Regulamentul general privind protectia datelor sau GDPR va schimba modul in care companiile proceseaza si gestioneaza datele. In mai, mai exact pe 25 mai 2018, normele europene privind protectia datelor vor fi supuse celei mai mari revizuiri din ultimii 20 de ani. In momentul in care reglementarile actuale au fost elaborate, la sfarsitul anilor 1990, internetul era inca in faza incipienta.

Pentru a ne asigura ca legile care supravegheaza datele noastre personale sunt potrivite pentru acest domeniu, autoritatile de reglementare europene au creat o serie de noi reguli. Rezultatul este Regulamentul European General Privind Protectia Datelor, convenit de comun acord, care va intra in vigoare incepand cu 25 mai 2018. Acesta va schimba modul in care companiile si organizatiile din sectorul public pot gestiona informatiile clientilor.

Regulamentul a dat nastere multor consultanti – experti GDPR, care sunt dispusi sa ajute companiile sa se pregateasca pentru schimbarile pe care le va aduce GDPR, bineinteles contra unor sume de bani.

Ce este GDPR exact?

GDPR este noul cadru al Europei pentru legislatia privind protectia datelor, inlocuieste directiva anterioara privind protectia datelor din 1995, pe care se bazeaza legislatia actuala din Romania si intreaga Europa.

Site-ul GDPR al UE prevede ca legislatia este conceputa pentru a „armoniza” legile privind confidentialitatea datelor in Europa, precum si pentru a oferi protectie si drepturi mai mari persoanelor fizice. In cadrul GDPR exista mari schimbari pentru public, precum si pentru companii si organizatii care gestioneaza informatiile personale, pe care le vom explica in detaliu mai tarziu.

Dupa mai mult de patru ani de discutii si negocieri, GDPR a fost adoptat atat de Parlamentul European, cat si de Consiliul European in aprilie 2016, urmand ca Regulamentul si directiva de baza sa fie publicate la sfarsitul acelei luni.

Dupa publicarea GDPR in Jurnalul Oficial al UE in mai 2016, acesta va intra in vigoare la 25 mai 2018. Astfel, acesti doi ani pot fi considerati perioada de informare, pregatire si adaptare pentru reglementare a companiilor si organizatiilor publice reglementate.

gdrp

REZUMAT GDPR

CAND INCEPE NOUL REGULAMENT?

25 mai 2018

CINE O VA APLICA IN ROMANIA?

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal

CE E NOU?

Noi drepturi pentru accesul utilizatorilor la informatiile despre companii, obligatii pentru o mai buna gestionare a datelor pentru companii si un nou regim de amenzi.

Ce fac marele companii?

Firmele mari de tehnologie, ca si celelalte, nu au nici o exceptie de la GDPR. Google si Facebook, doi dintre cei mai mari colectori de informatii personale, au facut deja mai multe schimbari.

Pe fondul scandalului de date al companiei Cambridge Analytica, Facebook si-a modificat pozitia de mai multe ori. Mark Zuckerberg a declarat initial ca Facebook nu va aplica aceleasi “protectii” ale confidentialitatii in intreaga lume. Dupa care, mai tarziu si-a schimbat declaratia si a anuntat ca pentru toate persoanele se vor folosi aceleasi “unelte” indiferent de tara.

Pe de alta parte, Google a trimis notificari tuturor utilizatorilor sai pentru a-si actualiza datele si pentru a vedea, in acelasi timp, informatiile despre ei. De asemenea, Google si-a actualizat setarile de anunturi. Unele persoane au primit notificari de informare ca ar trebui sa-si revada setarile de confidentialitate.

CARE ESTE DIFERENTA DINTRE UN CONTROLOR DE DATE SI UN PROCESATOR?

Nu intotdeauna cel care gestioneaza datele personale ale persoanelor fizice este acelasi, pentru ca legile privind protectia datelor permit acest lucru prin faptul ca au doi termeni diferiti: controlor si procesator.

Iata ce inseamna fiecare:

CONTROLOR

Un controlor este o entitate care decide scopul si modul in care datele personale sunt utilizate sau vor fi utilizate.

PROCESATOR

Persoana sau grupul care prelucreaza datele in numele controlorului. Procesarea este obtinerea, inregistrarea, adaptarea sau pastrarea datelor cu caracter personal.

Este compania, startup-ul sau organizatia mea afectata?

Pe scurt, da. Persoanele fizice, organizatiile si companiile care sunt „controlorii” sau „prelucratorii” datelor cu caracter personal vor fi vizate de GDPR. Daca sunteti in prezent subiectul Directivei pentru Protectia Datelor cu caracter Personal, probabil veti fi afectati, de asemenea, supusi GDPR.

Atat datele personale, cat si datele personale sensibile sunt vizate de GDPR. Datele personale, o categorie complexa de informatii, inseamna in general o informatie care poate fi utilizata pentru a identifica o persoana. Aceasta informatie poate fi un nume, o adresa, o adresa IP, etc. Datele personale sensibile cuprind date genetice, informatii despre opiniile religioase si politice, orientarea sexuala si multe altele.

Aceste definitii sunt in mare parte aceleasi cu cele din legile actuale privind protectia datelor si se pot referi la informatiile colectate prin procese automatizate. In cazul in care GDPR se diferentiaza de legile actuale privind protectia datelor, este posibil ca datele personale pseudonime sa cada sub incidenta legii – daca este posibil ca o persoana sa poata fi identificata printr-un pseudonim.

Deci, ce e diferit?

In textul complet al GDPR exista 99 de articole care stabilesc drepturile persoanelor fizice si obligatiile care le revin companiilor si organizatiilor care intra sub incidenta regulamentului. Acestea includ posibilitatea ca oamenii sa aiba acces mai usor la datele lor personale, un nou regim de amenzi si o responsabilitate clara pentru ca organizatiile sa obtina consimtamantul persoanelor de la care colecteaza informatii.

Deci, daca doar auzi despre GDPR, iata cateva dintre cele mai mari schimbari care trebuie pregatite.

  • Responsabilitate si conformitate

Companiile care fac obiectul GDPR vor fi mai responsabile pentru modul in care se ocupa de informatiile personale ale clientilor. Aceasta directiva poate cuprinde includerea unor politici de protectie a datelor, evaluari ale impactului protectiei datelor si existenta unor documente relevante privind modul in care sunt procesate datele.

In conformitate cu GDPR, “distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul la datele oamenilor” trebuie raportate de urgenta, in maxim 72 ore, autoritatii de reglementare a protectiei datelor, mai exact Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, altfel acest incident ar putea avea un impact negativ asupra tuturor celor implicati, putand fi vorba despre pierderi financiare, incalcari ale confidentialitatii, deteriorarea reputatiei si multe altele.

Pentru companiile care au mai mult de 250 de angajati, este necesar sa aiba documentatie privind motivul pentru care informatiile colectate si prelucrate sunt informate, descrierile informatiilor detinute, durata de pastrare si descrierea masurilor tehnice de securitate in vigoare.

In plus, companiile care au o monitorizare regulata si sistematica a persoanelor la scara larga sau proceseaza o multime de date sensiblie cu caracter personal trebuie sa angajeze un ofiter de protectie a datelor (OPD). Pentru multe organizatii care fac obiectul GDPR, acest lucru poate insemna necesitatea de a angaja un nou membru al personalului, desi companiile mai mari si autoritatile publice pot avea deja persoane in acest rol. Astfel incat, persoana care va detine aceasta pozitie va fi persoana de contact intre companie si Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal si va trebui sa raporteze membrilor personalului de conducere, sa monitorizeze conformitatea cu GDPR si totodata sa fie un punct de contact pentru angajati si clienti.

De asemenea, pentru companii mai exista si cerinta de a obtine consimtamantul pentru prelucrarea datelor in anumite situatii. Atunci cand o organizatie se bazeaza pe consimtamantul de a folosi in mod legal informatia unei persoane, trebuie sa explice in mod clar la ce se refera acest consimtamant inainte sa obtina un raspuns pozitiv.

  • Accesarea datelor

Punand noi obligatii companiilor si organizatiilor care colecteaza date cu caracter personal, GDPR ofera o mai mare putere persoanelor fizice, oferindu-le posibilitatea de a avea acces la informatiile despre ele. In conformitate cu GDPR solicitarile de acces la informatiile cu caracter personal pot fi facute gratuit. Cand cineva solicita unei companii datele pe care le detine, trebuie sa i se inmaneze toate informatiile in maxim o luna. Toate persoanele vor avea dreptul sa stie daca o organizatie are informatii despre ele si mai exact ce tip de informatii detine. In plus, GDPR sustine drepturile unei persoane in legatura cu prelucrarea automata a datelor. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal declara ca toate persoanele „au dreptul de a nu fi supuse unei decizii generale” daca este una automata si produce un efect semnificativ asupra lor. Exista anumite exceptii, insa, in general, oamenii trebuie sa primeasca o explicatie asupra unei decizii luate cu privire la ei.

Noul regulament ofera tuturor persoanelor posibilitatea de a sterge datele lor personale in anumite circumstante. Aceasta include si cazul in care nu mai este necesar pentru scopul in care a fost colectat, in cazul in care consimtamantul este retras, nu exista un interes legitim si daca acesta a fost procesat ilegal.

  • Amenzile GDPR

Unul dintre cele mai mari si cele mai discutate elemente ale GDPR este puterea autoritatilor de reglementare de a amenda companiile care nu se conformeaza acesteia. Daca o organizatie nu proceseaza datele individului in mod corect, poate fi amendata. In cazul in care o organizatie are obligatia de a avea un ofiter de protectie al datelor si nu are, aceasta poate fi amendata. Daca exista o incalcare a securitatii, poate fi la fel, amendata.

Aceste sanctiuni financiare vor fi decise de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. GDPR declara ca unele infractiuni, fie ele chiar si cu consecinte mai mici, ar putea avea ca rezultat amenzi de pana la 10 milioane de euro sau 2% din cifra de afaceri globala a companiei (oricat de mare ar fi), iar cei cu consecinte mai grave pot avea amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri globala a companiei (oricat de mare ar fi).

CE SUNT DATELE PERSONALE?

TERMENII-CHEIE

GDPR si alte legi privind protectia datelor se bazeaza pe termenul „date personale” pentru a se referi la informatii despre persoane. Exista doua tipuri cheie de date cu caracter personal si acopera diferite categorii de informatii, date personale si date personale sensibile.

CE SUNT DATELE PERSONALE?

Datele personale pot fi orice tip de informatie, care permite identificarea directa sau indirecta a unei persoane vii. Acesta poate fi un nume, o adresa sau chiar o adresa IP. Acestea pot include date cu caracter personal automatizate si pot include si date pseudonime daca persoana poate fi identificata cu aceastea.

CE SUNT DATELE PERSONALE SENSIBILE?

GDPR numeste date personale sensibile ca fiind in „categorii speciale” de informatii. Acestea includ apartenenta la sindicate, credintele religioase, opiniile politice, informatiile rasiale si orientarea sexuala, etc.

Care sunt cerintele principale impuse de GDPR?

  • Temei juridic pentru controlul si prelucrarea datelor cu caracter personal
  • Scop legitim pentru colectarea si prelucrarea datelor personale
  • Documentarea tuturor activitatilor de prelucrare a datelor
  • Evaluarea riscurilor asupra drepturilor si libertatilor persoanelor vizate
  • Masuri organizatorice si tehnice pentru protejarea datelor
  • Minimizarea cantitatii de date cu caracter personal prelucrate
  • Sa fiti in masura sa probati conformitatea cu GDPR
  • Notificarea autoritatii de supraveghere cu privire la incalcarea datelor
  • Desemnarea unui responsabil cu protectia datelor (DPO)
  • Actualizarea datelor personale inexacte
  • Verificarea transferul datelor in afara UE

Urmarind toate aceste cerinte principale, determinati daca GDPR se aplica organizatiei dumneavoastra, pentru ca, mai mult ca sigur, vi se aplica si dumneavoastra.

Pentru a atinge respectarea deplina pana la acestui termen, companiile de comert electronic vor trebui:

Pentru a se conforma cu respectarea implementarii Regulamentul General Privind Protectia Datelor (GDPR), companiile au obligatia:

  1. Sa spuna utilizatorilor despre afacerea lor, ce date colecteaza, de cecolecteaza datele si cat timp planifica sa le pastreze;
  2. Sa spuna care alte parti terte le primesc(in cazul in care exista);
  3. Sa obtina unconsimtamant clar inainte de colectarea datelor;
  4. Sa permita utilizatorilor accesul, descarcarea, actualizarea si stergerea datelor;
  5. Sa permita utilizatorilor sa afle daca a avut loc o incalcarea datelor.

Cum va pregatiti afacerea pentru GDPR

Atunci cand va fi implementat, GDPR va avea un impact diferit asupra companiilor si organizatiilor, de exemplu, nu fiecare companie va avea nevoie de un ofiter de protectie a datelor.

Pentru a te ajuta sa te pregatesti pentru punerea in aplicare a GDPR, Digital Craft va pune la dispozitie un ghid cu cativa pasi pe care ii poti urmari si sa ii pui in aplicare:

1. Termeni & Conditii

Termenii si conditiile reprezinta termenii si regulile legale care formeaza relatia dintre client si compania ta.

E inutil sa mentionam ca, daca nu ai o pagina de Termeni si conditii, trebuie sa creezi una.

De asemenea, pe pagina de checkout adaugati casuta pe care utilizatorii trebuie sa o bifeze (sa nu fie “bifata” in mod implicit).

Modificarile care trebuie efectuate in Termeni si conditii:

De facut:

  • Creati o pagina Termeni & Conditii, daca nu aveti una deja;
  • Adaugati un paragraf cu un link catre Politica de Confidentialitate revizuita;
  • Asigurati-va ca exista un checkbox pentru bifare in pagina de Checkout, neaparat nebifat in mod implicit.

2. Politica de Confidentialitate

Scopul Politicii de Confidentialitate este de a informa utilizatorul despre datele pe care le colectati, despre modul in care sunt stocate si despre cum le folositi. Cele mai mari schimbari se vor face aici, in Politica de Confidentialitate, precum si adaugarea link-ului catre aceasta pagina peste tot in site.

Daca nu va puteti permite cheltuieli juridice si nu aveti nevoie de un DPO (Data Protection Officer), sugestia noastra este sa examinati site-urile de comert electronic de incredere si sa le copiati Politica de Confidentialitate.

Desigur, va trebui sa acoperiti urmatoarele:

  • cine sunteti (companie, adresa, etc)
  • ce date colectati (adrese IP, nume, e-mail, telefon, adresa etc.)
  • motivele pentru colectati datele (facturare, urmarire, comunicare prin e-mail, marketing etc.)
  • pentru cat timp pastrati datele (de exemplu, pastrati facturile timp de 5 ani in scopuri contabile, pastrati adrese de e-mail timp de 1 an)
  • care terte parti le primesc (MailChimp, Google, InboxTarget, etc)
  • modul de descarcare al datelor (fie in mod automat, fie prin trimiterea de e-mail catre responsabilul cu protectia datelor sau prin contactarea ta)
  • cum sa stergeti datele (fie in mod automat, fie prin e-mail catre responsabilul cu protectia datelor sau contactandu-te pe tine.)
  • cum sa va contacteze pentru probleme legate de date (datele de contact ale responsabilului cu protectia datelor sau, probabil ale dvs..)

Dupa ce aveti toate aceste informatii intr-o pagina de Politica de Confidentialitate, trebuie sa adaugati link catre aceasta pe fiecare pagina a site-ului web (link in sectiunea de subsol ar trebui sa fie suficient).

Pe langa adaugarea de linkuri catre aceasta pagina, trebuie sa aveti checkbox pentru bifare pentru fiecare optiune de inscriere: inregistrarea contului de utilizator, colectorul de e-mail-uri, formularele de checkout. Nu trebuie sa aveti bifate casutele in mod implicit).

Pe pagina de Checkout, unde aveti deja o casuta de bifare a Termenilor si Conditiilor, veti avea nevoie de una similara cu link catre pagina de Politica de Confidentialitate.

De facut:

  • Creati o pagina privind Politica de Confidentialitate (daca nu aveti una)
  • Adaugati cine – ce – cum – de ce– cand la Politica de Confidentialitate
  • Afisati linkul pentru Politica de Confidentialitate in subsolul fiecarei pagini
  • Afisati checkbox de bifare a paginii de Politica de Confidentialitate pe pagina de checkout

3. Inregistrarea contului de utilizator

Daca site-ul dvs. solicita inregistrarea utilizatorilor pentru a efectua o cumparatura (sau o simpla logare pe site-ul web), va trebui sa aveti si o casuta de bifare in apropierea formularului.

De asemenea, nu cereti mai multe informatii decat este nevoie, deci asigurati-va ca aveti nevoie de toate datele respective sau eliminati campurile de input de care nu aveti nevoie.

De facut:

  • Asigurati-va ca aveti cu adevarat nevoie de toate datele personale pe care le solicitati
  • Daca da, adaugati o caseta de bifare cu link catre Politica de Confidentialitate (nebifata) la formularul de inregistrare

4. Cosuri abandonate & checkout

Acest lucru este mai mult in domeniul marketingului, dar este foarte important. Deoarece majoritatea solutiilor de recuperare a cosurilor si a checkout-ului colecteaza e-mailuri fara consimtamant. Deci, nu veti putea sa trimiteti e-mail acelui utilizator daca nu a fost de acord sa se aboneze.

Aceasta este in contradictie cu regulile GDPR, care necesita consimtamantul explicit (adica bifand o casuta). Pentru a face acest lucru corect, va trebui sa aveti o casuta de bifare chiar langa campul de introducere al adresei de e-mail.

O alternativa este sa afisati treptat campurile formularului de checkout, astfel incat sa puteti solicita prima data adresa de e-mail, inclusiv consimtamantul, apoi sa afisezi restul.

O alternativa, dar nu prea recomandata, este de a dezactiva checkout fara cont, astfel incat oamenii vor trebui sa inregistreze un cont (unde vor trebui sa fie de acord cu Politica  de Confidentialitate prin click pe casuta de bifare)

De facut:

  • Asigurati-va ca nu rulati e-mail-uri de recuperare a cosului de cumparaturi si a checkout-ului fara a avea consimtamantul explicit pentru acestea.

 5. Review-uri de Produs, Intrebari legate de produs sau Comentarii

Multi dintre clientii nostri trimit e-mail-uri dupa cumparare pentru a obtine recenzii despre comenzile si produsele lor. Si, desigur, recenziile pot contine date personale (e-mail / nume / oras)

O buna solutie pentru consimtamantul in formularul de recenzii este sa aveti aceeasi casuta langa formular, care trebuie sa fie debifata inainte de a trimite recenzia.

O alta alternativa este sa permiteti accesul la recenzii numai utilizatorilor conectati.

Aceleasi reguli se aplica formularelor de comentarii.

De facut:

  • asigurati-va ca formularele dvs. de recenzii includ consimtamantul pentru datele personale pe care le soliciti.
  • permiteti acceptarea recenziilor de la utilizatorii conectati.

 6. Formulare de abonare (Colectoare de email, Magneti de Lead-uri)

Formularele de abonare va ajuta sa construiti baza de date a abonatilor, cu cateva rezultate uimitoare. Aceste formulare colecteaza toate informatiile personale, deci trebuie sa respectati regulile GDPR.

Mai intai, trebuie sa eliminati toate optiunile de inscriere automate de pe site-ul dvs.. Toate casutele trebuie sa nu fie bifate in mod implicit (o casuta “bifata” in mod implicit nu poate implica acceptarea).

In plus, daca utilizati un serviciu terta parte pentru a obtine aceste e-mail-uri, asigurati-va ca este compatibil cu GDPR.

Asigurati-va ca actualizati formularele inainte de data de 25 mai.

Deci, pentru a continua sa utilizati aceste formulare de colectare a datelor, utilizatorii trebuie:

  • sa dea acordul explicit
  • sa va ofere doar informatiile solicitate. Nu cereti mai multe date decat aveti nevoie, doar pentru ca dvs. considerati ca va vor fi utile in viitor
  • sa stie cum pot sterge / actualiza / accesa informatiile lor

De facut:

  • verificati toate formularele de inscriere si pastrati-le doar pe cele care respecta regulile
  • daca utilizati un furnizor de solutii tert, asigurati-va ca este compatibil cu GDPR
  • afisati casutele de consimtamant privind Politica de Confidentialitate

7. Formularele de contact

Toate formularele de contact trebuie sa fie compatibile cu GDPR. De asemenea, nu trebuie sa utilizati informatiile personale din aceste formulare pentru a adauga abonati la baza dvs. de date de marketing.

Aceste formulare vor necesita, de asemenea, consimtamantul explicit pentru Politica de Confidentialitate. Daca stocati datele intr-o baza de date sau intr-un sistem CRM, trebuie sa le spuneti utilizatorilor de ce, unde si pentru cat timp stocati datele.

De facut:

  • Adaugati casuta de bifare pentru Politica de Confidentialitate la toate formularele de contact de pe site
  • Daca stocati date cu caracter personal intr-o baza de date si / sau un software CRM sau pentru o solutie de suport, trebuie sa le spuneti utilizatorilor dvs. de ce, unde si pentru cat timp stocati datele.

8. Analytics

Indiferent de solutia de analiza pe care o utilizati (Google Analytics, HotJar, Piwik), colectati date de utilizator si utilizati cookie-uri fara consimtamant. Acelasi lucru este valabil si pentru Google AdWords, pixeli Facebook si alte solutii similare. Trebuie sa va asigurati ca fiecare solutie este compatibila cu GDPR si verificati, de asemenea, Politica de Confidentialitate a fiecarei solutii. Motivul este pentru ca ei colecteaza datele si nu dvs., dar fac asta pentru dvs..

Oricare dintre aceste solutii se numesc procesatoare de date. Potrivit Google Analytics (au trimis un e-mail in aprilie):

  • GDPR necesita atentia si actiunea dvs., chiar daca utilizatorii dvs. nu sunt din Spatiul Economic European (SEE)
  • Acestia au introdus controale de retentie a datelor granulare care va permit sa gestionati cat timp datele si evenimentele utilizatorilor sunt tinute pe serverele lor. Google Analytics va sterge automat datele despre utilizatori si  evenimente care sunt mai vechi decat perioada de pastrare pe care o selectati
  • Inainte de 25 mai, Google Analytics va introduce, de asemenea, un nou instrument de stergere a utilizatorilor, care va permite sa stergeti toate datele asociate unui anumit utilizator (de exemplu, vizitator de site) din proprietatile dvs. Google Analytics
  • GA se angajeaza sa furnizeze functii pentru setarile personalizabile pentru cookie-uri, controalele de confidentialitate, setarile de partajare a datelor, stergerea datelor la stergerea contului si anonimizarea adreselor IP
  • De asemenea, isi actualizeaza politicile ca procesator de date

Puteti gasi aceste informatii in Setari de cont. Pentru toate solutiile pe care le utilizati, asigurati-va ca au o politica de procesare a datelor.

De facut:

  • Utilizati numai software de urmarire de incredere, compatibile cu GDPR
  • Intrebati furnizorii de software despre modul in care gestioneaza respectarea standardelor GDPR
  • Adaugati la politica de confidentialitate cine si cum gestioneaza datele personale colectate de pe site-ul tau

 9. Serviciile tertilor

Serviciile Google Analytics sunt similare cu orice solutie terta parte. De obicei, comerciantii testeaza astfel de solutii iar acelea pe care le incearca trebuie sa fie compatibile si cu GDPR.

Pur si simplu intrebati pe oricine implicat in deciziile de a implementa astfel de solutii (comercianti, dezvoltatori de site-uri web) urmatoarele. Raspunsul ar trebui sa fie da la toate aceste intrebari:

  • Daca ca sunt un serviciu de incredere, cu detalii de contact si tot
  • Daca ca sunt pregatite pentru GDPR
  • Asigurati-va ca adaugati serviciul lor la lista “tertilor” care primesc acces la datele utilizatorului in Politica de Confidentialitate

Exista cazuri in care astfel de informatii sunt transmise prin intermediul serverului prin API. Din punct de vedere tehnic, urmarirea este diferita, dar din perspectiva GDPR, aceleasi reguli se aplica: transferi datele catre un serviciu extern, Procesator de date care trebuie sa respecte regulile.

De facut:

  • Intreaba despre compatibilitatea GDPR la fiecare serviciu terta parte
  • Selecteaza numai pluginurile compatibile cu GDPR
  • Adaugati-le numele pe pagina ta de Politica de Confidentialitate

 10. Abonati existenti

Speram ca aveti deja o baza de date a abonatilor, pe care ati construit-o dvs.. (Daca ati cumparat vreodata o astfel de lista, eliminati toate e-mailurile si sa nu mai faceti asta niciodata).

O lista de e-mai-luri are o valoare foarte mare, dar trebuie sa obtineti din nou consimtamantul pentru a va asigura ca nu aveti alte probleme in viitor. Dupa cum stim cu totii, astfel de liste sunt construite din diverse surse:

  • ati adaugat automat toti clientii, indiferent de optiunea lor de a fi abonati sau nu la lista de marketing
  • e-mail-urile provenite de la formulare de contact, recenzii de produse sau formulare offline
  • noi utilizatori, care incercau doar sa vada produsele.

Trebuie sa obtineti un consimtamant clar din partea tuturor acestor utilizatori si apoi puteti continua sa le trimiteti emailuri incepand cu data de 25 mai, asa cum faceati pana acum. Am putea paria ca ati avut o declaratie de declinare a raspunderii in subsolul e-mailului: “Ati primit acest e-mail deoarece ati introdusi adresa dvs. de e-mail intr-unul din formularele noastre sau a fost gasita pe un site public”. Aceste disclaimere au 0 valoare si nu vor ajuta deloc.

De facut:

  • cereti consimtamant intregii baze de date. Trimiteti un e-mail cu un buton de abonare: cei care dau click pe acesta vor deveni noii abonati, iar ceilalti care nu fac nimic vor fi eliminati.

Puteti repeta procesul de cateva ori, dar nu de foarte multe ori, pentru a recupera cat mai multi abonati.

 11. Notificari de vulnerabilitate

In conformitate cu noile reguli, in cazul in care sistemul dvs. inregistreaza o incalcare a datelor, trebuie sa comunicati imediat acelor utilizatori afectati de incalcare. Trebuie trimisa o notificare in termen de 72 de ore.

O incalcare este o diseminare a datelor dvs. colectate catre orice parte, fara consimtamantul tau:

  • un procesator de date sau un subcontractant neautorizat
  • un organism necompatibil cu GDPR
  • o terta parte fara cunostinta persoanei vizate
  • un hacker

Pe langa aceasta, trebuie sa aveti pregatit un plan de raspuns si o procedura de urgenta la incalcarea datelor. Faceti lucrurile publice pe blogul dvs., site-ul web, profilurile de pe retele sociale si de asemenea, informati despre modul in care intentionati sa recuperati datele pierdute, sa le securizati si sa nu se mai repete in viitor.

De facut:

  • Asigurati-va magazinul de comert electronic. Folositi parole puternice, dati acces la servere numai anumitor persoane
  • Abonati-va la toti furnizorii de software / furnizori de aplicatii terta parte, astfel incat sa puteti afla de indata ce apare o incalcare a datelor care afecteaza utilizatorii;
  • Reduceti cantitatea de date stocate
  • Creati un plan de urgenta in caz de incalcare al datelor.

Un numar corect de pasi se refera la intelegerea datelor personale pe care le detineti, unde sunt, cine are acces si ce riscuri se concentreaza in jurul acestor date, in special asupra oricaror date sensibile pe care le puteti avea si cum puteti asigura ca aceste riscuri sa fie reduse la minim. Trebuie sa va asigurati ca sunteti clari cu privire la baza legala pe care o desfasurati in procesarea si comunicarea tuturor datelor cu caracter personal, indiferent daca este vorba de consimtamant, interes legitim, obligatii contractuale, alte obligatii legale sau pentru a proteja interesele vitale ale persoanei vizate.

GDPR este, de asemenea, preocupat sa se asigure ca toti clientii dvs. sunt pe deplin informati cu privire la drepturile lor si la modul in care le comunicati aceste informatii, cu declaratii adecvate de protectie a datelor in forma scurta si formulare de confidentialitate. Printre altele, oamenii au dreptul de a accesa informatiile, de a le corecta, de a-si schimba usor preferintele consimtamantului si de a fi uitati. Pentru anumite sectoare (cum ar fi utilitatile), portabilitatea datelor va constitui o preocupare deosebita.

Pe scurt si pe intelesul tuturor, aspectele pe care trebuie sa le implementati sunt:

  • Termeni si conditii (pagina de checkout)
  • Politica de confidentialitate (pagina de checkout)
  • Inregistrarea contului de utilizator (pagina Contul meu)
  • Abandonarea cosurilor (pagina de checkout)
  • Review-uri de produs / intrebari despre produse sau comentarii (pagina de produs)
  • Formulare de abonare (Newsletter, magneti de leads, etc)
  • Formulare de contact (pagina de Contact, widget-uri etc.)
  • Google Analytics (Google Analytics, urmarirea ecranului etc.)
  • Servicii terte (plati, marketing prin e-mail, remarketing, retargetare, notificari push, LiveChat etc.)
  • Notificari privind incalcarea

Vreti sa stiti mai multe?

Nu pretindem ca noi le stim pe toate, dar pentru a aprofunda acest subiect, va lasam link-urile cu informatiile complete si recomandam sa le cititi:

– Regulamentul complet, are 88 de pagini si 99 de articole.

– GDPR UE este o pagina plina cu informatii despre regulament, detaliaza tot ce trebuie sa stiti.

Ce nu vei mai putea face?

Sa trimiteti e-mailuri nesolicitate

Sa nu mai achizitionati si folositi liste de e-mailuri

Sa trimiteti e-mail-uri/sms-uri cu exceptia cazului in care vizitatorul a dat consimtamantul (e-mail-uri de bun venit, abandonarea cosului …)

Sa faci ceva ilegal (cum ar fi vanzarea de informatii) cu datele utilizatorului.

Acest articol nu reprezinta consiliere juridica, dar te poate ajuta sa intelegi si sa respecti regulile GDPR. Asigurati-va ca utilizati numai solutii compatibile cu GDPR.

Leave a Reply