Nota:
Acest articol a fost scris in cooperare cu o societate civila de avocati. Cu toate acestea, informatiile cuprinse mai jos nu constituie consultanta juridica si cuprinde doar informatii de interes general, care pot sau nu sa se aplice in cazul dumneavoastra in particular.
Mai intai hadeti sa vedem ce informatii colectati?
Se poate sa colectati date personale fara sa va dati seama ca de exemplu module cookie sau adrese IP. Daca site-ul dumneavoastra permite ca utilizatorii sa lase comentarii sau recenzii in mod sigur colectati date personale. Alte date colectate sunt evidente ca de exemplu formulare de contact, de inregistrare, liste de email sau tranzactii de comert electronic.
Bine, am inteles dar ce pot face?
Practic, din punctul de vedere al site-ului dumneavoastra, trebuie mai intai sa aflati cum colectati aceste date care pot identifica una sau mai multe persoane cum ar fi numele, adresa de email, numere de telefon, adresa IP, etc.
Atunci cand un utilizator viziteaza si interactioneaza cu site-ul dumneavoastra, trebuie sa ii explicati foarte clar si transparent ce se intampla cu datele sale personale. Trebuie sa declarati ce date colectati si sa ofeiti posibilitatea ca utilizatorii sa isi ofere consimtamantul pentru fiecare dintre aceste date in parte. De asemenea trebuie sa oferiti posibilitatea ca utilizatorii sa vada informatiile colectate si sa puteti stearge aceste informatii din sistemul dumneavoastra de indata ce un utilizator v-a cerut acest lucru.
1. Politica privind prelucrarea datelor cu caracter personal
Dupa ce ati analizat datele colectate (si daca sunt multe va trebui sa numiti un ofiter responsabil cu protectia datelor personale <DPO> care va trebui sa monitorizeze aceste activitati) va trebui sa elaborati si sa publicati pe site o politica privind prelucrarea datelor cu caracter personal (uneori o veti gasi si sub numele de politica de confidentialitate).
Aceasta politica trebuie scrisa foarte clar si sa specifice detaliile referitoare la modul in care colectati datele, unde le stocati, pentru cat timp intentionati sa le pastrati, in ce scop, cum anume pot utilizatorii sa vzualizeze aceste informatii si cum pot sa isi stearga datele personale stocate (Dreptul de a fi uitat).
2. Peace of mind for you & your customers with an SSL certificate
Privacy is the number one priority as part of GDPR. People want to be safe in what information they provide and, how they provide it.
A Single Socket Layer, or SSL certificate is a small file that digitally binds a cryptographic key to an organisations details. When you have one as part of your website, it activates the ‘padlock’ symbol that you see in web browsers. It provides you with that https:// in your address bar – making all of your content secure between servers, it increases your Google search engine optimisation (SEO) rankings which is a bonus and builds/enhances customer trust, resulting in improved conversion rates – especially within e-commerce websites.
3. Formulare
Formularele de pe site-ul dvs. nu mai pot contine casute ce sunt deja bifate. Daca veti continua sa le includeti in formulare se va considera ca nu s-a acordat consimtamantul in mod liber.
Utilizatorii trebuie sa aiba posibilitatea de a furniza consimtamantul separat pentru fiecare mod de procesare a datelor lor. De exemplu o casuta pentru a putea fi contactati prin posta, alta pentru email si a treia pentru acceptul de a fi contactat telefonic.
Daca cereti permisiunea de a transmite detaliile utilizatorului catre o terta parte, veti avea nevoie de inca o casuta separata, daca veti colecta prin intermediul website-ului date in numele mai multor terte parti este necesar sa oferiti foarte clar posibilitatea de a opta pentru fiecare dintre parti.
Furnizarea unei carti electronice sau a unui raport in cazul in care utilizatorii se inregistreaza la newsletter este o modalitate foarte eficienta de a obtine mai multi abonati dar trebuie sa le oferiti o caseta prin care pot opta, altfel nu se considera ca si-au acordat consimtamantul in mod liber.
4. Posibilitatea de a retrage consimtamantul
Trebuie sa oferiti posibilitatea ca in orice moment un utilizator sa isi retraga consimtamantul dat, si aceasta trebuie sa fie la fel de facila ca si in cazul acordarii consimtamantului, iar vizitatorii trebuie sa stie in orice moment ca isi pot retrage consimtamantul.
Din punctul de vedere al experientei utilizatorului (UX), acest lucru inseamna ca veti oferi o modalitate de a te retrage atat in email-uri cat si un link pe site, care se poate gasi de exemplu in cadrul politicii de prelucrare a datelor cu caracter personal a website-ului dvs.
5. Module cookie
In conformitate cu Regulamentu privind Confidentialitatea si Comunicatiile Electronice, anuntarea faptului ca utilizati modulele cookie a devenit lege. Utilizarea acestor module precum si a modului in care se va utiliza informatia colectata trebuie anuntata si in politica privind prelucrarea datelor personale. De asemenea este important sa va anuntati clientii ca pot sa isi configureze browser-ul in asa fel incat sa nu accepte mosule cookie.
Daca folositi servicii terte ce utilizeaza module cookie ca de exemplu Google Analytics pentru a captura datele legate de vizitatorii site-ului dvs. va trebui sa va anuntati utilizatorii prin intermediue politicii privind prelucrarea datelor personale.
6. Urmarirea adreselor IP
Sunt multi furnizori de servicii ce va vor furniza un cod pentru a fi introdus in paginile site-ului dvs in asa fel incat acestia sa va poata furniza detalii prin care puteti sa identificati vizitatorii site-ului. Acest lucru este diferit fata de datele anonime ce pot fi gasite in Google Analytics. Ca urmare va trebui sa va asigurati ca procesul de urmarire al adreselor IP pe care il folositi este explicat in politica privind prelucrarea datelor cu caracter personal deoarece adresele IP sunt clasificate da date ‘personale’.
Daca pe website aveti si un blog in cadrul caruia utilizatorii pot lasa comentarii sau pot sa se aboneze la stiri, exista mari sanse ca adresa IP a utilizatorilor sa fie stocata in baza de date a site-ului si, ca urmare, trebuie sa va anuntati utilizatorii asupra acestui fapt prin intermediul politicii privind prelucrarea datelor personale.
7. Publicitatea prin Social Media
Daca aveti de gand sa folositi adresele de email ale utilizatorilor pentru a crea liste pentru publicitate prin retelele sociale trebuie sa le spuneti si acestia vor trebui sa opteze pentru marketing prin intermediul retelelor sociale (printr-o casuta ce va trebui bifata) si, de asemenea sa le oferiti posibilitatea de a se retrage.
8. Re-Marketing
Re-marketing-ul functioneaza prin utilizarea modulelor cookie pentru a urmari activitatea online a vizitatorilor si daca folositi acest canal va trebui sa descrieti in politica privind prelucrarea datelor cu caracter personal modul in care folositi acest module cookie si sa anuntati faptul ca website-ul dvs. foloseste re-marketing-ul.
9. Plati Online
Daca aveti un magazin virtual este foarte probabil ca folositi un procesator de plati online pentru tranzactiile financiare ca de exemplu MobilPay, PayU, EuPlatesc sau PayPal.
In acest caz se poate ca site-ul dvs. sa colecteze anumite date personale inainte de a le transmite procesatorului de plati. Daca va aflati in aceasta situatie cel mai probabil va trebui sa aveti un certificat SSL pentru a va asigura ca informatia este criptata in mod corespunzator.
Daca site-ul dvs. retine aceste informatii si dupa ce au fost transmise procesatorului de plati, va trebui sa mentionati in politica privind prelucrarea datelor cu caracter personale si sa puneti in aplicare anumite procese prin care aceste date sunt sterse dupa o perioada rezonabila de timp, ca de exemplu dupa 90 de zile.
Numarul de zile nu este prevazut in mod explicit in legislatia GDPR, acesta ramanand la latitudinea dumneavoastra dar trebuie sa fie rezonabil si necesar. Trebuie doar sa fiti pregatiti sa oferiti detalii in cazul in care un utilizator va intreaba si sa stergeti datele respective daca acesta va cere.
10. Incidentele privind securitatea datelor
GDPR introduce obligatia tuturor organizatiilor de a raporta anumite incidente privind securitatea datelor catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal si, in anumite cazuri catre persoanele ale caror date au fost afectate. Trebuie raportate toate incidentele care reprezinta riscuri pentru drepturile si libertatile persoanelor, ca de exemplu acele incidente care pot duce la discriminarea, afectarea reputatiei, pierderi financiare sau ale confidentialitatii datelor personale sau alte dezavantaje semnificative.
In concluzie:
GDPR mentioneaza ca informatiile referitoare la prelucrarea datelor personale trebuie sa fie concise, transparente, inteligibile si usor accesibile, disponibile in mod gratuit, scrise intr-un limbaj simplu si clar(ca si cum v-ati adresa unui copil).
Ar fi foarte bine sa revizuiti politica privind prelucrarea datelor cu caracter personal in cazul incare aveti una sau sa o scrieti in caz contrar.
Partea cea mai importanta aici este limbajul care trebuie sa fie simplu, clar si usor de inteles deoarece jargonul nu va fi acceptat prin prisma GDPR.
Incercati sa va informati de unde provin, unde sunt stocate si cum sunt procesate datele de pe website-ul dvs. Oferiti-le tuturor vizitatorilor posibilitatea facila de a opta pentru furnizarea de date, de a renunta la consimtamantul dat si de a vizualiza sau de a cere stergerea datelor lor din sistemele dvs .
Folsiti criptarea prin certificate SSL, fapt ce duce la cresterea increderii utilizatorilor si, in acelasi timp va ajuta la cresterea vizibilitatii in motoarele de cautare.