fbpx
Loading creative thinking....
en ro

GDPR – Implementare pe website / magazin online


Daniel Serbu - mai 20, 2019 - 0 comments

GDPR este una dintre cele mai dure normative europene în ceea ce privește folosirea, analizarea, stocarea sau comercializarea datelor personale la nivelul Uniunii Europene. 

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, GDPR (General Data Protection Regulation), care înlocuiește Directiva 95/46/EC, va intra în vigoare în data de 25 mai 2018. Regulamentul se aplică în cazul în care entitățile juridice au sediul în UE, sau colectează și procesează date cu caracter personal ale rezidenților din UE. 

Scopul noilor reglementări este acela de a proteja drepturile și libertățile persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Se va reglementa și metoda de obținere a acestora, precum și circulația acestor date dorindu-se un format cât mai unitar.

 

gdpr

 

Ce înseamnă prelucrarea datelor cu caracter personal? 

Potrivit normelor europene GDPR, prelucrarea datelor constă în  orice operațiune sau set de operațiuni, cum ar fi: 

  • colectarea,
  • înregistrarea,
  • organizarea,
  • structurarea,
  • stocarea,
  • adaptarea sau modificarea,
  • extragerea, consultarea,
  • utilizarea,
  • divulgarea prin transmitere,
  • diseminarea sau punerea la dispoziție în orice alt mod,
  • alinierea sau combinarea,
  • restricționarea,
  • ștergerea sau distrugerea datelor. 

Directivele GDPR se aplică atât pentru companiile ce folosesc mijloace automatizate de prelucrare a datelor cum ar fi opțiunea de newsletter a unui magazin online cât și în afara spațiului digital pentru spre exemplu:

  • firme ce organizează evenimente, petreceri, sondaje stradale ce necesită divulgarea informațiilor personale sau tombole stradale. 

 

Care sunt principiile reglementarilor GDPR? 

Regulamentul formulează 8 principii de bază și drepturi individuale, acestea sunt: 

  • Dreptul de a fi informat despre cum vor fi folosite datele personale; 
  • Dreptul de acces la datele personale; 
  • Dreptul de rectificare a datelor dacă acestea sunt eronate sau incomplete; 
  • Dreptul de a fi șters sau Dreptul de a fi uitat (Right To Be Forgotten) pentru a nu mai fi inclus în comunicări sau procesări ulterioare; 
  • Dreptul de a restricționa procesarea datelor dincolo de simpla lor păstrare; 
  • Dreptul de transfer al datelor pentru a fi la dispoziția persoanelor așa cum doresc ele să le folosească pe alte platforme sau în alte servicii; 
  • Dreptul de obiecție împotriva utilizării datelor în campanii de marketing; 
  • Dreptul de decizie în cazul profilarii și procesării automate a datelor. 

 

Care sunt datele cu caracter personal potrivit GDPR? 

Noile reglementari extind practic sfera informațiilor considerate a fi date cu caracter personal, astfel, sunt considerate a fi „date cu caracter personal” orice informații privind o persoană fizică identificată sau identificabilă. Mai exact, o persoană poate fi identificată direct sau indirect, prin referire la: 

  • un nume; 
  • un număr de identificare; 
  • date de localizare; 
  • un identificator online (adrese IP, identificatori cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio); 
  • unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. 

 

gdpr date cu caracter personal

 

Ce este consimțământul potrivit GDPR?

Consimțământul constă în orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Regulile pentru validitatea consimțământului sunt: 

  • acesta trebuie să fie o manifestare liber exprimată, respectiv să fie alegerea reală a persoanelor vizate; 
  • trebuie să fie specific, ceea ce presupune ca persoana vizată să fie informată asupra scopului prelucrării datelor iar consimțământul acesteia să fie dat pentru fiecare scop al prelucrării în parte; 
  • trebuie să fie informat, astfel încat cel puțin urmatoarele informații trebuie aduse la cunoștință persoanei vizate: identitatea operatorului, scopul prelucrării, datele cu caracter personal colectate, existența dreptului de retragere a consimțământului, informații privind utilizarea datelor pentru decizii bazate exclusiv pe prelucrarea automată (inclusiv crearea de profiluri) precum și informații despre posibilele riscuri de transfer de date către țări terțe; 
  • trebuie să fie lipsit de ambiguitate, trebuie să reprezinte o declarație sau o acțiune afirmativă din partea persoanei vizate, cum ar fi de exemplu bifarea unei casuțe atunci când persoana vizitează un site sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării datelor sale cu caracter personal. 

 

Ce modificări cu privire la consimțământ sunt în domeniul online?

Noile reglementări privind consimțământul stabilesc că acesta va fi obligatoriu explicit și specific pentru operațiunea de procesare. Consumatorul trebuie să acționeze pentru consimțământ, iar acordul va fi limitat sau proporțional cu scopul procesării astfel încât nu pot fi colectate și procesate mai multe date decât cele necesare în scopul declarat și legal al procesării.  

GDPR obligă operatorii să se asigure că acordul poate fi retras în orice moment, la fel de ușor cum poate fi dat, dar nu neapărat prin aceeași acțiune.

Cu toate acestea, în mediul electronic, dacă consimțământul pentru prelucrarea datelor este obținut printr-o singură acțiune (click, glisare, apăsare de taste etc.), retragerea ar trebui să fie posibilă prin aceleași mijloace. Consimțământul trebuie să fie explicit iar absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Astfel, anunțurile de tipul “Navigarea pe acest site presupune acordul dumneavoastră de a…” devin ilegale. 

 

 

Ce trebuie făcut până în intrarea în vigoare a regulilor GDPR? 

Orice business online va avea de respectat 2 părți ale implementării GDPR în România, prima parte este reprezentată de masurile tehnice ce trebuie implementate la nivel de website, magazin online, platformă online, portal de știri, iar a doua parte o reprezintă măsurile interne ce trebuie luate în fiecare companie, pentru a respecta angajamentul de protecția a datelor personale. 

La nivel intern, companiile trebuie să pună la punct un registru de date, în care vor stoca un inventar al datelor personale stocate de-a lungul activității firmei respective. Articolul 171 al GDPR prevede ca în cazul în care date personale colectate anterior normativelor GDPR au fost obținute în baza unui consimțământ, atunci solicitarea unui nou acord nu mai este necesară.  

Daca acest consimțământ nu a fost acordat, atunci entitățile ce stochează aceste date personale trebuie să ceară acordul utilizatorilor de a păstra și/sau prelucra aceste date. În acest caz, companiile pot trimite un email de notificare către acești utilizatori, prin care să li se ceară permisiunea de a folosi datele lor personale în scopuri de marketing, cercetare, statistică, s.a.m.d. O astfel de notificare trebuie să conțină și informatii despre ce parteneri sau terțe entități au acces la datele utilziatorilor și dacă da, cum vor folosi aceste informații. 

 

Ce este un Data Protection Officer ( DPO ) și cum îmi poate ajuta business-ul? 

Un Data Protection Office (DPO) este o persoană desemnată în companie ca responsabilă cu protecția datelorfiind ori un angajat al firmei respective sau o persoană contractată în baza unui contract de prestări de servicii. Persoana responsabilă trebuie să fie desemnată pe baza calităților profesionale și a cunoștințelor în practicile protecției datelor. 

Atribuțiile postului de DPO vor include monitorizarea aplicării regulamentului GDPR și implementarea altor normative europene sau guvernamentale în privința protecției datelor personalefurnizarea de suport de specialitate în ceea ce privește evaluarea impactului asupra protecției datelor și să asigure buna cooperare cu autoritatea de supraveghere. 

 

Ce acțiuni concrete sunt necesare pentru a intra în conformitate cu noile reglementări? 

În online, este necesară implementarea unor serii de măsuri atât tehnice cât și organizatorice, dintre acestea amintim: 

  • să înlocuiască consimțământul de tip „acord implicit” cu o „acțiune afirmativă”, ceea ce presupune modificarea paginii de Termeni și Condiții, a Politicii de Confidențialitate, a formulărilor de abonare; 
  • pentru acordarea consimțământului, va fi necesară bifarea unei căsuțe sau orice altă declarație sau acțiune care indică în mod clar acceptarea de către persoana vizată ce vizitează un site, a prelucrării datelor sale cu caracter personal; 
  • să informeze și să asigure utilizatorilor posibilitatea ca acordul să poată fi retras în orice moment, la fel de ușor cum poate fi dat; 
  • să informeze vizitatorii într-un mod mai clar cu privire la identitatea lor, ce date colectează, de ce le colectează și pentru cât timp le păstrează; 
  • să informeze vizitatorii cu privire la părțile terțe care mai primesc respectivele date și în același timp să verifice dacă părțile terțe către care ar putea fi trimise datele transmit informațiile în afara UE; 
  • să resctricționeze accesul la datele clienților doar angajaților care au nevoie de acele date pentru a-șîndeplini sarcinile de serviciu; 
  • să dețină un registru în care să țină cont de activitățile de prelucrare a datelor atunci când activitatea acestora nu este ocazională; 
  • să informeze clienții cu privire la folosirea datelor pe care aceștia le oferă cum sunt datele de facturare și livrare, întrucât informarea clienților cu privire la datele colectate este obligatorie din momentul colectării datelor; 
  • să șteargă la cererea clientului, datele acestuia dacă cererea are un temei legal, indiferent dacă acest lucru se face prin suprascriere sau ștergere definitivă, atât timp cât procesul este ireversibil; 

 

 

Implementarea GDPR și prelucrarea datelor personale pentru un magazin online 

Prin această nouă definire a sintagmei „date cu caracter personal”, GDPR-ul mărește, de fapt, lista acestor tipuri de informații pe care site-urile le solicită utilizatorilor în momentul abonării la newsletter/ creării unui cont/ derulării unei sesiuni de cumpărături ș.a.m.d. 

Spre exemplu, potrivit reglementarilor aflate încă în vigoare, identificatorii online și informațiile privind locația nu sunt considerate a fi astfel de date personale. Începând din 25 mai 2018, însă, vor intra sub incidența noului regulament. 

Așadar, site-urile vor fi nevoite să țină cont de acest lucru în pregătirea pentru GDPR și, pe mai departe, în respectarea normelor acestuia. 

În cazul site-urilor și magazinelor online care aplică deja o bună practică a folosirii și stocării datelor cu caracter personal, nu este necesar să repete procedurile după data de 25 mai 2018. De exemplu, în cazul abonaților la newsletter, nu este necesar să li se ceară din nou consimțământul dacă acesta a fost obținut corect în prealabil. În caz contrar, orice entitate deține o bază de date cu adrese de e-mail, nume, adrese fizice, CNP-uri, CUI-uri sau orice alte date personale va avea obligația de a solicita persoanelor în cauza acordul explicit pentru a păstra, respectiv prelucra, aceste informații. 

 

Încălcarea securității 

Operatorii au obligația să îi informeze pe utilizatori în momentul în care a avut loc o încălcare a securității în privința datelor colectate de la ei. Încălcarea securității este o acțiune care duce în mod accidental sau ilegal, la: 

  • distrugerea datelor;  
  • pierderea datelor;  
  • modificarea datelor;  
  • divulgarea neautorizată a datelor;  
  • accesul neautorizat la datele colectate.  

 

 

Ce sancțiuni riscă cei care nu se conformează noilor regulilor GDPR? 

Sancțiunile sunt acordate în funcție de fiecare caz în parte iar la stabilirea acestora se vor avea în vedere: 

  • natura, gravitatea și durata încălcării, avand în vedere și natura sau domeniul de aplicare și scopul prelucrării, precum și numărul de persoane afectate și prejudiciile suferite de către acestea; 
  • dacă încălcarea a fost comisă intenționat sau din neglijență; 
  • eventualele încălcări anterioare și gradul de responsabilitate; 
  • nivelul de cooperare cu autoritatea de supraveghere în vederea remedierii situației și atenuarea eventualelor prejudicii; 
  • modalitatea prin care încălcarea a fost adusă la cunoștință autorității de supraveghere; 
  • ce categorii de date cu caracter personal au fost afectate; 
  • orice alte circumstanțe agravante sau atenuante aplicabile cazului cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urmă încălcării. 

Amenzile pot ajunge până la 20 milioane de euro sau la 4% din cifra de afaceri mondială totală anuală, luându-se în calcul cea mai mare valoare. 

Post a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *