Comunitatea DPOCategorie: Evaluarea impactului asupra protecţiei datelorFirmă IT care dezvoltă site-uri la comandă
Mihai Dartec asked o lună ago

Bună ziua!

Pentru o firmă de IT care dezvoltă site-uri la comanda clientului, există undeva în mod specific ce este obligată să respecte/implementeze conform GDPR?

Mulțumesc anticipat!

1 Answers
Darius Farcas answered 4 săptămâni ago

Bună ziua,

Activitatea unei astfel de firme, după cum ne putem da seama, poate presupune o mulțime de prelucrări de date cu caracter personal – mai ales dacă oferă și posibilitatea de mentenanță website.

Astfel:

1. Dacă firma doar dezvoltă website-uri la comandă (fără mentenanță) și aceste website-uri colectează date cu caracter personal: formulare de colectare a datelor, baze de date useri, baze de date emailuri pt a face conturi spre exemplu, modalități de plata electronică pt diverse produse, upload fotografii, testimoniale clienți etc. În acest caz în contractul de prestări servicii se vor trece niște clauze specifice GDPR: că dv. Respectați GDPR-ul, măsuri tehnice și organizatorice luate (ex. securizare, anonimizare, criptare în diverse aspecte), că nu se prelucrează mai multe date decât cele necesare (principiul minimizării datelor), că nu se vor folosi în alt scop acele date, că nu vor fi păstrate după ce website-ul a fost construit și trece o perioadă de timp rezonabilă, necesară încheierii relațiilor contractuale etc.

2. Dacă firma dezvoltă website-uri și oferă și mentenanță, lucrurile se complică: pe lângă toate cele mențioante mai sus, este necesar a fi trecute și clauze referitoare la mentenanță prin care se respectă protecția datelor (ex. atunci când apare o problemă, pe server, se folosește spre ex. TeamViewer pt a ne conecta la stația de lucru a clientului etc etc etc).

Toate acestea sunt în directă relație cu clientul.

Pentru conformitatea firmei dumneavoastră – relația internă, aceasta trebuie să respecte o GDPR-ul la nivelul tuturor nivelurilor existente în firmă (de la management până la ultimul departament, de ex. tehnic / de programare etc) și la nivelul tuturor activităților.

GDPR-ul nu oferă un set de criterii de îndeplinit. Încă nu există un standard certificat la nivel internațional în acest sens ( cu atât mai puțin la nivel național), cum este de ex. ISO 27001 pt securitatea informației. Acestea sunt în curs de dezvoltare și există inițiative ici acolo. Până atunci însă, suntem ținuți de bunele practici dezvoltate și confirmate de Autoritățile de supraveghere la nivel european, de ANSPDCP la nivel național, și să ne ferim de rele practici: ex. lipsa certificării SSL, vulnerabilități care expun website-ul, colectarea mai multor date decât cele necesare, tracking ilegal (în multe cazuri fără consimțământu persoanei), lipsa transparență prelucrare date etc. – sunt o mulțime de amenzi date deja pe toate aceste teme.

Pașii de urmat, în linii foarte mari, pentru conformare ar fi:

  1. Evaluarea inițială a situației din companie
  2. Cartografierea – evidența prelucrărilor de date – puternic recomandată pt a vedea ce date avem. Identificarea temeiurilor legale.
  3. Analiza activităților pt diverse componente de activitate: ex. management, contracte (CIM, CCM, prestări servicii, închiriere spații, mentenanță, SSM, SU – pt toate clauze pe protecția datelor), administrativ, marketing, programare etc.
  4. Realizarea de politici și proceduri (ex. politică prelucrare date, politică cookies, politică supraveghere video, procedură de răspuns la solicitările de drept de acces etc)
  5. Evaluarea riscurilor / analize de impact: măsuri pt diminuarea discurilor identificate
  6. Instruirea personalului cu privire la protecția datelor, pe specificul companiei
  7. Numire DPO, dacă este cazul, constituire comisie de lucru (ex. cazul companiilor IT mari)
  8. Monitorizare constantă, adaptare – ex. cazul achiziționarea de noi softuri, dezvoltarea de noi softuri, noi instrumente de lucru etc.

Pentru mai multe detalii vă putem sta la dispoziție.

O zi bună!

Mihai Dartec replied 4 săptămâni ago

Mulțumesc mult pentru răspuns!