plăților, livrărilor, suportului tehnic sau în scopuri de marketing.
• Pentru pacienți, este necesară o informare detaliată privind prelucrarea datelor medicale – o categorie specială de date personale – inclusiv în ceea ce privește confidențialitatea dosarului medical și partajarea datelor cu alți furnizori de servicii de sănătate.
• Pentru elevi sau părinți, în cadrul instituțiilor de învățământ, nota de informare trebuie să includă detalii despre prelucrarea datelor pentru înscriere, prezență, evaluări, activități extracurriculare sau sisteme de supraveghere video.

Fiecare categorie presupune scopuri, baze legale și tipuri de date diferite, iar informarea trebuie să reflecte aceste particularități. Ideal este ca organizațiile să creeze note de informare distincte sau secțiuni separate în politica de confidențialitate, pentru a se adresa clar fiecărui tip de persoană vizată.

Consecințele nerespectării principiului transparenței

Autoritatea din România (ANSPDCP) a aplicat multiple sancțiuni pentru încălcarea acestui principiu. Printre cele mai frecvente greșeli:

• lipsa unei politici de confidențialitate sau informarea incompletă;
• formulări vagi de tipul „putem folosi datele în scopuri comerciale”;
• colectarea de date sensibile fără consimțământ clar exprimat.

Exemplu real: O platformă online care colecta date pentru newsletter fără să explice scopul și fără să ofere opțiunea de dezabonare a fost amendată cu €3.000. Deși suma nu pare mare, prejudiciul de imagine a fost mult mai serios.

Concluzie: Transparența e primul pas către încredere

Respectarea principiului transparenței nu este doar o obligație legală, ci și o strategie de afaceri inteligentă. Clienții, partenerii și utilizatorii devin din ce în ce mai sensibili la modul în care le sunt tratate datele personale. O politică clară, onestă și accesibilă îți poate diferenția brandul într-un mediu din ce în ce mai competitiv.

Autor: Daniela Cireasa,
Presedinte Asociatia Specialistilor in Confidentialitate si Protectia Datelor
www.danacireasa.ro