Ai un magazin online? GDPR bate la uşă!

Dacă ai un magazin online şi te stresează îngrozitor gândul că AZI e 25 mai 2018 şi începând de ASTĂZI îşi va produce efectele regulamentul Uniunii Europene cu privire la protecţia datelor cu caracter personal (GDPR), iar site-ul şi business-ul tău încă nu sunt pregătite pentru această schimbare, iată câteva direcții care te pot ajuta să te aliniezi cerinţelor legislaţiei în vigoare.

# în cazul în care încă nu ai făcut-o, mai poţi încă să obţii consimţământul tuturor partenerilor cu care ai comunicat până acum şi cu care îţi doreşti să comunici şi după 25 mai; pentru că da, din 25 mai va trebui să faci dovada existenţei acestui acord de comunicare

# asigură-te că datele personale vor fi procesate legal, corect şi într-un mod transparent

# colectarea se va face pentru scopuri specifice, explicite şi legitime

# datele colectate sunt adecvate, relevante şi limitate la strictul necesar

# datele stocate sunt corecte şi actualizate când este nevoie

# datele sunt reţinute doar cât timp este necesar raportat la scop şi acord

# datele vor fi procesate în condiţii de maximă securitate.

Probabil te întrebi ce se va întâmpla dacă nu vei îndeplini cerinţele regulamentului şi ale legislaţiei în vigoare?

Este bine de ştiut că în cazul în care vei fi notificat sau se va depune o plângere împotriva ta pentru nerespectarea cerinţelor, vei fi vizitat de un grup de reprezentanţi ai autorităţii responsabilă de protecţia datelor cu caracter personal. E bine să fii pregătit şi pentru asta.

# asigură-te că ai la îndemână Registrul Unic de Control, legat, semnat şi ştampilat

# se analizează întreg fluxul de prelucrare, stocare şi utilizare a datelor cu caracter personal, atât în offline cât şi în online; ar fi bine să faci tu singur acest exerciţiu şi să te asiguri că îndeplineşti toate cerinţele

# se verifică existenţa consimţământului pentru toate datele pe care le prelucrezi şi le utilizezi, indiferent dacă sunt date externe sau date ale oamenilor din companie

# atenţie la utilizarea camerelor de supraveghere; trebuie să faci public acest aspect încât oricine intră în companie să ştie că există camere active; mai mult, îţi trebuie acordul angajaţilor pentru acest aspect şi dovada înştiinţării şi a acordului

# se verifică dacă prelucrarea şi utilizarea datelor cu caracter personal se face în raport cu regulamentul GDPR şi legislaţia naţională în vigoare: Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată, precum şi Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

# datele personale ale angajaţilor trebuie securizate, stocate, prelucrate şi utilizate cu aceeaşi grijă precum datele externe; aveţi nevoie şi de acordul acestora

# dacă utilizezi carduri de acces trebuie să îţi informezi angajaţii cu privire la securitatea datelor asociate cardului şi să primeşti acceptul lor pentru această utilizare

# dacă utilizaţi loggere pe computerele angajaţilor aceştia trebuie să fie informaţi şi să-şi dea acordul

# toate device-urile ce pot reprezenta căi de acces către date cu caracter personal trebuie parolate iar parola trebuie să se activeze instant, la cerere, şi nu după o perioadă de timp de la neutilizare.

Cum se va termina această vizită? Cu un proces verbal de constatare, observaţii şi recomandări de îmbunătăţire a proceselor într-un timp stabilit de către autoritate şi posibile sancţiuni în cazul în care se constată că nu s-a depus nici un efort în sensul alinierii la noile cerinţe.

Oricât de bine ţi-ai fi automatizat procesele, pregătirea oamenilor din companie este foarte importantă. Asigură-te că i-ai informat cu privire la toate cerinţele şi responsabilităţile în legătură cu utilizarea, prelucrarea şi stocarea datelor cu caracter personal, că au înţeles ce au de făcut dar mai ales care sunt implicaţiile nerespectării cerinţelor.

Semnează un NDA prin care să îşi asume faptul că responsabilitatea în cazul unei erori este în egală măsură a angajatului şi a angajatorului, chiar dacă în final compania este cea care răspunde pentru un evantual prejudiciu.

Evaluează şi situaţia partenerilor cu care lucrezi sau către care externalizezi anumite activităţi ( platforme de marketing online, platforme de afiliere, platforme de email marketing, firme de curierat, procesatori de plăţi etc ) şi care pot îndeplini la un moment dat oricare din cele 3 roluri în legătură cu datele tale sau ale clienţilor tăi: operator, procesator sau tertă parte. Asigură-te că aceştia îşi gestionează cu seriozitate procesele şi sunt aliniaţi la rândul lor cerinţelor. Cât timp laşi pe mâna lor date personale, responsabilitatea în legătură cu felul în care aceştia le gestionează este în egală măsură la ei cât şi la tine. Dar în primul rând la tine. Simpla lor declaraţie de aliniere nu este suficientă. Trebuie să verifici, să înţelegi, să te asiguri că se respectă fluxurile agreate.

Şi în acest caz semnarea unui NDA este este necesară şi chiar obligatorie.

Ce ar trebui să ai implementat în site încă din prima zi, indiferent dacă targetul tău este B2B sau B2C:

#1 notificarea de cookie-uri care nu mai are doar rol de informare asupra utilizării cookie-urilor pentru o mai bună experienţă cu site-ul, ci te obligă să soliciţi utilizatorului consimţământul activ în privinţa utilizării cookie-urilor cât şi să îi oferi opţiunea de a alege ce cookie-uri să lase să se activeze pe site-ul tău. Mai mult, consimţământul trebuie înregistrat, astfel încât în orice moment să poţi dovedi faptul că l-ai obţinut.

#2 politica de utilizare a cookie-urilor, prin care vei informa utilizatorul cu privire la plasarea, utilizarea și administrarea “cookie”-urilor utilizate. Va trebuie să defineşti clar ce tipuri de cookie-uri utilizezi şi în ce scop, durata de utilizare a acestora, terţe părţi/parteneri implicaţi în utilizarea cookie-urilor, contextul de securitate şi confidenţialitate în utilizarea lor, felul în care pot fi administrate setările pentru utilizarea cookieurilor şi cum se poate face ştergerea acestora.

#3 politica de confidenţialitate, prin care defineşti cadrul de colectare, prelucrare, stocare şi utilizare a datelor cu caracter personal. Va trebui să detaliezi cât mai clar: ce date cu caracter personal colectezi? ce alte tipuri de date colectezi? care este scopul pentru care colectezi aceste date? cum le vei utiliza? cum se face stocarea datelor? detalii relevante de securitate privind utilizarea datelor cu caracter personal; există perteneri implicaţi în utilizarea datelor? care sunt drepturile utilizatorilor? cum se vor face accesarea, actualizarea şi ştergerea datelor? cum se poate manifesta dreptul de opoziţie?

#4 termeni şi condiţii pune la dispoziţia utilizatorilor condiţiile generale de funcţionare a site-ului tău şi stabileşte normele generale privind modul de accesare a acestuia precum şi a informaţiilor oferite prin intermediul său.

#5 double Opt-in pentru confirmarea şi reconfirmarea datelor colectate şi a scopului în care acestea vor fi utilizate. Spre deosebire de opt-in, double opt-inul include încă un pas prin care utilizatorul confirmă opţiunea de înscriere.

E bine de știut că după data de 25 mai 2018:

#nu vei mai putea utiliza datele colectate pentru care nu poţi face dovada obţinerii acordului pentru nici un fel de comunicare

#nu vei mai putea activa nici un fel de cookie (cu excepţia celor prestabilite – fără de care s-ar pierde anumite funcţionalităţi ale site-ului) înainte de a obţine acordul utilizatorului prin sectarea tipurilor de cookies acceptate

#nu vei mai putea face retargeting dacă nu ai acceptul utilizatorului pentru utilizarea/activarea diferitor cookieuri de marketing

#nu vei mai putea utiliza listele vechi de remarketing dacă nu poţi face dovada acceptului utilizatorilor privind utilizarea cookieurilor necesare

#orice incident cauzat de o breşă de securitate ar trebui raportat în maxim 72 de ore; în această situaţie trebuie să şti ce ai de făcut, să fii pregătit să acţionezi rapid

#ar fi recomandat să ai o persoană care să preia rolul de DPO, care să urmărească şi să gestioneze toate procesele şi solicitările în legătură cu managementul datelor cu caracter personal

Elisabeta Groșanu
elisabeta.grosanu@results.ro

Since 2009 I explore the online world @Business Results - my favorite playground !

Nu a comentat nimeni la acest articol.

Spune-ți părerea:

RomaniaEnglish