Cea mai comună greșeală pe care am văzut-o în acordul Brokerului X — și o văd la 80% din IMM-urile la care mă uit — e asta: „Avem nevoie de consimțământul dvs. pentru a continua." Sună inocent. E o bombă.
De ce? Pentru că GDPR nu te lasă să procesezi date pe „consimțământ" decât într-un singur scop: marketing și lucruri opționale. Pentru orice altceva, ai alte 5 baze legale, fiecare cu logica ei.
Hai să traduc în business
| Ce faci cu datele clientului | Pe ce bază legală o faci |
|---|---|
| Îi livrezi serviciul pentru care a plătit | Contract (nu consimțământ) |
| Îi păstrezi factura 5 ani pentru ANAF | Obligație legală (nu consimțământ) |
| Îi trimiți newsletter cu oferte | Consimțământ (acum da) |
| Îi analizezi comportamentul pentru recomandări | Consimțământ sau interes legitim (cu balanță) |
Care e problema dacă pui tot pe consimțământ?
Două lucruri urâte se întâmplă.
Primul: clientul îți retrage consimțământul (e dreptul lui, fără explicații) — și conform documentului tău, ar trebui să-i ștergi toate datele. Inclusiv factura pe care trebuie să o ții 5 ani pentru ANAF. Contradicție directă.
Al doilea: ANSPDCP a sancționat exact asta. Folosirea consimțământului ca „etichetă pentru tot" e considerată inducere în eroare a clientului. Pentru că-i sugerezi că poate spune nu — când de fapt n-are de ales (serviciul presupune procesarea datelor lui, prin contract).
Cele 6 baze legale Art. 6(1) GDPR
Pentru claritate completă, iată toate cele 6 opțiuni:
- (a) Consimțământ — marketing, profilare, cookies non-esențiale
- (b) Contract — orice e necesar pentru a livra serviciul plătit
- (c) Obligație legală — facturi, raportări fiscale, AML, evidențe HR
- (d) Interese vitale — viața persoanei (rar pentru business obișnuit)
- (e) Interes public — autorități publice
- (f) Interes legitim — orice ai un motiv business obiectiv, după balansare cu drepturile persoanei
90% din prelucrările unui IMM se încadrează la (b), (c), (a) sau (f). Foarte rar trebuie consimțământ pur.
Ce faci concret
Deschide-ți politica de confidențialitate. Caută cuvântul „consimțământ". De câte ori apare?
- 0-2 ori → probabil ești OK, mai citește o dată
- 3-5 ori → ai goluri, dar reparabile
- 6+ ori → ești în zona Brokerului X
Soluția e un tabel simplu cu 3 coloane:
| Ce date colectez | În ce scop | Pe ce bază legală |
|---|---|---|
| Nume, email, IBAN | Procesare comandă | Contract — Art. 6(1)(b) |
| CNP, CUI | Facturare ANAF | Obligație legală — Art. 6(1)(c) |
| Newsletter săptămânal | Consimțământ — Art. 6(1)(a) | |
| Comportament navigare | Recomandări personalizate | Interes legitim — Art. 6(1)(f) |
Trei minute de muncă pentru fiecare flux de date din business-ul tău. Acest tabel singur îți rezolvă 70% din auditul ANSPDCP.
Vrei să generezi acest tabel automat?
MYDESKS Wizard pune 24 de întrebări despre afacerea ta și generează tabelul scop / temei / retenție în 15 minute. Plus 4 documente de guvernanță complete.
** Acest articol face parte din Ghidul complet de audit readiness GDPR pentru IMM-uri din România — pillar-ul care acoperă toate cele 6 zone verificate la un audit, cu cifre de cost și 3 niveluri de pregătire. **
Navigare seria: ← Episodul 1 · Episodul 2 (ești aici) · Episodul 3 →