FAQ
FAQ - Întrebări Frecvente
FAQ - Întrebări Frecvente
Răspunsuri la întrebările comune despre conformitate GDPR, servicii și colaborare
Găsești aici răspunsuri la cele mai frecvente întrebări despre GDPR, serviciile noastre și cum funcționează colaborarea. Dacă nu găsești răspunsul căutat, contactează-ne direct.
Q: Ce este GDPR și cine trebuie să îl respecte?
GDPR (General Data Protection Regulation) este legislația europeană privind
protecția datelor personale, transpusă în România prin Legea 190/2018. Orice
organizație care procesează date personale ale rezidenților UE trebuie să respecte GDPR -
indiferent de dimensiune, industrie sau locație geografică.
Q: Ce sunt "date personale" conform GDPR?
Date personale = orice informație care identifică sau poate identifica o
persoană fizică. Exemple: nume, email, telefon, adresă IP, ID cookie, photo, înregistrări video,
date financiare, date medicale, date biometrice. Practic, aproape tot ce colectezi despre
clienți, angajați sau useri este "data personala".
Q: Care e diferența între "operator" și "procesator"?
Operator = decide DE CE și CUM se procesează datele (ex: compania ta care
colectează date clienți). Procesator = procesează datele în numele operatorului
conform instrucțiunilor (ex: provider de email marketing, CRM, hosting). Operatorul are
responsabilitatea principală conform GDPR.
Q: Ce înseamnă "bază legală" pentru procesare?
Pentru fiecare procesare de date trebuie să ai o bază legală conform Art. 6
GDPR: (1) consimțământ, (2) executare contract, (3) obligație legală, (4) interes
legitim, etc.. Cea mai comună pentru business: contract (clienți) și interes legitim (suport
clienti).
Q: Trebuie să cer consimțământ pentru tot ce fac cu
datele?
NU. Consimțământul e doar una dintre bazele legale. Pentru executare contract
(livrare produs, facturare) NU ai nevoie de consimțământ. Consimțământul e necesar pentru:
marketing către non-clienți, cookie tracking, transferuri date către terți pentru scopuri
propria, etc..
Q: Am nevoie de DPO (Data Protection Officer)?
DPO e OBLIGATORIU conform Art. 37 doar pentru: (1) autorități publice, (2)
procesări la scară largă și sistematică, (3) procesări de date sensibile (sanatate, date
biometrice, opinii politice, etc.). Pentru majoritatea business-urilor private, DPO nu e
obligatoriu legal, ci doar in cazurile stabilite de Art. 37 GDPR.
Q: Ce sunt "categorii speciale de date" (Art. 9)?
Date sensibile care necesită protecție suplimentară: rasă/etnie, opinii
politice, credințe religioase, apartenență sindicală, date genetice, date biometrice (pentru
identificare), date medicale, viață sexuală/orientare. Procesarea acestora e
INTERZISĂ în principiu, cu excepții strict definite (ex: consimțământ explicit,
obligație legală, îngrijire medicală).
Q: Ce înseamnă "Privacy by Design"?
Privacy by Design (Art. 25) = implementezi protecția datelor din faza de
design/dezvoltare, nu post-facto. Exemple practice: criptare default, data minimization în
formularele de colectare, pseudonimizare, acces granular la date, ștergere automată după
perioada de retenție. E cerință obligatorie GDPR pentru dezvoltare software/platforme.
Q: Ce documentații GDPR sunt obligatorii pentru
organizația mea?
Documentațiile obligatorii conform GDPR:
- Registrul de evidență a procesărilor (Art. 30)
- Politici de confidențialitate pentru website/app/platformă
- Contracte DPA (Data Processing Agreements) cu toți procesatorii (hosting, email, CRM, analytics, etc)
- Proceduri interne: incident response, exercitare drepturi, acces, ștergere
- Documente consimțământ (unde aplicabil)
- Documentare măsuri tehnice și organizatorice (Art. 32)
Q: Ce e registrul de evidență (Art. 30) și cine
trebuie să-l aibă?
Registrul = documentul care inventariază TOATE procesările de date din
organizație: ce date colectezi, de la cine, de ce, cui le dai, cât timp le păstrezi, ce măsuri
de securitate ai. Obligatoriu pentru: organizații 250+ angajați SAU procesări cu risc/date
sensibile/sistematice. Practic, aproape orice business trebuie sa il aiba, exceptiile sunt
foarte rare.
Q: Ce e un DPA (Data Processing Agreement) și când e
necesar?
DPA = contract obligatoriu între operator (tu) și procesator (provider
third-party) care stabilește responsabilitățile de protecție date. E
OBLIGATORIU pentru orice tool/serviciu care procesează date în numele tău:
hosting, email marketing, CRM, analytics, payment processor, cloud storage. Fără DPA = încălcare
GDPR.
Q: Diferența dintre Politica de Confidențialitate și
Termeni și Condiții?
Politica de Confidențialitate = document OBLIGATORIU GDPR care explică ce date
colectezi, de ce, cui le dai, cât timp le păstrezi, ce drepturi au subiecții. Termeni și
Condiții = contract comercial între tine și client (reguli folosire serviciu,
plată, livrare, răspundere). Ambele necesare, dar au scopuri diferite.
Q: Cât de des trebuie actualizate documentațiile GDPR?
Actualizare necesară când:
- Adaugi tool/integrare nouă (CRM, analytics, marketing)
- Lansezi feature/produs nou care procesează date
- Modifici scopul procesării existente
- Se schimbă legislația GDPR (rar, dar se întâmplă)
- Identifici gaps în compliance (audit intern sau ANSPDCP)
Q: Ce face un DPO (Data Protection Officer)?
DPO are responsabilități legale conform Art. 37-39 GDPR:
- Monitorizează conformitatea GDPR în organizație
- Consiliere organizație și angajați despre obligații GDPR
- Punct de contact cu ANSPDCP (autoritatea de supraveghere)
- Consultări prealabile pentru procesări cu risc ridicat
- Cooperare cu autoritatea în cazul auditurilor
Q: Cât timp durează onboarding-ul pentru DPO
externalizat?
Prima lună = onboarding:
- Familiarizare cu organizația și procesările
- Review documentații existente și identificare gaps
- Stabilire proceduri comunicare și raportare
- Intro echipe relevante (IT, marketing, HR, management)
Q: Cât costă serviciile GDPR?
Prețurile variază funcție de serviciu și complexitatea organizației tale. Pentru ofertă
personalizată, contactează-ne cu detalii despre organizația ta (dimensiune, industrie,
procesări, integrări).
Singurele servicii cu preț fix sunt documentațiile ready-to-use
care se adreseaza afacerilor mici deschise recent.
Pentru celelalte servicii (consultanță, DPO, training), prețul
depinde de factori specifici - vezi detalii în pagina fiecărui serviciu.
Q: Ce influențează prețul pentru Consultanță GDPR?
Factori care influențează prețul consultanței:
- Complexitatea arhitecturii de date (10K vs 500K+ clienți)
- Număr de integrări și procesatori third-party
- Tip de date procesate (standard vs sensibile - medical, minori, financiar)
- Starea curentă conformitate (de la zero vs ajustări)
- Necesitate implementări tehnice complexe (Privacy by Design)
- Număr entități juridice (dacă operezi multi-entity)
Q: Ce influențează prețul pentru DPO Externalizat?
Factorii care influențează prețul contractului cu DPO Externalizat sunt ore consultanță/lună,
frecvență raportare, nivel suport. Detalii complete în pagina
DPO Externalizat.
Q: Ce influențează prețul pentru Training GDPR?
Factori care influențează prețul training-ului:
- Durată workshop: 1h vs 3h
- Număr participanți: 15 vs 50+
- Nivel customizare: generic vs ultra-personalizat pentru industria ta
- Locație: remote (video call) vs on-site, București vs alte orașe
- Număr sesiuni: training unic vs program recurring
Q: Oferiți pachete discount pentru multiple servicii?
Da. Dacă combini servicii (ex: Consultanță + DPO, sau Training + Consultanță),
oferim pricing preferențial. Discutăm opțiuni la evaluarea inițială.
Q: Cum începe colaborarea? Care e primul pas?
Primul pas = Consultanță Inițială (30 min, funcție de serviciu):
- Discutăm despre organizația ta: arhitectură, procesări, integrări
- Evaluăm starea curentă conformitate și identificăm gaps
- Stabilim serviciul potrivit: Consultanță, DPO, Training
- Primești ofertă personalizată cu preț fix și timeline
Q: Trebuie să fiu prezent/disponibil în timpul
implementării?
Da, colaborarea ta e necesară pentru:
- Kickoff și alignment inițial
- Clarificări despre procesări și arhitectură (ongoing, email/call scurte)
- Review draft-uri documentații
Q: Ce se întâmplă după finalizarea proiectului de
consultanță?
După implementare conformitate:
- Primești toate documentațiile (editabile, în format Word/PDF)
- Suport post-implementare inclus (2 săptămâni gratuit)
- Opțional: Treci la DPO externalizat pentru monitoring ongoing
- Opțional: Training-uri refresh periodice pentru echipe
Q: Cât de mari pot fi amenzile GDPR?
GDPR prevede amenzi administrative cu 2 niveluri:
- Nivel 1 (încălcări "minore"): până la €10 milioane SAU 2% din cifra de afaceri globală anuală (se aplică valoarea mai mare).
- Nivel 2 (încălcări "grave"): până la €20 milioane SAU 4% din cifra de afaceri globală anuală.
Q: ANSPDCP chiar aplică amenzi sau e doar teoretic?
DA, ANSPDCP aplică amenzi în practică. Exemple publice:
- Companii e-commerce: amenzi pentru lipsa DPA-urilor cu procesatori
- Platforme tech: amenzi pentru lipsa consimțământ valid tracking
- Organizații medical: amenzi pentru măsuri securitate inadecvate
- Retail: amenzi pentru lipsa răspuns la cereri exercitare drepturi
Q: Care sunt cele mai comune încălcări GDPR în
practică?
Top încălcări identificate în audituri:
- Lipsa DPA-urilor cu procesatorii (hosting, email, CRM, analytics)
- Cookie tracking fără consimțământ valid (doar banner ≠ consimțământ)
- Politici de confidențialitate generice sau învechite
- Lipsa procedurilor pentru exercitare drepturi subiecți
- Măsuri de securitate inadecvate (fără criptare, backup, access control)
- Lipsa registrului de evidență (Art. 30)
- Retenție date indefinită (nu se șterg datele vechi)
Q: Ce declanșează un audit ANSPDCP?
ANSPDCP poate audita organizații din mai multe motive:
- Plângere de la un subiect de date (client, angajat)
- Notificare data breach (incident de securitate)
- Audit tematic sector specific (ex: verificare e-commerce, educație)
- Control aleator (sampling)
- Sesizare din mass-media sau investigație jurnalistică
Dacă întrebarea ta nu e acoperită în acest FAQ, contactează-ne direct pentru asistență personalizată.
✉️
Email: contact@gdprconsultant.ro
📍
Locație: București, România