Ne apropiem cu pasi repezi de 25 mai 2018, data la care va intra in vigoare GDPR, noul regulament general privind protectia datelor.

E un subiect intens dezbatut, inclusiv de catre noi la Gomag, in cadrul a doua webinarii: unul in 20 iulie 2017, impreuna cu Bogdan Manolea si altul in 22 martie, impreuna cu Adriana Ceausescu (DPO).

Problema e ca exista inca multa confuzie in jurul GDPR. Exista intrebari si situatii specifice pentru care pana si cei mai bine informati nu au un raspuns prea clar.

Cu toate acestea, astazi vreau sa raspund unor intrebari legate de platforma Gomag si modul in care ne pregatim pentru a ne asigura ca atat noi cat si clientii nostri respectam prevederile noului regulament.

Voi incerca sa vorbesc cat mai clar despre subiectul GDPR la nivel general, despre obligatiile noastre la Gomag si cateva dintre obligatiile tale ca operator de date.

Bun, hai sa le luam pe rand.

Ce este GDPR si ce se intampla?

GDPR (Regulamentul general privind protectia datelor) este un nou regulament al Uniunii Europene care sporeste nivelul de protectie a datelor cu caracter personal ale rezidentilor UE.

Mai clar, va impune o serie de obligatii pentru organizatiile care prelucreaza acest tip de date. Implicit, organizatiile din afara UE care interactioneaza sau primesc vizite din spatiul european vor fi obligate sa respecte noul regulament.

Atentie: prelucrarea datelor presupune un cumul de actiuni ce pot fi realizate in raport cu datele – colectarea lor, inregistrarea, organizarea, stocarea etc.

Bun. Ce date colectezi tu ca magazin online?

  • Datele obtinute in urma comenzilor
  • Datele vizitatorilor in paginile web
  • Datele la inscrierea la newsletter
  • Datele angajatilor tai
  • Datele candidatilor la un job in cadrul companiei tale

Practic, aceste date pot fi:

  • Nume, prenume, adresa, CNP, serie si nr.
  • Date de contact precum adresa de email sau numar de telefon
  • Date biometrice si imagini / poze
  • Adresa IP
  • Date privitoare la venit
  • Date medicale

Sau orice informatie legata de o persoana fizica identificata sau care pot ajuta la identificarea acesteia.

Conform GDPR, prelucrarea datelor trebuie sa se bazeze pe un temei clar si este legala doar daca se face pentru:

  • Incheierea sau executarea unui contract (ex. Preluarea comenzii si livrarea acesteia catre client)
  • Persoana fizica si-a dat consimtamantul (vei avea nevoie de consimtamantul clar al clientului pentru a-l targeta cu mesaje de marketing)
  • Indeplinirea unei obligatii legale ce revine operatorului
  • Atingerea intereselor legitime urmarite de operator sau de un tert
  • Indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul
  • Protejarea intereselor vitale ale persoanei vizate sau a unei alte persoane fizice.

Protejarea datelor cu caracter personal se face prin multiple obligatii pentru tine, ca si comerciant ce prelucrezi acest tip de date:

  • Din start vei informa utilizatorul clar si intr-un limbaj usor de inteles asupra datelor pe care le colectezi de la si despre el, cum le vei folosi, cat timp le pastrezi, ce terte parti au acces la aceste date. Obtinerea consimtamantului va fi realizata de fiecare data cand utilizatorul introduce date personale (formulare de abonare, checkout, recenzii, formulare de contact etc.)
  • Esti responsabil pentru integritatea datelor – odata ce le-ai colectat trebuie sa te asiguri ca sunt securizate si nu exista riscul sa le pierzi.
  • In cazul deteriorarii securitatii datelor va trebui sa notifici autoritatea in termen de 72 de ore de la momentul luarii la cunostinta si utilizatorul, in cazul in care este supus unui risc.

Cum ne pregatim la Gomag pentru GDPR?

Am inceput sa dedicam resurse interne in pregatirea pentru GDPR inca din 2017.

De ce? Chiar daca nu am fost extrem de activi pe grupuri, am ales sa ne concentram practic pentru clientii nostri si clientii lor. Voi sunteti prioritatea noastra si vrem sa respectam exemplar in continuare crezul nostru: acela de a va ajuta sa vindeti online cu succes, etic si in siguranta.

In contextul GDPR, avem mai multe tipuri de entitati ce lucreaza cu date personale. Vreau sa definim impreuna care este rolul nostru in raport cu tine, client Gomag / comerciant.

In primul rand avem operatorul de date, cel care stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal. In situatia colaborarii cu noi, platforma Gomag, tu – ca si comerciant ce foloseste platforma Gomag primesti titulatura de operator.

In al doilea rand avem persoana imputernicita de operator, cel care prelucreaza datele cu caracter personal in numele operatorului. In situatia colaborarii cu platforma Gomag, persoana imputernicita de operator suntem noi, Gomag.

Noul regulament vine cu obligatii atat pentru tine, comerciant, cat si pentru noi. Prin urmare, mai jos am notat cateva dintre aspectele pe care le-am rezolvat pana acum.

Lista nu include totul ci am hotarat sa anuntam functionalitatile ce se afla in lucru imediat ce sunt finalizate.

Bun, iata ce am realizat pana acum:

  • Am documentat impactul GDPR asupra produsului nostru – platforma eCommerce Gomag – dar si a asupra business-ului nostru.
  • Am desemnat un Responsabil cu protectia datelor (DPO)
  • Am pregatit o anexa la contractul incheiat intre noi si comercianti, un acord de prelucrare a datelor cu caracter personal care iti va fi afisat in curand in admin-ul magazinului tau. Il vei putea descarca, il poti consulta in detaliu si va necesita acceptul tau.
  • Obtinerea liberului consimtamant in mod explicit este un alt aspect problematic pentru piata. La Gomag am lucrat pentru crearea unui pop-up automat, afisat la prima vizita a utilizatorului incepand din 25 mai. Aici va stabili personal daca doreste sa iti ofere consimtamantul sau nu.
  • Iti punem la dispozitie instrumente specifice in platforma care simplifica procesul de gestionare a datelor, in contextul drepturilor utilizatorilor:

– Utilizatorii au dreptul de acces la datele personale

Orice rezident UE are dreptul de acces la datele sale personale stocate de catre tine, ca operator. Asadar, vei fi obligat sa-i oferi gratuit un extras al datelor sale personale, oricand ti-ar cere.

In aceeasi suita de drepturi, clientul are dreptul la portabilitatea datelor (i le dai intr-un format structurat, utilizat in mod curent si care poate fi citit in mod automat iar el le poate oferi altui operator – desi se aplica anumite conditii).

De asemenea, are dreptul la rectificare – corectarea anumitor date inexacte, actualizarea sau completarea lor.

In platforma Gomag, iti punem la dispozitie instrumente de automatizare a exportului de date intr-un format standardizat, posibilitatea de vizualizare a datelor stocate pentru clientul final, posibilitati de expediere a extraselor si alte procese de gestiune a datelor personale.

– Utilizatorii au dreptul de a fi uitati

Orice rezident UE are dreptul de a cere eliminarea datelor sale personale din evidentele tale, ale operatorului.

Acest proces presupune urmatorii pasi:

  • stabilirea unui cadru in care utilizatorii pot trimite solicitarea specifica de eliminare a datelor sale,
  • operatiunea de eliminare efectiva,
  • confirmarea actiunii de stergere catre solicitant,
  • comunicarea cu toti procesatorii acelui set de date a faptului ca utilizatorul si-a restras acordul asupra prelucrarii datelor sale,
  • pastrarea dovezii electronice de transmitere a retragerii acordului si a raspunsurilor tertelor parti.

Trebuie sa intelegi acest lucru. Pe langa faptul ca utilizatorul poate cere stergerea datelor sale oricand, isi poate retrage consimtamantul acordat IN ORICE MOMENT si gratuit.

Desigur, drepturile nu sunt absolute si exista exceptii pe care, cel mai sigur, le vom vedea in practica dupa aplicarea regulamentului.

In contextul acestor drepturi, in platforma Gomag vei avea la dispozitie instrumente usor de folosit prin care poti inregistra solicitarile de eliminare a datelor, poti prelucra aceste cereri, sa confirmi stergerea datelor catre solicitant si alte instrumente de optimizare a acestui proces.

Ce trebuie sa faci tu, client Gomag?

In relatia cu noi, va trebui sa parcurgi acordul de prelucrare a datelor cu caracter personal care iti va afisat in curand in admin-ul magazinului tau. Pentru detalii suplimentare, intrebari sau nelamuriri legate de anexa la contract, poti lua legatura cu noi oricand la [email protected].

In rest, ai de respectat regulile generale:

  • Aspecte organizationale: trebuie sa documentezi politicile interne ale firmei tale in ceea ce priveste operarea cu date personale si sa creezi o evidenta a datelor prelucrate.

Altfel spus, vei avea nevoie de diverse protocoale pentru definirea de reguli si proceduri pentru:

  • Securizarea accesului intern la date,
  • Desemnarea unui responsabil cu protectia datelor – poti fi chiar tu sau alt angajat din companie (DPO nu este obligatoriu oficial pentru toate firmele dar este recomandat)
  • Politica de protectie a datelor cu caracter personal
  • Politica de pastrare a datelor (unde, cine, cat timp etc.)
  • Procesul de interventie si notificare in caz de deterioare a securitatii datelor (esti obligat sa anunti bresele la Autoritate in maxim 72 de ore)
  • Procedura de transfer de date de la un operator la altul etc.

De asemenea, consulta evidenta datelor obtinute pana acum si asigura-te ca ai primit in trecut consimtamantul persoanelor fizice din spatele lor – si ai o dovada a consimtamantului lor.

Daca nu s-a intamplat asta, in conformitate cu GDPR va trebui sa le ceri acordul explicit pentru a prelucra in continuare aceste date.

  • Aspecte tehnice: privind securitatea datelor si accesul la acestea.

La Gomag beneficiezi de o securitate sporita a datelor, pe care le stocam pe servere securizate, monitorizate 24/7. Insa pe langa protectia asigurata de catre noi, va trebui sa sa iti iei si tu toate masurile posibile pentru securizarea datelor.

Incepe din interiorul firmei tale si antreneaza-ti angajatii privitor la folosirea datelor de acces, a datelor cu care opereaza magazinul tau si siguranta sistemelor utilizate.

Pentru mai multe sfaturi, iti recomand articolul nostru: Practici De Securitate Pentru Datele Tale Personale.

  • Aspecte informationale: revizuieste-ti pagina cu Politica de confidentialitate, Politica Cookie-urilor si Termeni & Conditii.

Sub umbrela GDPR, cuvinte precum “transparenta”, “explicit” si “exact” devin principii obligatorii de respectat.

Datoria ta este sa comunici deschis si clar modul in care colectezi si prelucrezi datele personale (si sa te asiguri ca se respecta procedura statuata), care sunt tipurile de date colectate, scopul pentru care sunt colectate, durata de pastrare a datelor precum si drepturile pe care le au utilizatorii incepand din 25 mai.

In functie de specificul business-ului tau si de datele pe care le colectezi, vei avea de respectat si alte obligatii.

Astfel, in Politica de confidentialitate mentionezi:

  • Cine esti
  • Ce date colectezi
  • De ce colectezi datele respective: pentru facturare, newsletter, comunicare promotii si noutati, crearea unei experiente mai bune la vizitarea magazinului etc.
  • Pentru cat timp pastrezi datele colectate
  • Cum isi pot accesa datele personale
  • Care este procedura pentru eliminarea datelor lor personale din evidenta (cum te contacteaza sa faca aceasta solicitare si cum primeste dovada actiunii de stergere)
  • Ce alte terte parti au acces la datele lor (furnizori servicii email marketing, Analytics, Facebook, aplicatii de marketing etc.)
  • Care sunt datele tale de contact pentru intrebari sau nelamuriri privind datele personale.

Pentru mai multe informatii despre GDPR pentru tine, iti recomand Ghidul orientativ de aplicare a Regulamentului General privind Protectia Datelor destinat operatorilor, realizat de ANSPDCP.

Legat de aspectele tehnice, daca ai un magazin online pe Gomag, ne ocupam noi de tot ceea ce tine de platforma. Insa mai departe, lucrurile tin de tine.

Daca nu ai facut-o pana acum, va trebui sa te grabesti cu pregatirile. Foloseste-te de informatiile din acest articol, de informatiile pe care ni le-au oferit cei doi invitati la webinariile noastre despre GDPR (ai link-urile la inceputul articolului) si de resursele existente pe piata (care nu sunt deloc putine).

Stii vorba aceea: mai bine previi, decat sa tratezi. Pentru ca e destul de dureros cand stii ca amenzile se ridica pana la 20 de milioane de euro sau 4% din cifra de afaceri.

Ne auzim in curand cu alte completari la articol privitoare la functionalitatile din platforma pe care ti le pregatim.

PS. Suntem aici sa te ajutam – dar nu suntem certificati sa iti oferim sfaturi juridice. Acest material a fost realizat cu scopul de a te informa si nu ar trebui tratat ca litera de lege. Pentru sfaturi legale specifice referitoare la GDPR, ar trebui sa discuti cu un avocat, un jurist sau alt tip de consultant legal.

Cosmin Daraban
[i]
[i]
[index]
[index]
[i]
[i]
[index]
[index]
[i]
[i]
[i]
[i]
[index]
[index]