GDPR-ul – cea mai strictă reglementare europeană privind protecția datelor personale – urmează să își înceapă efectele în 25 mai 2018, iar pentru multe businessuri din România încă nu este foarte clar modul în care ar trebui să se pregătească pentru acest moment.
Noul regulament va înlocui Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001, impunând o serie de reguli noi care vizează toate activitățile prin care sunt prelucrate informații, indiferent de sector sau domeniu.
Astfel, orice site sau business – atât online, cât și offline (în condițiile în care prelucrează date) – trebuie să se conformeze prevederilor GDPR, deloc puține sau ușor de respectat.
GDPR în cifre
Textul complet al GDPR poate fi citit aici.
În România, regulamentul va fi aplicat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Cum este definită prelucrarea datelor în regulamentul GDPR?
Potrivit GDPR, prelucrarea datelor constă în oricare dintre următoarele operațiuni:
- colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor.
Foarte important de reținut este faptul că regulamentul se aplică indiferent dacă prelucrarea datelor este realizată cu sau fără utilizarea de mijloace automatizate, ceea ce înseamnă că GDPR-ul este obligatoriu, în egală măsură, atât pentru un magazin online care solicită anumite informații pentru abonarea la newsletter, spre exemplu, cât și pentru reprezentanții unei firme care organizează o tombolă stradală ce necesită completarea unui talon cu date personale.
Care sunt datele cu caracter personal, potrivit GDPR?
Noul regulament european prevede că sunt considerate a fi „date cu caracter personal” orice informații privind o persoană fizică identificată sau identificabilă.
Mai precis, aceste date se referă la:
- nume;
- un număr de identificare;
- date de localizare;
- un identificator online (adrese IP, identificatori cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio);
- elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Ce trebuie să aibă în vedere magazinele online referitor la aceste date personale?
Prin această nouă definire a sintagmei „date cu caracter personal”, GDPR-ul mărește, de fapt, lista acestor tipuri de informații pe care site-urile le solicită utilizatorilor în momentul abonării la newsletter/ creării unui cont/ derulării unei sesiuni de cumpărături ș.a.m.d.
Spre exemplu, potrivit reglementărilor aflate încă în vigoare, identificatorii online și informațiile privind locația nu sunt considerate a fi astfel de date personale. Începând din 25 mai 2018, însă, vor intra sub incidența noului regulament.
Așadar, site-urile vor fi nevoite să țină cont de acest lucru în pregătirea pentru GDPR și, pe mai departe, în respectarea normelor acestuia.
Ce schimbări sunt necesare pe site-uri?
Pentru că GDPR-ul pune foarte mult accent pe transparența față de utilizatorii de internet și pe responsabilizarea operatorilor de date privind modul în care prelucrează informațiile colectate de la aceștia, este foarte important ca site-urile să implementeze o serie de măsuri care să înlocuiască acel consimțământ de tip „acord implicit” cu noua „acțiune afirmativă”.
Acest lucru presupune modificarea paginii de Termeni și Condiții, a Politicii de Confidențialitate, a formulărilor de abonare ș.a.m.d.
Astfel, începând cu mai 2018, consimțământul utilizatorilor pentru prelucrarea datelor cu caracter personal ar trebui acordat „printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară”.
Una dintre cele mai întâlnite formulări de pe site-uri devine ilegală
Regulamentul arată că, pentru acordarea consimțământului, va fi necesară bifarea unei căsuțe atunci când o persoană vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar acceptarea prelucrării datelor sale cu caracter personal.
În plus, GDPR subliniază faptul că „absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ”.
Așadar, formulele de tipul „Acest site foloseşte cookies! Continuarea navigării implică acceptarea lor” nu vor mai fi legale, ci vor trebui înlocuite – cel mai probabil – cu pop-upuri care vor solicita acțiunea fizică a utilizatorului pentru exprimarea acordului, fără a mai exista nici măcar căsuțe pre-bifate în aceste mesaje.
Dreptul de a fi uitat
De asemenea, site-urile vor fi obligate să-și informeze vizitatorii încă de la bun început cu privire la faptul că au dreptul de a-și retrage oricând acest acord.
Mai precis, potrivit art. 7 alin. (3) din regulament, „Persoana vizată are dreptul să își retragă în orice moment consimțământul. (…) Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia”.
Ultima propoziție indică în mod clar necesitatea poziționării la îndemână a unui mesaj referitor la posibilitatea utilizatorului de a renunța la acordul dat pentru prelucrarea datelor personale.
În plus, în regulament este prevăzut dreptul utilizatorului „de a fi uitat” (art. 17), care prevede că „persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate”.
Primii pași pentru a intra în conformitate cu reglementările GDPR
Pe lângă măsurile tehnice ce vor trebui implementate la nivel de site, orice business va fi nevoit să-și facă un inventar al datelor colectate de-a lungul timpului și este foarte important ca, mai întâi de toate, să fie stabilit tipul de acord solicitat, respectiv oferit, pentru prelucrarea respectivelor date.
Asta deoarece articolul 171 al GDPR prevede că, în cazul în care datele prelucrate până acum au fost colectate în baza unui consimțământ dat în conformitate cu noile condiții, nu mai este necesară solicitarea unui nou acord de la utilizator/ persoana vizată.
În caz contrar, este lesne de înțeles că orice entitate deține o bază de date cu adrese de e-mail, nume, adrese fizice, CNP-uri, CUI-uri ș.a.m.d., va trebui să le ceară persoanelor în cauză acordul explicit pentru a păstra, respectiv prelucra, aceste informații.
Acest lucru poate fi făcut prin trimiterea unui e-mail de informare care să le ofere destinatarilor – printr-o formulare lipsită de orice ambiguitate – opțiunea de a rămâne sau de a părăsi baza de date.
Mai mult decât atât, orice site va fi obligat să-și anunțe vizitatorii ce terțe părți mai pot primi datele colectate de la ei (exemplu, furnizorii de servicii de hosting, cloud, plăți, e-mail marketing, targetare etc.), așadar este important ca inclusiv informarea utilizatorului prin e-mail să facă referire la aceste aspecte.
Cum te asiguri că businessul tău respectă GDPR?
Pentru că – în special în cazul magazinelor online sau a altor tipuri de businessuri care dețin baze de date destul de mari – măsurile tehnice și organizatorice de punere în conformitate cu prevederile GDPR pot fi destul de greu de implementat, regulamentul sugerează apelarea la un DPO (Data Protection Officer).
În regulament se arată că persoana responsabilă cu protecția datelor poate fi un membru al personalului operatorului sau poate să își îndeplinească sarcinile în baza unui contract de servicii, în condițiile în care este desemnată pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor.
Ce acțiuni sunt considerate a fi încălcări ale securității?
Potrivit GDPR, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la:
- distrugerea datelor;
- pierderea datelor;
- modificarea datelor;
- divulgarea neautorizată a datelor;
- accesul neautorizat la datele colectate.
Ce amenzi riscă cei care nu se conformează regulilor GDPR?
Dacă prevederile noului regulament european privind protecția datelor și modul, efectiv, în care acestea trebuie implementate încă reprezintă o necunoscută pentru mulți antreprenori online, cu siguranță amenzile pentru încălcarea GDPR-ului au ajuns la urechile tuturor.
Amenzile pot ajunge până la 20 milioane de euro EUR sau la 4 % din cifra de afaceri mondială totală anuală, luându-se în calcul cea mai mare valoare.
Reglementările privind condițiile impunerii amenzilor administrative sunt prevăzute de articolul 83 al regulamentului.
Concluzii
Pentru a respecta GDPR, site-urile și magazinele online trebuie să:
- își informeze vizitatorii într-un mod transparent și cât mai clar cu privire la cine sunt, ce date colectează, de ce le colectează și pentru cât timp le vor păstra;
- îi informeze pe vizitatori cu privire la părțile terțe care mai primesc respectivele date;
- să obțină consimțământul clar al utilizatorilor pentru colectarea datelor, prin modalități care să permită manifestarea propriei dorințe a acestora;
- să le asigure utilizatorilor accesul, descărcarea, actualizarea și ștergerea datelor oricând doresc;
- să îi informeze pe utilizatori în momentul în care a avut loc o încălcare a datelor colectate de la ei;
- să verifice dacă părțile terțe către care ar putea fi trimise datele transmit informațiile în afara UE;
- să adopte un cod de conduită privind protecția datelor.
Aceste măsuri presupun unele schimbări tehnice precum:
- Modificarea paginii de Termeni și Condiții;
- Modificarea Politicii de confidențialitate, astfel încât utilizatorii să știe:
- Cine sunteți;
- Ce date colectați;
- De ce colectați respectivele date (facturare, comunicare noutăți/ promoții prin e-mail, marketing, tagetare ș.a.m.d.);
- Pentru cât timp veți păstra datele colectate;
- Ce alte terțe părți vor avea acces la respectivele date (Google, MailChimp etc.);
- Cum își pot accesa propriile date personale colectate;
- Cum pot solicita ștergerea datelor personale din baza. de date (prin e-mail, luând legătura cu DPO-ul, sau în mod automat, prin bifarea unei opțiuni în acest sens);
- Cum puteți fi contactat pentru probleme privind datele personale colectate.
- Modificarea tuturor formulărilor de abonare/ creare cont/ contact/ lăsare review etc.;
- Modificarea unor setări în Google Analytics, pentru a permite aplicației să colecteze în continuare datele necesare întocmirii rapoartelor și analizelor privind evoluția site-ului (detalii și pași de urmat aici).
- Modificarea setării din Google Analytics privind perioada în care permiteți ca datele colectate să fie reținute înainte să fie șterse automat (opțiunile sunt 14 luni, 26 luni, 38 luni, 50 luni sau perioadă nedeterminată). Această setare este, de asemenea, foarte importantă pentru raportare, iar pentru a nu întâmpina neplăcerea de a pierde analize importante, cea mai indicată opțiune este cea pe perioadă nedeterminată (pași de urmat aici).