Synapsa
ERP in contextul GDPR
Protecția
și confidențialitatea datelor sunt esențiale pentru noi și
de aceea am tratat întotdeauna cu atenție și respect orice chestiune în
legătură cu acestea. Acest document are rolul de a aduce o serie de
precizări cu privire la respectarea prevederilor referitoare la prelucrarea
datelor cu caracter personal.
Ce este GDPR?
"GDPR"
(General Data Protection Regulation) este REGULAMENTUL (UE) 2016/679 AL
PARLAMENTULUI EUROPEAN din 27 aprilie 2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea și circulația datelor cu
caracter personal. Regulamentele Europene nu au nevoie de legi naționale
care să transpună prevederile în legislația fiecărui stat
UE și intră în vigoare direct, fără nicio formalitate, în
toate statele Uniunii Europene. Intrarea în vigoare a fost
stabilită pentru 25 mai 2018.
vedeti
resurse aici
Cui se aplica GDPR?
În
majoritatea cazurilor, companiile procesează, într-o formă sau alta,
date cu caracter personal, fie că realizează această procesare
în interes propriu, fie că o realizează în interesul altor companii.
Conceptul de date personale este atât de larg, încât este aproape imposibil ca
o entitate să nu prelucreze astfel de date. Fie că vorbim despre
prelucrarea datelor angajaților, a datelor clienților în scopuri de
marketing, sau a datelor sensibile ale unor clienți (date de
sănătate, cazier fiscal sau judiciar etc.), toate aceste
situații transformă compania într-un subiect al GDPR.
"Controlor de date" vs. "Procesator de date"
"Controlor
de date" și "procesator de date" sunt două concepte
importante pentru înțelegerea responsabilităților unei companii
definite de GPDR. În funcție de situație, o companie poate să
fie controlor de date, procesator de date sau ambii și să aibă,
în consecință, anumite responsabilități:
Controlor de date
O
companie este controlor de date dacă are responsabilitatea să
decidă motivul și modul („scopul” și „mijloacele”)
procesării datelor personale.
Conform
regulamentului RGPD, controlorii de date trebuie să adopte măsuri de
conformitate pentru modul de colectare a datelor, pentru scopul folosirii lor
și pentru durata păstrării acestora. În plus, aceștia
trebuie să se asigure că utilizatorii pot să-și acceseze
propriile date.
Controlorii
de date trebuie să se asigure că procesatorii de date își
îndeplinesc angajamentele contractuale pentru procesarea datelor în mod sigur
și legal.
Procesator de date
O
companie este procesatorul de date dacă procesează date personale în
numele unui controlor de date. Conform regulamentului RGPD, procesatorii de
date au obligația de a procesa datele în mod sigur și legal.
Synapsa in contextul GDPR
În acest context, companiile Mnemos și Synapsa Soft
(numite în contiuare Furnizor), care administrează aplicațiile
Synapsa ERP, sunt în principal procesatori
de date, intrucat "procesează" datele colectate de firmele
care utilizează aceste aplicații - care au rolul de controlori de date (numite in continuare
Client).
Furnizorul Synapsa -
ca și controlor de date
Există
un set de date personale colectate direct de noi, față de care avem rolul
de Controlor de date. Acestea sunt:
Datele persoanelor de contact
Date colectate: nume, adresa de email, telefon,
conturi de Facebook sau WhatsApp.
Scopul procesării: Aceste date sunt necesare pentru
comunicările despre aplicație, actualizări, modificări ale
legislației, precum și alte comunicări necesare bunei colaborări.
Canalele de comunicare sunt alese în functie de tipul, importanță și
urgență comunicării, precum și de preferințele
persoanelor de contact.
Datele administratorului de cont. Administratorul de cont are rolul
de a acorda drepturi de acces salariaților din firma din care face parte.
Cel mai adesea, el face parte din lista persoanelor de contact.
Date colectate: nume, adresa de email
Scopul procesarii: Comunicări de natură
tehnică, in privința operării.
Furnizorul
nu prelucrează aceste date în alte scopuri în afara celor enumerate mai
sus.
Procedura de
comunicare intre
Furnizor si Client este descrisă în contractele de licență la
capitolul Comunicări. In afara
acesteia, clientii vor primi un set suplimentar de proceduri detaliate pentru
situațiile de schimbări ale persoanelor de contact sau
administrtorului de cont, sau schimbări ale datelor lor, precum și in
cazurile de plecări sau contacte noi - proceduri elaborate în conformitate
cu GDPR.
Furnizorul Synapsa -
ca și procesator de date
Prin
natura activității sale, Clientul colectează date personale de
feluri diverse și le înregistrează în aplicațiile Synapsa.
Date
personale colectate de Client ce pot fi introduse în bazele de date Synapsa:
-
Nume de utilizatori si adrese de email - ale salariaților companiei sau
colaboratorilor imputerniciți să opereze in aplicație
-
Datele salariaților companiei - date detaliate de personal, în
conformitate cu legislația muncii
-
Datele partenerilor companiei, persoane fizice - aceștia pot fi furnizori,
clienți sau cu alte roluri. Datele colectate pot fi nume, adrese, numere
de telefon, email, cod numeric personal.
Responsabilitatea
colectării datelor de orice fel și introducerea lor în Synapsa este
responsabilitatea Clientului, asa cum este stipulat și în contractele de
licență, la articolele privind securitatea datelor și răspunderea
contractuală.
Clientul
are responsabilitatea de a-și asigura conformitatea cu regulile GDPR în
privința felului în care colectează și procesează date cu
caracter personal.
Pentru
a facilita conformitatea cu GDPR, am creat o serie de modificări in aplicație.
Modificari introduse în aplicațiile Synapsa, pentru a ușura
implementarea GDPR în firmele Clienților
In
bazele de date existente ale Clienților există date colectate de la
persoane fizice în scopurile enumerate mai sus: utilizatori, salariați,
parteneri diverși.
Clientul
poate opta oricând să steargă orice set de date conform cu politicile
proprii de confidențialitate. Totuși, chiar dacă anumite date
sunt colectate în bazele de date, ele pot sa nu fie utilizate în documente
printate sau transmise pe cale electronică în interiorul sau în afara
firmei.
Pentru
aceasta s-au creat în Synapsa diverse opțiuni de lucru prin care Clientul
poate opta ca anumite date personale să apara sau nu în anumite documente.
Exemple:
-
Formulare de facturi, proforme sau invoice-uri, pe care apăreau datele
personale ale persoanei care întocmea factura. Acest lucru a fost obligatoriu
in anii trecuti, apoi a devenit opțional. Formularele de facturi au fost
modificate pentru a nu mai conține datele persoanei care întocmeste, decat
în masura în care Clientul dorește.
-
Formulare de dispoziții de plată/încasare, cu opțiunea de a
conține sau nu date personale, în afara numelui.
-
În declarația fiscală 394 - ce conține căsuțe pentru
datele personale ale furnizorilor si clientilor persoane fizice - clientul
poate opta să transmită CNP-ul sau adresa. În această declaratie
nu este permisă (de către ANAF) lipsa ambelor date: e necesar să
apară ori CNP-ul ori adresa partenerului respectiv, persoană fizică.
DPO (Data Protection Officer) - Responsabilul cu protecția datelor
Conform
art. 37 (1) b) din GDPR, obligația de a avea un responsabil revine
firmelor care fac prelucrări ce necesită o “monitorizare periodică și sistematică”.
Clientul
trebuie să ia decizia proprie cu privire la desemnarea unui DPO în firma
sa.
Furnizorul
nu face nicio monitorizare a Clienților sau ale datelor persoanelor fizice
colectate de către Clienți. Totuși, în acest sens a fost
desemnat un responsabil, specializat d.p.d.v. tehnic și instruit în
privința GDPR.
Confidențialitatea
În conformitate cu articolele prevăzute în
contractele de licență, Furnizorul va păstra confidentialitatea datelor
introduse/generate/prelucrate de Client prin intermediul aplicației
Synapsa, neavând dreptul de a le utiliza sau de a le face publice.
Salariatii
Furnizorului pot intra în contact cu datele Clienților, in următoarele
scopuri:
-
pentru a-i ajuta să utilizeze aplicația în perioada de implementare
-
pentru a-i ajuta în situația apariției de noi situații/spețe
-
pentru a rezolva eventuale disfuncții de natură informatică/algoritmică
sau de calcul.
Salariații
furnizorului sunt instruiți în privința regulilor GDPR și își
desfașoară activitatea în conformitate cu acestea.
După
încetarea unui contract SaaS, datele Clientului sunt păstrate în serverele
active încă 6 luni, apoi sunt șterse, astfel încât să nu mai poată
fi accesate.
După
încetarea unui contract On Premise, baza de date rămâne pe serverul
Clientului, care este în continuare răspunzător de protecția ei.
Securitatea datelor
In
conformitate cu contractele de licență, Clientul are posibilitatea sa
opteze pentru mai multe categorii de restricții de accesare a
aplicației Synapsa:
-
la accesarea aplicației, prin autentificare in 1 sau 2 pași sau prin
restricții de altă natură, descrise în contractele de licenta,
-
la nivel de opțiuni de meniu și facilități în interiorul
aplicației, pe care le poate reglementa administratorul de cont.
Clienții
care utilizează aplicația în regim On Premise (au aplicația și
bazele de date instalate pe serverele proprii), isi pot asigura in plus sisteme
proprii de securitatea accesului. Aceștia au și responsabilitatea
asigurării securitătii fizice a serverelor, d.p.d.v. al condițiilor
fizice de exploatare, precum și securitatea accesului direct.
Pentru
clienții în regim SaaS, Furnizorul garantează pentru securitatea
serverelor, în conditiile prevăzute in contractele de licență
individuale.
Resurse:
Citiți
actele normative GDPR, precum și alte informații:
http://www.privacy-regulation.eu/ro/index.htm
https://ec.europa.eu/info/law/law-topic/data-protection_ro
https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN