Exclusiv Autoritatea pentru protecția datelor personale a intensificat controalele. 10 sfaturi pentru evitarea amenzilor

Autoritatea pentru protecția datelor personale (ANSPDCP) a intensificat controalele și aplicarea sancțiunilor în ultimii ani, iar multe firme mici și mijlocii ajung în mijlocul unor investigații pentru nerespectarea acestor reguli.

Firmele care îmcalcă protecția datelor personale riscă amenzi. Foto 123 RF

Ultima amendă a fost aplicată joi firmei care deține Lensa.ro, valoarea sancțiunii fiind de 15.000 de euro pentru că Tensa Art Design, firma care deține magazinul online, a trimis unor potențial clienți mii de SMS-uri prin care-și făceau reclamă sau îi îndemnau să „cumpere acum”.

„Adevărul” a încercat să afle de la specialiști cum pot fi evitate astfel de sancțiuni și ce pot face firmele ca să se adapteze regulilor privind prelucrarea datelor personale ale consumatorilor, de regulă email sau număr de telefon.

„Comunicările de marketing direct contribuie semnificativ la creșterea vânzărilor, iar respectarea regulilor privind consimțământul și gestionarea corespunzătoare a cererilor prin care clienții își exercită drepturile nu reprezintă doar obligații legale, ci și condiții esențiale pentru construirea unei relații corecte și transparente cu aceștia.

În practică, poate fi dificil să obții un acord valid sau să gestionezi eficient toate cererile, însă legea impune aceste obligații, iar nerespectarea lor atrage consecințe. De reținut este că riscurile nu se limitează la o amendă. Un incident privind protecția datelor poate afecta în mod direct încrederea clienților și, implicit, imaginea și reputația unei afaceri.

Pe măsură ce românii devin mai atenți la datele lor, firmele trebuie să se adapteze. O singură greșeală aparent banală – un SMS trimis fără acord – se poate transforma într-o investigație oficială cu amenzi usturătoare și, implicit, cu afectarea imaginii și a încrederii clienților în firma respectivă”, a explicat pentru „Adevărul” avocatul Paul Băbuș, co-fondator StartGDPR.

ANSPDCP a intensificat controalele și aplicarea sancțiunilor în ultimii ani, iar multe firme mici și mijlocii ajung în mijlocul unor investigații pentru nerespectarea regulilor privind prelucrarea datelor personale.

Deși apar cazuri de încălcare GDPR, firmele în general sunt preocupate să respecte legea. În activitatea noastră, numărul solicitărilor a crescut în ultimii ani din partea firmelor din domenii diverse, care vor să se protejeze de controale și amenzi. Însă, din păcate, din lipsă de atenție sau din lipsă de consultanță corectă și completă, în piață sunt firme care nu reușesc să-și asigure protecția necesară, a adăugat avocatul. 

Sfaturi pentru firme: ce ar trebui să facă pentru a nu încălca normele GDPR

1. Stabilește clar ce date colectezi și de ce

• Colectează doar datele de care ai nevoie pentru un scop anume.
• Definește scopul fiecărei prelucrări.

2. Informează persoanele vizate

• Informează persoanele vizate despre: ce date colectezi, în ce scop, cu ce temei, cât timp le păstrezi, cui le transmiți (dacă e cazul), ce drepturi au.
• În mediul online, asigură-te că ai o politică de confidențialitate clară, completă și ușor accesibilă.

3. Obține consimțământ valid acolo unde este necesar

• Consimțământul trebuie să fie: liber exprimat, specific, informat și neechivoc (nu bifat implicit).
• Păstrează dovada consimțământului oferit.

4. Instruiește angajații

Angajații trebuie să știe: ce sunt datele personale, cum se gestionează în siguranță, cum se evită incidentele de securitate, cum se răspunde la cererile persoanelor vizate legate de datele lor.

5. Asigură drepturile persoanelor vizate

Respectă drepturile persoanelor vizate, oferind acestora posibilitatea de a solicita: accesul la datele personale, rectificarea acestora, ștergerea („dreptul de a fi uitat”), restricționarea prelucrării, portabilitatea datelor și opoziția față de prelucrare.

6. Păstrează datele în siguranță

Implementează măsuri tehnice și organizatorice adecvate, precum: criptare, parole puternice, acces limitat, backup regulat, autentificare în doi pași (2FA).

7. Nu păstra datele mai mult decât este necesar

• Definește și respectă termene clare de păstrare a datelor.
• Șterge sau anonimizează datele când nu mai sunt necesare.

8. Fii atent la furnizorii externi

• Încheie contracte de prelucrare a datelor cu toți furnizorii la care ajung datele personale(ex: platforme de email marketing, CRM-uri).
• Asigură-te că și ei respectă GDPR.

9. Stabilește și implementează politicile interne privind protecția datelor

• Creează și aplică politici interne privind protecția datelor, inclusiv politica de confidențialitate, politica de stocare a datelor, politica de gestionare a incidentelor de securitate și politica de gestionare a solicitărilor persoanelor vizate. Asigură-te că aceste politici sunt clare, actualizate și respectate la nivelul întregii companii.

10. Pregătește și menține registrul de prelucrări

• Ține o evidență a tuturor operațiunilor de prelucrare de date.

Lensa.ro, amendată cu 15.000 de euro

Amintim că joi, 10 aprilie, agazinul online de ochelari și lentile de contact Lensa a fost sancționat cu amendă GDPR în valoare de 15.000 euro de Autoritatea pentru protecția datelor personale (ANSPDPC), pentru SMS-uri comerciale.

Investigația a fost demarată ca urmare a faptului că un petent a sesizat Autoritatea națională de supraveghere referitor la faptul că Tensa Art Design., deținător al site-ului www.lensa.ro, a prelucrat numărul său de telefon, în scop de marketing direct, fără consimțământul său, comunicându-i mesaje comerciale de tip SMS prin intermediul cărora petentul a fost informat cu privire la ofertele societății.

În cadrul investigației, s-a constatat că Tensa Art Design S.A nu a făcut dovada existenței consimțământului petentului pentru prelucrarea datelor cu caracter personal ale acestuia în scop de marketing direct.

De asemenea, s-a constatat că operatorul nu a gestionat în mod corespunzător cererile prin care petentul și-a exercitat drepturile de acces și ștergere prevăzute de GDPR.