Exportarea datelor: dreptul de acces GDPR Art. 15 (DSAR) pas-cu-pas
Cum răspunzi corect la o cerere de acces la date (Data Subject Access Request) conform GDPR/GDPR Art. 15. Ce trebuie să incluzi în export, ce poți exclude, timeline legal.
Ce este DSAR și de ce contează
DSAR (Data Subject Access Request) e cererea pe care o face o persoană (respondent al unui formular, client, vizitator) ca să primească o copie a tuturor datelor pe care le ai despre ea. E un drept absolut acordat de GDPR/GDPR Art. 15 — nu poți refuza, nu poți cere taxă (cu excepția cererilor manifest abuzive — repetate de 10 ori în lună). Termen legal de răspuns: 30 zile de la primirea cererii, extensibil cu 60 zile suplimentare doar dacă justifici complexitatea în scris către persoană. Amenzile pentru nerespectare: până la 4% cifră afaceri anuală sau 20 milioane EUR (max dintre cele două).
Cine poate face DSAR și cum verifici identitatea
Orice persoană fizică ale cărei date le procesezi. NU companiile (B2B fără PII personal e exclus). NU minorii sub 16 ani fără părintele/tutorele (în MD limita e 16, în RO 16, în alte UE între 13-16). Verificare identitate: cere dovadă rezonabilă (de obicei copie CI/pașaport cu numele și fotografia, restul informațiilor pot fi mascate). NU cere date excesive (ex să-i cei iban-ul pentru verificare e ilegal — el ți-a cerut datele tale, nu invers). Dacă persoana e clar identificabilă din date (email, telefon unic în baza ta), verificarea poate fi simplificată — răspunzi pe email-ul din baza ta.
Ce trebuie să incluzi în export
Toate datele personale identificabile: nume, telefon, email, adresă, IP, date geo, răspunsuri formulare, timestamp-uri, sursa traficului (UTM), device info colectat. Plus metadata cum tratezi datele: scop procesare, baza legală (consimțământ / contract / interes legitim), durata stocării, terți cu care partajezi (procesori — Stripe, Telegram, Whisper, etc), drepturile pe care le are (acces, ștergere, rectificare, portare, obiecție, restricție).
Cum exportezi din Megaforms
Dashboard → Settings → GDPR → secțiunea „Cereri persoană fizică (DSAR)” → buton „Export date persoană”. Introdu emailul sau telefonul respondentului → click „Caută”. Sistemul caută în toate formularele tale, toate sesiunile, toate evenimentele și returnează un sumar (de exemplu „găsit 7 sesiuni, 23 răspunsuri, 5 evenimente”). Click „Generează export ZIP”. În <60 secunde primești un ZIP cu: data.json (toate datele în format machine-readable), data.csv (același content tabulat), data.html (versiune umana lizibilă cu titluri și formatare), legal-notice.pdf (pre-completat cu textul legal obligatoriu în RO sau în limba aleasă).
Conținutul ZIP-ului în detaliu
1. data.json: identity (name, email, phone, ip_history), forms_submitted (array de obiecte cu form_name, submitted_at, all_answers, attachments_links), events (array de telemetry events, audit log accesări), consents (toate consimțămintele date și retrase cu timestamp). 2. data.csv: același content tabulat pentru import Excel/Google Sheets. 3. data.html: formatat frumos pentru tipărire. 4. legal-notice.pdf: text pre-scris cu drepturile persoanei (poate cere ștergere, rectificare etc), coordonatele DPO-ului, dreptul de plângere la ANSPDCP (MD) sau ANSPDCP (RO).
Ce poți exclude din export
Datele altor persoane (dacă în răspunsul lui apare numele unui prieten, mascat). Documente sub privilegiu legal (ex notă confidențială scrisă de avocat). Comentarii interne ale echipei tale despre persoană (poți considera „secret comercial” doar dacă nu sunt evaluări impertinente). Recomandare conservatoare: când ai dubii, include — un Tribunal preferă inclus inutil decât exclus pe nedrept.
Timeline operațional recomandat
Ziua 0 (cererea sosește): confirmi recepția în 48h prin email automat („Am primit cererea, răspundem în max 30 zile”). Ziua 1-3: verificare identitate. Ziua 3-15: generare export + review intern (verifici că nu include date altora din greșeală). Ziua 15-25: trimitere către persoană pe canal securizat (email cu link expiry 7 zile, sau cont temporar de descărcare protejat cu parolă comunicată separat prin SMS). Ziua 25-30: confirmare primire + arhivare audit log al cererii (cu timestamp, ce ai trimis, când). Audit log-ul îl ții 6 ani pentru proof de conformitate.
Format securizat de trimitere
NU trimite ZIP-ul ca attachment direct pe email — emailul nu e criptat end-to-end și ZIP-ul are date personale sensibile. Variante OK: (1) Link unic Megaforms cu expirare 7 zile + parolă comunicată separat pe SMS (acceptabil legal); (2) Encrypted email cu PGP dacă persoana are cheie publică; (3) Tipărit pe hârtie și expediat prin Poșta MD/RO cu confirmare de primire. Recomandare: variantă 1 e standard industria. Telefon dedicat support DSAR + email dpo@firma-ta.md.
Refuz justificat al cererii
Poți refuza DOAR în cazuri foarte specifice: (a) cererea e manifest nefondată sau excesivă (a 15-a cerere în 30 zile fără motiv); (b) nu poți identifica persoana cu certitudine după efort rezonabil de verificare; (c) ar leza drepturile altor persoane în mod disproporționat. Refuzul trebuie justificat în scris pe email cu motivul exact și informația că persoana poate face plângere la autoritatea de protecția datelor (ANSPDCP MD sau ANSPDCP RO).