Synapsa ERP in contextul GDPR
Protecția și confidențialitatea datelor sunt esențiale pentru noi și de aceea am tratat intotdeauna cu atenție și respect orice chestiune in legătură cu acestea. Articolul următor aduce o serie de precizări cu privire la respectarea noilor prevederi referitoare la prelucrarea datelor cu caracter personal.
Ce este GDPR?
"GDPR" (General Data Protection Regulation) este REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce privește prelucrarea și circulația datelor cu caracter personal. Regulamentele Europene nu au nevoie de legi naționale care să transpună prevederile in legislația fiecărui stat UE și intră in vigoare direct, fără nicio formalitate, in toate statele Uniunii Europene. Intrarea in vigoare a fost stabilită pentru 25 mai 2018.
vedeti resurse aici
In majoritatea cazurilor, companiile procesează, intr-o formă sau alta, date cu caracter personal, fie că realizează această procesare in interes propriu, fie că o realizează in interesul altor companii. Conceptul de date personale este atat de larg, incat este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților in scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania intr-un subiect al GDPR.
"Controlor de date" și "procesator de date" sunt două concepte importante pentru ințelegerea responsabilităților unei companii definite de GPDR. In funcție de situație, o companie poate să fie controlor de date, procesator de date sau ambii și să aibă, in consecință, anumite responsabilități:
Controlor de date
O companie este controlor de date dacă are responsabilitatea să decidă motivul și modul (?scopul? și ?mijloacele?) procesării datelor personale.
Conform regulamentului RGPD, controlorii de date trebuie să adopte măsuri de conformitate pentru modul de colectare a datelor, pentru scopul folosirii lor și pentru durata păstrării acestora. In plus, aceștia trebuie să se asigure că utilizatorii pot să-și acceseze propriile date.
Controlorii de date trebuie să se asigure că procesatorii de date iși indeplinesc angajamentele contractuale pentru procesarea datelor in mod sigur și legal.
Procesator de date
O companie este procesatorul de date dacă procesează date personale in numele unui controlor de date. Conform regulamentului RGPD, procesatorii de date au obligația de a procesa datele in mod sigur și legal.
In acest context, companiile Mnemos și Synapsa Soft (numite in contiuare Furnizor), care administrează aplicațiile Synapsa ERP, sunt in principal procesatori de date, intrucat "procesează" datele colectate de firmele care utilizează aceste aplicații - care au rolul de controlori de date (numite in continuare Client).
Furnizorul Synapsa - ca și controlor de date
Există un set de date personale colectate direct de noi, față de care avem rolul de Controlor de date. Acestea sunt:
Datele persoanelor de contact
Date colectate: nume, adresa de email, telefon, conturi de Facebook sau WhatsApp.
Scopul procesării: Aceste date sunt necesare pentru comunicările despre aplicație, actualizări, modificări ale legislației, precum și alte comunicări necesare bunei colaborări. Canalele de comunicare sunt alese in functie de tipul, importanță și urgență comunicării, precum și de preferințele persoanelor de contact.
Datele administratorului de cont. Administratorul de cont are rolul de a acorda drepturi de acces salariaților din firma din care face parte. Cel mai adesea, el face parte din lista persoanelor de contact.
Date colectate: nume, adresa de email
Scopul procesarii: Comunicări de natură tehnică, in privința operării.
Furnizorul nu prelucrează aceste date in alte scopuri in afara celor enumerate mai sus.
Procedura de comunicare intre Furnizor si Client este descrisă in contractele de licență la capitolul Comunicări. In afara acesteia, clientii vor primi un set suplimentar de proceduri detaliate pentru situațiile de schimbări ale persoanelor de contact sau administrtorului de cont, sau schimbări ale datelor lor, precum și in cazurile de plecări sau contacte noi - proceduri elaborate in conformitate cu GDPR.
Furnizorul Synapsa - ca și procesator de date
Prin natura activității sale, Clientul colectează date personale de feluri diverse și le inregistrează in aplicațiile Synapsa.
Date personale colectate de Client ce pot fi introduse in bazele de date Synapsa:
- Nume de utilizatori si adrese de email - ale salariaților companiei sau colaboratorilor imputerniciți să opereze in aplicație
- Datele salariaților companiei - date detaliate de personal, in conformitate cu legislația muncii
- Datele partenerilor companiei, persoane fizice - aceștia pot fi furnizori, clienți sau cu alte roluri. Datele colectate pot fi nume, adrese, numere de telefon, email, cod numeric personal.
Responsabilitatea colectării datelor de orice fel și introducerea lor in Synapsa este responsabilitatea Clientului, asa cum este stipulat și in contractele de licență, la articolele privind securitatea datelor și răspunderea contractuală.
Clientul are responsabilitatea de a-și asigura conformitatea cu regulile GDPR in privința felului in care colectează și procesează date cu caracter personal.
Pentru a facilita conformitatea cu GDPR, am creat o serie de modificări in aplicație.
In bazele de date existente ale Clienților există date colectate de la persoane fizice in scopurile enumerate mai sus: utilizatori, salariați, parteneri diverși.
Clientul poate opta oricand să steargă orice set de date conform cu politicile proprii de confidențialitate. Totuși, chiar dacă anumite date sunt colectate in bazele de date, ele pot sa nu fie utilizate in documente printate sau transmise pe cale electronică in interiorul sau in afara firmei.
Pentru aceasta s-au creat in Synapsa diverse opțiuni de lucru prin care Clientul poate opta ca anumite date personale să apara sau nu in anumite documente.
Exemple:
- Formulare de facturi, proforme sau invoice-uri, pe care apăreau datele personale ale persoanei care intocmea factura. Acest lucru a fost obligatoriu in anii trecuti, apoi a devenit opțional. Formularele de facturi au fost modificate pentru a nu mai conține datele persoanei care intocmeste, decat in masura in care Clientul dorește.
- Formulare de dispoziții de plată/incasare, cu opțiunea de a conține sau nu date personale, in afara numelui.
- In declarația fiscală 394 - ce conține căsuțe pentru datele personale ale furnizorilor si clientilor persoane fizice - clientul poate opta să transmită CNP-ul sau adresa. In această declaratie nu este permisă (de către ANAF) lipsa ambelor date: e necesar să apară ori CNP-ul ori adresa partenerului respectiv, persoană fizică.
Conform art. 37 (1) b) din GDPR, obligația de a avea un responsabil revine firmelor care fac prelucrări ce necesită o ?monitorizare periodică și sistematică?.
Clientul trebuie să ia decizia proprie cu privire la desemnarea unui DPO in firma sa.
Furnizorul nu face nicio monitorizare a Clienților sau ale datelor persoanelor fizice colectate de către Clienți. Totuși, in acest sens a fost desemnat un responsabil, specializat d.p.d.v. tehnic și instruit in privința GDPR.
In conformitate cu articolele prevăzute in contractele de licență, Furnizorul va păstra confidentialitatea datelor introduse/generate/prelucrate de Client prin intermediul aplicației Synapsa, neavand dreptul de a le utiliza sau de a le face publice.
Salariatii Furnizorului pot intra in contact cu datele Clienților, in următoarele scopuri:
- pentru a-i ajuta să utilizeze aplicația in perioada de implementare
- pentru a-i ajuta in situația apariției de noi situații/spețe
- pentru a rezolva eventuale disfuncții de natură informatică/algoritmică sau de calcul.
Salariații furnizorului sunt instruiți in privința regulilor GDPR și iși desfașoară activitatea in conformitate cu acestea.
După incetarea unui contract SaaS, datele Clientului sunt păstrate in serverele active incă 6 luni, apoi sunt șterse, astfel incat să nu mai poată fi accesate.
După incetarea unui contract On Premise, baza de date rămane pe serverul Clientului, care este in continuare răspunzător de protecția ei.
In conformitate cu contractele de licență, Clientul are posibilitatea sa opteze pentru mai multe categorii de restricții de accesare a aplicației Synapsa:
- la accesarea aplicației, prin autentificare in 1 sau 2 pași sau prin restricții de altă natură, descrise in contractele de licenta,
- la nivel de opțiuni de meniu și facilități in interiorul aplicației, pe care le poate reglementa administratorul de cont.
Clienții care utilizează aplicația in regim On Premise (au aplicația și bazele de date instalate pe serverele proprii), isi pot asigura in plus sisteme proprii de securitatea accesului. Aceștia au și responsabilitatea asigurării securitătii fizice a serverelor, d.p.d.v. al condițiilor fizice de exploatare, precum și securitatea accesului direct.
Pentru clienții in regim SaaS, Furnizorul garantează pentru securitatea serverelor, in conditiile prevăzute in contractele de licență individuale.
Citiți actele normative GDPR, precum și alte informații:
http://www.privacy-regulation.eu/ro/index.htm
https://ec.europa.eu/info/law/law-topic/data-protection_ro
https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN