Synapsa ERP in contextul GDPR

 

Protecția și confidențialitatea datelor sunt esențiale pentru noi și de aceea am tratat întotdeauna cu atenție și respect orice chestiune în legătură cu acestea. Acest document are rolul de a aduce o serie de precizări cu privire la respectarea prevederilor referitoare la prelucrarea datelor cu caracter personal.

Ce este GDPR?

 

"GDPR" (General Data Protection Regulation) este REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea și circulația datelor cu caracter personal. Regulamentele Europene nu au nevoie de legi naționale care să transpună prevederile în legislația fiecărui stat UE și intră în vigoare direct, fără nicio formalitate, în toate statele Uniunii Europene. Intrarea în vigoare a fost stabilită pentru 25 mai 2018.

vedeti resurse aici

Cui se aplica GDPR?

În majoritatea cazurilor, companiile procesează, într-o formă sau alta, date cu caracter personal, fie că realizează această procesare în interes propriu, fie că o realizează în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate să nu prelucreze astfel de date. Fie că vorbim despre prelucrarea datelor angajaților, a datelor clienților în scopuri de marketing, sau a datelor sensibile ale unor clienți (date de sănătate, cazier fiscal sau judiciar etc.), toate aceste situații transformă compania într-un subiect al GDPR.

"Controlor de date" vs. "Procesator de date"

"Controlor de date" și "procesator de date" sunt două concepte importante pentru înțelegerea responsabilităților unei companii definite de GPDR. În funcție de situație, o companie poate să fie controlor de date, procesator de date sau ambii și să aibă, în consecință, anumite responsabilități:

Controlor de date

O companie este controlor de date dacă are responsabilitatea să decidă motivul și modul („scopul” și „mijloacele”) procesării datelor personale.

Conform regulamentului RGPD, controlorii de date trebuie să adopte măsuri de conformitate pentru modul de colectare a datelor, pentru scopul folosirii lor și pentru durata păstrării acestora. În plus, aceștia trebuie să se asigure că utilizatorii pot să-și acceseze propriile date.

Controlorii de date trebuie să se asigure că procesatorii de date își îndeplinesc angajamentele contractuale pentru procesarea datelor în mod sigur și legal.

Procesator de date

O companie este procesatorul de date dacă procesează date personale în numele unui controlor de date. Conform regulamentului RGPD, procesatorii de date au obligația de a procesa datele în mod sigur și legal.

 

Synapsa in contextul GDPR

În acest context, companiile Mnemos și Synapsa Soft (numite în contiuare Furnizor), care administrează aplicațiile Synapsa ERP, sunt în principal procesatori de date, intrucat "procesează" datele colectate de firmele care utilizează aceste aplicații - care au rolul de controlori de date (numite in continuare Client).

Furnizorul Synapsa - ca și controlor de date

Există un set de date personale colectate direct de noi, față de care avem rolul de Controlor de date. Acestea sunt:

Datele persoanelor de contact

Date colectate: nume, adresa de email, telefon, conturi de Facebook sau WhatsApp.

Scopul procesării: Aceste date sunt necesare pentru comunicările despre aplicație, actualizări, modificări ale legislației, precum și alte comunicări necesare bunei colaborări. Canalele de comunicare sunt alese în functie de tipul, importanță și urgență comunicării, precum și de preferințele persoanelor de contact.

Datele administratorului de cont. Administratorul de cont are rolul de a acorda drepturi de acces salariaților din firma din care face parte. Cel mai adesea, el face parte din lista persoanelor de contact.

Date colectate: nume, adresa de email

Scopul procesarii: Comunicări de natură tehnică, in privința operării.

Furnizorul nu prelucrează aceste date în alte scopuri în afara celor enumerate mai sus.

Procedura de comunicare intre Furnizor si Client este descrisă în contractele de licență la capitolul Comunicări. In afara acesteia, clientii vor primi un set suplimentar de proceduri detaliate pentru situațiile de schimbări ale persoanelor de contact sau administrtorului de cont, sau schimbări ale datelor lor, precum și in cazurile de plecări sau contacte noi - proceduri elaborate în conformitate cu GDPR.

 

Furnizorul Synapsa - ca și procesator de date

Prin natura activității sale, Clientul colectează date personale de feluri diverse și le înregistrează în aplicațiile Synapsa.

Date personale colectate de Client ce pot fi introduse în bazele de date Synapsa:

- Nume de utilizatori si adrese de email - ale salariaților companiei sau colaboratorilor imputerniciți să opereze in aplicație

- Datele salariaților companiei - date detaliate de personal, în conformitate cu legislația muncii

- Datele partenerilor companiei, persoane fizice - aceștia pot fi furnizori, clienți sau cu alte roluri. Datele colectate pot fi nume, adrese, numere de telefon, email, cod numeric personal.

Responsabilitatea colectării datelor de orice fel și introducerea lor în Synapsa este responsabilitatea Clientului, asa cum este stipulat și în contractele de licență, la articolele privind securitatea datelor și răspunderea contractuală.

Clientul are responsabilitatea de a-și asigura conformitatea cu regulile GDPR în privința felului în care colectează și procesează date cu caracter personal.

Pentru a facilita conformitatea cu GDPR, am creat o serie de modificări in aplicație.

 

Modificari introduse în aplicațiile Synapsa, pentru a ușura implementarea GDPR în firmele Clienților

In bazele de date existente ale Clienților există date colectate de la persoane fizice în scopurile enumerate mai sus: utilizatori, salariați, parteneri diverși.

Clientul poate opta oricând să steargă orice set de date conform cu politicile proprii de confidențialitate. Totuși, chiar dacă anumite date sunt colectate în bazele de date, ele pot sa nu fie utilizate în documente printate sau transmise pe cale electronică în interiorul sau în afara firmei.

Pentru aceasta s-au creat în Synapsa diverse opțiuni de lucru prin care Clientul poate opta ca anumite date personale să apara sau nu în anumite documente.

Exemple:

- Formulare de facturi, proforme sau invoice-uri, pe care apăreau datele personale ale persoanei care întocmea factura. Acest lucru a fost obligatoriu in anii trecuti, apoi a devenit opțional. Formularele de facturi au fost modificate pentru a nu mai conține datele persoanei care întocmeste, decat în masura în care Clientul dorește.

- Formulare de dispoziții de plată/încasare, cu opțiunea de a conține sau nu date personale, în afara numelui.

- În declarația fiscală 394 - ce conține căsuțe pentru datele personale ale furnizorilor si clientilor persoane fizice - clientul poate opta să transmită CNP-ul sau adresa. În această declaratie nu este permisă (de către ANAF) lipsa ambelor date: e necesar să apară ori CNP-ul ori adresa partenerului respectiv, persoană fizică.

DPO (Data Protection Officer) - Responsabilul cu protecția datelor

Conform art. 37 (1) b) din GDPR, obligația de a avea un responsabil revine firmelor care fac prelucrări ce necesită o “monitorizare periodică și sistematică”.

Clientul trebuie să ia decizia proprie cu privire la desemnarea unui DPO în firma sa.

Furnizorul nu face nicio monitorizare a Clienților sau ale datelor persoanelor fizice colectate de către Clienți. Totuși, în acest sens a fost desemnat un responsabil, specializat d.p.d.v. tehnic și instruit în privința GDPR.

Confidențialitatea

În conformitate cu articolele prevăzute în contractele de licență, Furnizorul va păstra confidentialitatea datelor introduse/generate/prelucrate de Client prin intermediul aplicației Synapsa, neavând dreptul de a le utiliza sau de a le face publice.

Salariatii Furnizorului pot intra în contact cu datele Clienților, in următoarele scopuri:

- pentru a-i ajuta să utilizeze aplicația în perioada de implementare

- pentru a-i ajuta în situația apariției de noi situații/spețe

- pentru a rezolva eventuale disfuncții de natură informatică/algoritmică sau de calcul.

Salariații furnizorului sunt instruiți în privința regulilor GDPR și își desfașoară activitatea în conformitate cu acestea.

După încetarea unui contract SaaS, datele Clientului sunt păstrate în serverele active încă 6 luni, apoi sunt șterse, astfel încât să nu mai poată fi accesate.

După încetarea unui contract On Premise, baza de date rămâne pe serverul Clientului, care este în continuare răspunzător de protecția ei.

Securitatea datelor

In conformitate cu contractele de licență, Clientul are posibilitatea sa opteze pentru mai multe categorii de restricții de accesare a aplicației Synapsa:

- la accesarea aplicației, prin autentificare in 1 sau 2 pași sau prin restricții de altă natură, descrise în contractele de licenta,

- la nivel de opțiuni de meniu și facilități în interiorul aplicației, pe care le poate reglementa administratorul de cont.

Clienții care utilizează aplicația în regim On Premise (au aplicația și bazele de date instalate pe serverele proprii), isi pot asigura in plus sisteme proprii de securitatea accesului. Aceștia au și responsabilitatea asigurării securitătii fizice a serverelor, d.p.d.v. al condițiilor fizice de exploatare, precum și securitatea accesului direct.

Pentru clienții în regim SaaS, Furnizorul garantează pentru securitatea serverelor, în conditiile prevăzute in contractele de licență individuale.

Resurse:

 

Citiți actele normative GDPR, precum și alte informații:

http://www.privacy-regulation.eu/ro/index.htm


https://ec.europa.eu/info/law/law-topic/data-protection_ro

https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN