Sidebar / Content
Pasii necesari pentru conformarea cu prevederile GDPR
Nota:
Acest articol a fost scris in cooperare cu o societate civila de avocati. Cu toate acestea, informatiile cuprinse mai jos nu constituie consultanta juridica si cuprinde doar informatii de interes general, care pot sau nu sa se aplice in cazul dumneavoastra in particular.
Mai intai hadeti sa vedem ce informatii colectati?
Se poate sa colectati date personale fara sa va dati seama ca de exemplu module cookie sau adrese IP. Daca site-ul dumneavoastra permite ca utilizatorii sa lase comentarii sau recenzii in mod sigur colectati date personale. Alte date colectate sunt evidente ca de exemplu formulare de contact, de inregistrare, liste de email sau tranzactii de comert electronic.
Bine, am inteles dar ce pot face?
Practic, din punctul de vedere al site-ului dumneavoastra, trebuie mai intai sa aflati cum colectati aceste date care pot identifica una sau mai multe persoane cum ar fi numele, adresa de email, numere de telefon, adresa IP, etc.
Atunci cand un utilizator viziteaza si interactioneaza cu site-ul dumneavoastra, trebuie sa ii explicati foarte clar si transparent ce se intampla cu datele sale personale. Trebuie sa declarati ce date colectati si sa ofeiti posibilitatea ca utilizatorii sa isi ofere consimtamantul pentru fiecare dintre aceste date in parte. De asemenea trebuie sa oferiti posibilitatea ca utilizatorii sa vada informatiile colectate si sa puteti stearge aceste informatii din sistemul dumneavoastra de indata ce un utilizator v-a cerut acest lucru.
1. Politica privind prelucrarea datelor cu caracter personal
Dupa ce ati analizat datele colectate (si daca sunt multe va trebui sa numiti un ofiter responsabil cu protectia datelor personale <DPO> care va trebui sa monitorizeze aceste activitati) va trebui sa elaborati si sa publicati pe site o politica privind prelucrarea datelor cu caracter personal (uneori o veti gasi si sub numele de politica de confidentialitate).
Aceasta politica trebuie scrisa foarte clar si sa specifice detaliile referitoare la modul in care colectati datele, unde le stocati, pentru cat timp intentionati sa le pastrati, in ce scop, cum anume pot utilizatorii sa vzualizeze aceste informatii si cum pot sa isi stearga datele personale stocate (Dreptul de a fi uitat).
2. Peace of mind for you & your customers with an SSL certificate
Privacy is the number one priority as part of GDPR. People want to be safe in what information they provide and, how they provide it.
A Single Socket Layer, or SSL certificate is a small file that digitally binds a cryptographic key to an organisations details. When you have one as part of your website, it activates the ‘padlock’ symbol that you see in web browsers. It provides you with that https:// in your address bar – making all of your content secure between servers, it increases your Google search engine optimisation (SEO) rankings which is a bonus and builds/enhances customer trust, resulting in improved conversion rates – especially within e-commerce websites.
3. Formulare
Formularele de pe site-ul dvs. nu mai pot contine casute ce sunt deja bifate. Daca veti continua sa le includeti in formulare se va considera ca nu s-a acordat consimtamantul in mod liber.
Utilizatorii trebuie sa aiba posibilitatea de a furniza consimtamantul separat pentru fiecare mod de procesare a datelor lor. De exemplu o casuta pentru a putea fi contactati prin posta, alta pentru email si a treia pentru acceptul de a fi contactat telefonic.
Daca cereti permisiunea de a transmite detaliile utilizatorului catre o terta parte, veti avea nevoie de inca o casuta separata, daca veti colecta prin intermediul website-ului date in numele mai multor terte parti este necesar sa oferiti foarte clar posibilitatea de a opta pentru fiecare dintre parti.
Furnizarea unei carti electronice sau a unui raport in cazul in care utilizatorii se inregistreaza la newsletter este o modalitate foarte eficienta de a obtine mai multi abonati dar trebuie sa le oferiti o caseta prin care pot opta, altfel nu se considera ca si-au acordat consimtamantul in mod liber.
4. Posibilitatea de a retrage consimtamantul
Trebuie sa oferiti posibilitatea ca in orice moment un utilizator sa isi retraga consimtamantul dat, si aceasta trebuie sa fie la fel de facila ca si in cazul acordarii consimtamantului, iar vizitatorii trebuie sa stie in orice moment ca isi pot retrage consimtamantul.
Din punctul de vedere al experientei utilizatorului (UX), acest lucru inseamna ca veti oferi o modalitate de a te retrage atat in email-uri cat si un link pe site, care se poate gasi de exemplu in cadrul politicii de prelucrare a datelor cu caracter personal a website-ului dvs.
5. Module cookie
In conformitate cu Regulamentu privind Confidentialitatea si Comunicatiile Electronice, anuntarea faptului ca utilizati modulele cookie a devenit lege. Utilizarea acestor module precum si a modului in care se va utiliza informatia colectata trebuie anuntata si in politica privind prelucrarea datelor personale. De asemenea este important sa va anuntati clientii ca pot sa isi configureze browser-ul in asa fel incat sa nu accepte mosule cookie.
Daca folositi servicii terte ce utilizeaza module cookie ca de exemplu Google Analytics pentru a captura datele legate de vizitatorii site-ului dvs. va trebui sa va anuntati utilizatorii prin intermediue politicii privind prelucrarea datelor personale.
6. Urmarirea adreselor IP
Sunt multi furnizori de servicii ce va vor furniza un cod pentru a fi introdus in paginile site-ului dvs in asa fel incat acestia sa va poata furniza detalii prin care puteti sa identificati vizitatorii site-ului. Acest lucru este diferit fata de datele anonime ce pot fi gasite in Google Analytics. Ca urmare va trebui sa va asigurati ca procesul de urmarire al adreselor IP pe care il folositi este explicat in politica privind prelucrarea datelor cu caracter personal deoarece adresele IP sunt clasificate da date ‘personale’.
Daca pe website aveti si un blog in cadrul caruia utilizatorii pot lasa comentarii sau pot sa se aboneze la stiri, exista mari sanse ca adresa IP a utilizatorilor sa fie stocata in baza de date a site-ului si, ca urmare, trebuie sa va anuntati utilizatorii asupra acestui fapt prin intermediul politicii privind prelucrarea datelor personale.
7. Publicitatea prin Social Media
Daca aveti de gand sa folositi adresele de email ale utilizatorilor pentru a crea liste pentru publicitate prin retelele sociale trebuie sa le spuneti si acestia vor trebui sa opteze pentru marketing prin intermediul retelelor sociale (printr-o casuta ce va trebui bifata) si, de asemenea sa le oferiti posibilitatea de a se retrage.
8. Re-Marketing
Re-marketing-ul functioneaza prin utilizarea modulelor cookie pentru a urmari activitatea online a vizitatorilor si daca folositi acest canal va trebui sa descrieti in politica privind prelucrarea datelor cu caracter personal modul in care folositi acest module cookie si sa anuntati faptul ca website-ul dvs. foloseste re-marketing-ul.
9. Plati Online
Daca aveti un magazin virtual este foarte probabil ca folositi un procesator de plati online pentru tranzactiile financiare ca de exemplu MobilPay, PayU, EuPlatesc sau PayPal.
In acest caz se poate ca site-ul dvs. sa colecteze anumite date personale inainte de a le transmite procesatorului de plati. Daca va aflati in aceasta situatie cel mai probabil va trebui sa aveti un certificat SSL pentru a va asigura ca informatia este criptata in mod corespunzator.
Daca site-ul dvs. retine aceste informatii si dupa ce au fost transmise procesatorului de plati, va trebui sa mentionati in politica privind prelucrarea datelor cu caracter personale si sa puneti in aplicare anumite procese prin care aceste date sunt sterse dupa o perioada rezonabila de timp, ca de exemplu dupa 90 de zile.
Numarul de zile nu este prevazut in mod explicit in legislatia GDPR, acesta ramanand la latitudinea dumneavoastra dar trebuie sa fie rezonabil si necesar. Trebuie doar sa fiti pregatiti sa oferiti detalii in cazul in care un utilizator va intreaba si sa stergeti datele respective daca acesta va cere.
10. Incidentele privind securitatea datelor
GDPR introduce obligatia tuturor organizatiilor de a raporta anumite incidente privind securitatea datelor catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal si, in anumite cazuri catre persoanele ale caror date au fost afectate. Trebuie raportate toate incidentele care reprezinta riscuri pentru drepturile si libertatile persoanelor, ca de exemplu acele incidente care pot duce la discriminarea, afectarea reputatiei, pierderi financiare sau ale confidentialitatii datelor personale sau alte dezavantaje semnificative.
In concluzie:
GDPR mentioneaza ca informatiile referitoare la prelucrarea datelor personale trebuie sa fie concise, transparente, inteligibile si usor accesibile, disponibile in mod gratuit, scrise intr-un limbaj simplu si clar(ca si cum v-ati adresa unui copil).
Ar fi foarte bine sa revizuiti politica privind prelucrarea datelor cu caracter personal in cazul incare aveti una sau sa o scrieti in caz contrar.
Partea cea mai importanta aici este limbajul care trebuie sa fie simplu, clar si usor de inteles deoarece jargonul nu va fi acceptat prin prisma GDPR.
Incercati sa va informati de unde provin, unde sunt stocate si cum sunt procesate datele de pe website-ul dvs. Oferiti-le tuturor vizitatorilor posibilitatea facila de a opta pentru furnizarea de date, de a renunta la consimtamantul dat si de a vizualiza sau de a cere stergerea datelor lor din sistemele dvs .
Folsiti criptarea prin certificate SSL, fapt ce duce la cresterea increderii utilizatorilor si, in acelasi timp va ajuta la cresterea vizibilitatii in motoarele de cautare.
Ghidul GDPR pentru detinatorii de website-uri
Nota:
Acest articol a fost scris in cooperare cu o societate civila de avocati. Cu toate acestea, informatiile cuprinse mai jos nu constituie consultanta juridica si cuprind doar informatii de interes general, care pot sau nu sa se aplice in cazul dumneavoastra in particular.
In acest ghid vom prezenta pasii necesari pentru a aduce website-ul dumneavoastra in conformitate cu prevederile GDPR.
Pentru fiecare cerinta in parte, mai intai vom explica substratul legal si apoi va vom arata cum puteti implementa cerintele in website-ul dvs. si in final vom discuta despre obligatiile ce revin companiei dvs. conform regulamentului general pentru protectia datelor cu caracter personal (GDPR).
Cuprins
- GDPR: Rezumat
- Pasii necesari pentru conformarea GDPR
- Definitii
- Cum sa generezi Politica privind prelucrarea datelor cu caracter personal
- Temeiul legal pentru prelucrarea datelor
- Cum sa transformi formularele de pe site in asa fel incat sa respecte reglementarile GDPR
- Comert electronic
- Cerinte legale aplicabile persoanelor juridice
- Actualizarea website-ului dumneavoastra
- Baza de cunostinte
Daca detineti un website simplu este posibil sa puteti gestiona singur procesul de conformare la prevederile GDPR fara a apela la un dezvoltator sau la un avocat. Daca detineti un magazin virtual sau un website cu multi utilizatori inregistrati va recomandam sa luati legatura cu un avocat, o persoana specializata in conformarea cu reglementarile GDPR sau sa ne contactati.
Sunteti gata? Haideti sa incepem!
Regulamentul pentru protectia datelor pe scurt
Nota:
Acest articol a fost scris in cooperare cu o societate civila de avocati. Cu toate acestea, informatiile cuprinse mai jos nu constituie consultanta juridica si cuprind doar informatii de interes general, care pot sau nu sa se aplice in cazul dumneavoastra in particular.
In acest capitol vom explica ce este GDPR si vom prezenta pe scurt principalele obligatii ale detinatorilor de website-uri.
Daca sunteti deja familiarizati cu prevederile GDPR puteti trece la urmatorul capitol care va va explica pasii necesari pentru ca website-ul dumneavoastra sa respecte prevederile GDPR.
GDPR?
GDPR este prescurtarea de la Regulamentul General de Protectie a Datelor cu caracter personal. Acesta este un regulament emis de Uniunea Europeana si care doreste sa protejeze datele personale ale cetatenilor Uniunii Europene. GDPR obliga toate organizatiile sa introduca schimbari majore in privinta modului in care gestioneaza datele pesonale ale clientilor lor, fapt ce afecteaza atat procesele interne cat si platformele software folosite. Regulamentul privind protectia datelor este un sistem de principii, drepturi si obligatii pe care orice detinator de site web trebuie sa le cunoasca. GDPR intra in vigoare din 25 Mai 2018.
GDPR contine o definitie foarte larga a ceea ce inseamna date personale. Daca detineti un website, in cel mai probabil caz va trebui sa-i aduceti anumite modificari. Atentie, GDPR este retroactive. Aceasta inseamna ca se aplica tuturor datelor cu caracter personal pe care le stocati sau le folositi, chiar daca acestea au fost colectate inainte de 25 Mai 2018.
Din punct de vedere tehnic, GDPR se aplica tuturor celor care gestioneaza date personale ce apartin unor cetateni ai Uniunii Europene, chiar daca nu au sediul in Uniunea Europeana.
Spre deosebire de reglementarile europene anterioare referitoare la datele personale (ca de exemplu legea cookie care cerea postarea notificarilor de tipul „Acest website foloseste module cookie”), GDPR are prevederi clare in cazul in care nu respectati regulamentul. Astfel puteti fi amendati cu pana la 20 milioane EUR sau 4% din cifra globala de afaceri (se va lua valoarea maxima dintre cele 2), in cazul in care nu gestionati datele personale in conformitate cu prevederile GDPR. Este evident ca pentru legiuitorii europeni, protectia datelor personale este un subiect foarte important.
Cum afecteaza GDPR website-ul dumneavoastra
Incepand cu 25 Mai vizitatorii site-ului dvs. au anumite drepturi noi. Pe scurt si fara a intra in prea multe detalii acestia: pot cere o copie a a tuturor datelor personale pe care le detineti, atat in format fizic cat si electronic si pot cere stergerea acestor date. Dumneavoastra trebuie sa aveti un temei legal solid pentru a colecta si utiliza orice date personale. De asemenea trebuie sa cereti consimtamantul pentru orice activitate de prelucrare a datelor personale in parte si clientii dumneavoastra au dreptul de a retrage acest consimtamant in orice moment. In acelasi timp aveti obligatia de a-i informa despre orice faceti cu datele lor personale, despre orice entitate care primeste aceste date si despre toate drepturile ce le revin in conformitate cu prevederile GDPR.
Datele personale ale unei persoane vor fi intotdeauna proprietatea acelei persoane, ceea ce inseamna ca persoana respectiva trebuie sa detina in orice moment controlul asupra acestor date (cu cateva exceptii de exemplu pentru activitatile de combatere a terorismului nu se vor aplica prevederile GDPR).
O mentiune importanta este ca daca deja aveti comentarii pe website sau aveti un formular de contact inseamna ca deja stocati datele personale ale cuiva. Astfel majoritatea detinatorilor de website-uri trebuie sa se conformeze modificarilor aduse de GDPR.
Pe baza rezumatului de mai sus situatia nu e chiar atat de rea dar, cum am mentionat anterior, aceasta nu este lista completa a drepturilor si cerintelor impuse de GDPR. Odata ce vom intra in detalii, veti veda sa sunt mii de lucruri de care trebuie sa tineti seama si multe dificultati tehnice ce pot aparea. Dar nu va faceti griji, suntem aici ca sa va ajutam.
Cum afecteaza GDPR afacerea dumneavoastra
GDPR stipuleaza noi reguli ce se aplica afacerilor in general. Este necesar sa pastrati un registru cu toate activitatile de procesare a datelor personale. Se poate sa fie nevoie sa numiti un responsabil cu protectia datelor (Data protection Officer sau DPO). Trebuie sa aveti contracte cu orice organizatie careia ii furnizati date referitoare la clienti. Nu puteti transfera date personale catre organizatii care nu respecta GDPR. Daca descoperiti o incalcare a securitatii datelor (de exemplu cineva obtine in mod fraudulos accesul la datele clientilor prin atacarea website-ului sau furtul calculatorului unui angajat), trebuie sa notificati in 72h autoritatea locala pentru protectia datelor cu caracter personal si persoanele afectate. Daca stocati multe date personale sau detineti date senzitive puteti sa fiti obligati sa faceti un studiu de impact privind protectia datelor personale (DPIA). Si nu in ultimul rand sunteti responsabil ca sa dovediti autoritatii de supraveghere ca va conformati reglementarilor GDPR.
De asemenea mentionam ca cele de mai sus nu reprezinta intraga lista de obligatii.
Serios?
Da. Stim – este foarte mult de lucru. Dar vom fi bucurosi sa va ajutam!
Urmatorii pasi
Va recomandam sa incepeti conformarea cu reglementarile GDPR cat mai repede posibil. Daca aveti nevoie de mai multe informatii referitoare la GDPR va recomandam cursul online oferit de Opteam Associates. In timp ce va adaptati site-ul pentru a se conforma reglementarilor GDPR se poate sa descoperiti ca aveti nevoie de un avocat, un programator sau un consultant. Contacteaza-ne inainte sa fie prea tarziu.
Pasii necesari pentru conformarea cu prevederile GDPR