Securitatea datelor personale: ce măsuri trebuie să implementeze o firmă conform GDPR

02/06/2025

GDPR nu înseamnă doar politici scrise sau acorduri de confidențialitate. Unul dintre cele mai importante aspecte ale conformității este securitatea reală a datelor personale.

Conform articolului 32 din Regulamentul GDPR, orice companie care prelucrează date personale are obligația de a implementa măsuri tehnice și organizatorice adecvate pentru a proteja aceste date împotriva pierderii, accesului neautorizat sau divulgării accidentale.

În acest articol explicăm ce înseamnă concret aceste măsuri, care sunt obligatorii și ce bune practici poți adopta pentru a-ți proteja afacerea.

Ce spune GDPR despre securitatea datelor (art. 32)

Articolul 32 din GDPR obligă operatorii și persoanele împuternicite să implementeze măsuri „corespunzătoare” ținând cont de:

stadiul actual al tehnologiei,

costul implementării,

natura, domeniul de aplicare, contextul și scopurile prelucrării,

riscurile pentru drepturile și libertățile persoanelor.

Așadar, nu există o listă universală de măsuri. Dar nu înseamnă că poți omite securitatea – dimpotrivă, trebuie să aplici măsuri rezonabile și justificate, în funcție de nivelul de risc.

Diferența între obligații și bune practici

GDPR impune un principiu: măsurile trebuie să fie proporționale cu riscurile. Asta înseamnă:

Obligații – minime, pentru toți operatorii:

controlul accesului la date,

parole sigure,

backupuri regulate,

politici interne privind accesul și partajarea datelor,

instruirea angajaților.

Bune practici – recomandate, dar nu impuse în orice context:

criptarea datelor,

autentificare multifactor (2FA),

firewall și antivirus profesional,

jurnalizarea activității (loguri),

testări de vulnerabilitate (pen-test).

Chiar dacă unele măsuri sunt „doar recomandate”, în cazul unui incident sau control, lipsa lor poate fi considerată neglijență dacă riscul era previzibil.

Exemple de măsuri tehnice

1. Parole complexe și schimbate periodic

Evită parole simple (ex: „admin123”). Folosește combinații de litere mari, mici, cifre și caractere speciale. Impune schimbarea parolelor la intervale regulate.

2. Backup automat și securizat

Fă backup zilnic sau săptămânal pentru datele sensibile și păstrează-le criptat pe un server extern sau în cloud, cu acces limitat.

3. Criptarea datelor

Criptarea reduce impactul unei breșe de securitate. Poate fi aplicată la:

fișiere stocate local,

baze de date,

emailuri care conțin date personale.

4. Antivirus și firewall actualizat

Asigură-te că toate dispozitivele folosite pentru prelucrarea datelor sunt protejate și actualizate constant.

5. Limitarea accesului

Nu toți angajații trebuie să aibă acces la toate datele. Stabilește roluri și permisiuni clare.

Exemple de măsuri organizatorice

1. Politici interne clare

Redactează proceduri scrise pentru:

accesul la date,

partajarea datelor cu terți,

păstrarea și ștergerea datelor.

2. Instruirea angajaților

Toți angajații care au acces la date personale trebuie să știe cum să le gestioneze corect și sigur. Instruirea periodică este o cerință implicită.

3. Contracte cu furnizorii și colaboratorii

Dacă trimiți date personale către alți procesatori (ex: firma de contabilitate, CRM extern), ai obligația să semnezi acorduri de împuternicire GDPR și să verifici dacă și ei respectă măsurile de securitate.

Ce riști dacă nu implementezi aceste măsuri?

Amenzi administrative de până la 10 milioane euro sau 2% din cifra de afaceri anuală (conform art. 83 GDPR).

Pierderea încrederii clienților.

Răspundere juridică în cazul unui incident (inclusiv daune către persoanele afectate).

Interzicerea temporară a prelucrării datelor.

Cum știi dacă măsurile tale sunt suficiente?

Un prim pas este să faci o evaluare a riscurilor:

Ce tipuri de date prelucrezi?

Cine are acces la ele?

Ce se întâmplă dacă se pierd sau se divulgă?

Pe baza acestor răspunsuri, decizi ce măsuri sunt rezonabile și justificabile în contextul afacerii tale.

Concluzie

Securitatea datelor nu este un moft, ci o obligație legală. Mai mult decât atât, este o dovadă de profesionalism și o garanție oferită clienților tăi.

Dacă vrei să fii cu adevărat în regulă cu GDPR, trebuie să ai atât documentație, cât și măsuri reale implementate în firmă.

Boldshare te poate ajuta cu:

evaluarea riscurilor,

redactarea politicilor interne,

implementarea măsurilor de securitate și instruirea echipei.

Scrie-ne dacă vrei să verificăm împreună cât de protejate sunt datele pe care le gestionezi.

Întrebări frecvente (FAQ)

1. Este criptarea obligatorie conform GDPR?

Nu este obligatorie în orice context, dar este recomandată pentru date sensibile sau în cazul transferurilor de date. Dacă nu criptezi datele și apare o breșă, autoritățile pot considera că nu ai luat măsuri adecvate.

2. Trebuie să instruiesc toți angajații în GDPR?

Da, toți angajații care au acces la date personale trebuie să știe cum să le gestioneze în siguranță. Instruirea periodică este o cerință esențială și poate fi verificată în cazul unui control.

3. Ce înseamnă „măsuri proporționale cu riscurile”?

Înseamnă că nu toate firmele trebuie să implementeze aceleași măsuri. O firmă care gestionează dosare medicale are riscuri mai mari decât una care trimite doar newslettere, deci va avea nevoie de măsuri mai stricte.

4. Dacă folosesc un CRM sau o platformă în cloud, mai sunt responsabil?

Da. Operatorul de date rămâne responsabil și trebuie să se asigure că furnizorii săi (persoanele împuternicite) respectă GDPR și au măsuri de securitate adecvate.

5. Ce fac dacă am avut o breșă de securitate?

Conform GDPR, dacă breșa prezintă un risc pentru drepturile persoanelor vizate, trebuie notificată ANSPDCP în termen de 72 de ore și, în unele cazuri, și persoanele afectate.