Unele companii folosesc platforme web unde persoanele vizate își pot trimite direct cererile (ex: un formular “Exercise Your Rights” pe site). Un astfel de portal, integrat cu un software GDPR, centralizează toate cererile într-un panou de administrare. Astfel, nicio cerere nu “se pierde” printre emailuri sau pe la diferiți angajați. Sistemul poate atribui automat un număr de înregistrare și poate notifica responsabilii (ex: DPO-ul sau managerul) că s-a primit o nouă cerere.
Workflows și termene limită în sistem: Un bun software de compliance permite setarea de fluxuri de lucru. De exemplu, odată primită o cerere de acces, aplicația generează o sarcină internă: “Colectează datele subiectului X din sistemele A, B, C și pregătește răspunsul până la data…”. Termenul de 30 de zile poate fi monitorizat în aplicație, care trimite remindere pe măsură ce se apropie scadența. Dacă este necesară o prelungire cu 2 luni (permise de GDPR în cazuri complexe), acest lucru poate fi de asemenea gestionat din software (cu notificare automată către persoana vizată pentru a o informa despre extinderea termenului).
Șabloane de răspuns conforme: Răspunsurile la cereri trebuie să conțină anumite elemente (de exemplu, în cazul dreptului de acces, trebuie furnizată o copie a datelor și informații precum scopurile prelucrării, destinatarii, perioada de stocare etc.). Un software GDPR poate include șabloane pre-aprobate pentru răspunsuri, asigurând că nu uiți să incluzi detaliile obligatorii. Astfel, chiar și un angajat non-jurist poate genera un răspuns corect, completând doar datele variabile.
Evidență și documentație automatizată: Un alt avantaj al folosirii unui “soft GDPR” este că păstrează jurnalul tuturor cererilor primite și al acțiunilor întreprinse. Acest jurnal este esențial dacă ești controlat – demonstrează că ai un proces bine pus la punct. EDPB (organismul european) a subliniat în 2025 că multe companii nu păstrează documentație internă privind modul de soluționare a cererilor, crescând riscul de a încălca drepturile persoanelor.
Reducerea erorilor și a barierelor: Prin automatizare, se evită situații precum uitarea unei cereri în inbox sau aplicarea incorectă a unor excepții. De exemplu, unele companii resping eronat cereri pe motiv că ar fi “excesive” sau cer mereu copii după buletin pentru verificare, chiar și atunci când nu e necesar. Un sistem bine gândit te întreabă pas cu pas: “Ai confirmat identitatea solicitantului? Dacă da, bifă -> treci mai departe. Cererea este foarte vagă? Dacă nu, nu solicita clarificări inutile.” Acest workflow reduce situațiile de refuz nejustificat care ar putea fi interpretate ca obstrucționare a drepturilor persoanei vizate. Conform raportului EDPB, multe organizații pun bariere inutile (formulare complicate, cerere de informații suplimentare la fiecare solicitare) – abordare descurajată de autorități.
Nu toate incidentele provin din atacuri intenționate; multe sunt greșeli umane sau proceduri defectuoase. Un exemplu real: Electrica Furnizare S.A. (furnizor de energie) a fost amendată după ce, dintr-o eroare operațională, un client a primit pe email documente cu datele personale ale altui client – inclusiv acte de identitate, date bancare, CNP etc. Cum s-a produs? O solicitare de la un client a fost gestionată greșit, asociind răspunsul la o adresă de email eronată. Practic, a fost un mixaj de tichet greșit în sistemul lor, combinat cu lipsa unui mecanism de verificare finală înainte de trimiterea datelor. ANSPDCP a constatat lipsa măsurilor adecvate care să asigure confidențialitatea integritatea datelor și a sancționat compania.
Alt exemplu comun: trimiterea unui email masiv folosind câmpul “To:” în loc de “BCC:”, dezvăluind astfel adresele tuturor celorlalți destinatari. Sau pierderea unui laptop neparolat plin cu date de clienți. Aceste situații nu implică hackeri, ci lipsa unor măsuri tehnice simple care ar fi putut evita consecințe grave.
Cum ajută soluțiile software la evitarea acestor greșeli:
- Controlul documentelor și al accesului: În cazul Electrica, o platformă internă de management al cererilor (cum ziceam mai sus) cu un sistem de permisiuni ar fi împiedicat probabil angajatul să acceseze date care nu erau ale clientului respectiv. De exemplu, dacă fiecare cerere are atașate doar fișierele clientului care a solicitat, nu ar fi existat riscul să se “încurce” documentele între ele. Un software poate restricționa accesul la fișiere pe baza identității clientului sau a operatorului care lucrează pe caz.
- Verificări automate înainte de trimitere: Pentru a preveni emailurile trimise greșit, există plugin-uri sau funcționalități care te obligă să confirmi anumiți pași. De exemplu, unele programe de email pot fi configurate să arate o alertă: “Atașamentul conține CNP/serii CI – ești sigur că destinatarul este corect și autorizat?”. Similar, un software GDPR ar putea impune ca înainte de expedierea datelor personale către cineva, operatorul să bifeze manual: “Am verificat că acesta este destinatarul legitim al acestor date.” Această dublă verificare ar fi putut preveni eroarea de la Electrica Furnizare.
- Tehnologii DLP (Data Loss Prevention): Aceste soluții, adesea folosite de companiile mari, sunt tot mai accesibile și firmelor mici. Un software DLP monitorizează fluxul de date care iese din organizație (prin email, web, device-uri USB) și poate bloca sau alerta atunci când detectează informații sensibile trimise către destinatari neautorizați. De exemplu, dacă un angajat încearcă să trimită un fișier care conține 100 de CNP-uri, sistemul DLP poate bloca trimiterea și notifica echipa de securitate. Implementarea unor astfel de soluții ar fi un “airbag” excelent contra divulărilor accidentale.
- Criptarea și parolele la fișiere: O măsură mai simplă – dacă tot trebuie să trimiți pe email documente cu date personale – este să le protejezi cu parolă. Sunt disponibile utilitare sau funcții MS Office/Adobe care permit criptarea documentelor; parola se transmite separat (ideal, prin alt canal). Astfel, chiar dacă ajunge greșit la altcineva, persoana neautorizată nu-l poate citi. Un soft GDPR poate include un modul de gestionare a documentelor securizate, asigurând că orice export de date personale se face în format criptat.
- Gestionarea echipamentelor și a accesului remote: Pentru situațiile de pierdere/furt de device-uri (laptopuri, telefoane), există soluții MDM (Mobile Device Management) care permit ștergerea de la distanță a datelor, localizarea dispozitivului și impunerea unor politici (ex: obligatoriu PIN/criptare pe dispozitivele ce accesează date de firmă). Un antreprenor ar putea utiliza astfel de servicii (de multe ori incluse în pachetele de business ale furnizorilor IT) ca parte a conformității – e mult mai puțin probabil să ai un incident raportabil dacă laptopul pierdut era criptat și șters imediat de la distanță.
Greșeala e omenească, dar efectele ei pot fi limitate de tehnologie. Un “software GDPR” sau piese de software complementare (DLP, MDM, plugin-uri de securitate) acționează ca o plasă de siguranță: prind erorile înainte să devină breșe. Chiar și procedurile impuse de software (pop-up-uri de confirmare, workflow-uri stricte) îi forțează pe angajați să fie mai atenți. Pentru un IMM, poate părea costisitor să implementezi astfel de soluții, dar multe au versiuni scalabile la dimensiunea firmei și merită fiecare ban prin incidentele prevenite. Gândește-te că o singură scăpare – un email greșit – te poate costa mii de euro; în schimb, un abonament anual la un serviciu de securitate e probabil mult sub acea sumă.
Articole conexe pe aceeași temă
- Cum răspunzi corect cererilor persoanelor vizate: reguli, termene și riscuri
- GDPR în România (2025): Amenzi recente și impactul asupra IMM-urilor
- Regulile esențiale privind prelucrarea datelor cu caracter personal (GDPR)
- DSA: Google mi-a suspendat pagina. Pot face plângere la ANCOM?
