GDPR magazin online: un ghid complet 2024

  • 50 minute citit
gdpr

GDPR magazin online este un ghid complet gratuit care acoperă aspectele cheie despre care ar trebui să fie informați toți cei care lucrează în comerțul electronic sau la periferia comerțului electronic și a marketingului digital, în legătură cu Regulamentul general privind protecția datelor.

Acest ghid GDPR își propune să umple golul dintre aceste extreme și își propune să acopere domenii specifice companiilor de comerț electronic (cu toate că este util pentru majoritatea cititorilor).

Acest ghid GDPR este gratuit!

Agențiile cer bani pentru o astfel de consultanță cuprinzătoare!

Te rog să distribui link-ul aceastui articol (pe Facebook, LinkedIn, pe site-ul tău sau prin e-mail), dacă îl găsești util.

Așadar, vom parcurge împreună acest ghid GDPR, folosind termeni comuni, termeni pe care să-i înțelegem cu ușurință!

Introducere

Acest ghid își propune să ajute oice propietar de magazin online să înțeleagă una dintre cele mai importante, dar și cele mai confuze cerințe legale care au intrat în vigoare de când comerțul cu amănuntul online a luat avânt: GDPR, "Regulamentul general privind protecția datelor".

Probabil ai citit unele dintre detaliile GDPR (a fost greu să nu le observi deoarece toți erau speriați): Faptul că se aplică oricărei companii care se ocupă de orice date legate de clienți din UE; nivelul maxim al amenzilor de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală ("oricare dintre acestea este mai mare") pentru companiile care încalcă regulamentul.

Este posibil să fi citit, de asemenea, ghiduri generale privind GDPR. În plus, foarte mulți oportuniști profită de această lege penru a-ți lua banii din buzunar!

În timp ce ghidurile generale tind să acopere toate domeniile GDPR la un nivel ridicat, acest ghid își propune să preia cele mai importante elemente ale regulamentului pentru comerț electronic (magazine online), oferindu-vă o imagine de ansamblu și o înțelegere a modului în care acesta se raportează la afacerea ta și la responsabilitățile pe care tu le ai.

Cea mai mare parte a literaturii legate de GDPR tinde să se încadreze în una dintre cele două categorii:

  • articole scurte de blog, infografice etc.
  • granular - textul regulamentului în sine.

Acest ghid GDPR își propune să umple golul dintre aceste extreme și, deși ar fi util pentru majoritatea cititorilor, își propune să acopere domenii mai specifice companiilor de comerț electronic. Dacă deții un magazin online, este în mod special pentru tine!

Dacă nu ai încă un magazin online, crearea magazinului online este o adiere de vânt cu Sellfy - toată infrastructura GDPR este deja integrată!

→   Dropshipping: tot ce trebuie să știi despre dropshipping în 2024

Despre Sellfy

Sellfy este o platformă SAAS de comerț online care-ți pune la dispoziție crearea unui magazin online premium.

Pe lângă faptul că Sellfy îți oferă un magazin online de calitate, oferă și ghiduri/tutoriale care să te ajute pas cu pas în aventura comerțului electronic, să ai o afacere de succes - până la urmă, profitul este unicul motiv pentru existența unei afaceri.

Platforma Sellfy a fost proiectată și construită de către seniori cu 20 ani experiență în domeniu! Toate ghidurile/tutoriale oferite sunt de fapt o vastă acumulare de experiență - ele sunt modificate constant pentru a fi aduse la zi (multe lucruri se schimbă extrem de des, în domeniul tehnologic).

→   eCommerce: ce este și cum îl pot înțelege în 2024?

Ce este GDPR?

În ciuda unei mari acoperiri mediatice, există încă un nivel foarte scăzut de cunoștințe cu privire la ceea ce este în mod foarte specific GDPR și de unde a apărut.

Pe scurt: GDPR este o actualizare și o revizuire completă a regimului existent de protecție a datelor din UE. Adică o actualizare a lucrărilor anterioare, nu ceva complet nou - care datează din anul 1995.

Prevederile GDPR afectează țările UE și orice întreprindere care vinde către o țară din UE.

Chiar și în Martea Britanie, singurul punct unic de certitudine juridică este GDPR - acesta se va aplica chiar și acum, când nu mai este în Uniunea Europeană.

În 25 mai 2018, Regulamentul general privind protecția datelor (GDPR) al UE, succesorul Legii privind protecția datelor, a devenit aplicabil în întreaga Europă.

Noile reguli GDPR

Pentru afacerile de comerț electronic, noile norme vor însemna un nou set de reguli de urmat, care vor afecta în principal următoarele patru practici legate de date:

  1. datele clienților pe care le colectezi
  2. modalitățile de utilizare a datelor colectate
  3. modul în care sunt stocte datele colectate
  4. modalitățile de partajare a datelor colectate

Legea privind protecția datelor, GDPR și "datele cu caracter personal"

GDPR înlocuiește regimul existent de protecție a datelor - Directiva UE privind protecția datelor din 1995.

Deși de atunci au existat multe modificări în domenii specifice ale legislației privind datele, GDPR este de departe cea mai semnificativă actualizare după Directiva privind protecția datelor, care are acum peste 20 de ani.

Date cu caracter personal

GDPR, precum și principiile UE privind protecția datelor și a vieții private în general, se referă la ceea ce ei (și noi) numesc "date cu caracter personal".

Datele cu caracter personal, în scopurile noastre (magazin online), înseamnă informații despre o persoană în viață care ar putea fi identificată pe baza acestor date, fie ca atare, fie atunci când sunt combinate cu alte informații.

GDPR definește oficial datele cu caracter personal ca fiind: orice informație referitoare la o persoană fizică identificată sau identificabilă.

Pentru o companie de Ecommerce, este probabil ca acest lucru să însemne următoarele: Evidența clienților tăi, informațiile colectate în legătură cu potențialii clienți identificabili și datele pe care oamenii le generează folosind sau accesând site-urile, aplicațiile și alte servicii - acestea sunt date cu caracter personal.

Merită să știi că - în termenii GDPR - "datele cu caracter personal" sunt mai largi decât pot autodefini unele companii.

De exemplu, sunt menționate în mod specific adresele IP, precum și identificatorii Cookie:

Persoanele fizice pot fi asociate cu identificatori online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adrese de protocol internet, identificatori de cookie-uri sau alți identificatori, cum ar fi etichete de identificare prin radiofrecvență.

Acest lucru poate lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru a crea profiluri ale persoanelor fizice și pentru a le identifica.

Ca răspuns la această situație, de exemplu Google, a elaborat o "politică de consimțământ a utilizatorilor din UE" prin care notifică agenții de publicitate că trebuie să obțină consimțământul pentru "colectarea, partajarea și utilizarea datelor cu caracter personal pentru personalizarea anunțurilor".

În altă parte, Google definește publicitatea personalizată ca fiind: caracteristici de direcționare, inclusiv remarketing, audiențe de afinitate, audiențe de afinitate personalizate, audiențe pe piață, audiențe similare, direcționare demografică și de locație și direcționare contextuală prin cuvinte cheie.

Date personale sensibile

Pe lângă datele cu caracter personal, există și date personale sensibile, care sunt definite ca fiind orice informații referitoare la viața unei persoane:

  • Apartenența la un sindicat
  • Opiniile politice
  • Condamnări penale anterioare sau anterioare
  • Viața sexuală sau orientarea sexuală
  • Convingerile religioase sau filozofice
  • Originea rasială sau etnică
  • Date privind sănătatea

Datele cu caracter personal sensibile necesită o conservare mai strictă, iar pierderea sau încălcarea acestor date atrage, pe bună dreptate, pedepse mai severe.

Tipuri extinse de date cu caracter personal

GDPR extinde definiția datelor cu caracter personal de la standardul din 1995 pentru a include datele personale ale unei persoane:

  • Datele genetice
  • Date biometrice
  • Date de localizare
  • Identificatori online

Prelucrarea datelor cu caracter personal sensibile trebuie să îndeplinească cel puțin una dintre următoarele condiții:

  • Consimțământul explicit al persoanei vizate;
  • Persoana vizată a făcut publice în mod expres informațiile sale (de exemplu, un blog politic);
  • Datele sunt necesare în scopuri religioase sau sindicale;
  • Datele sunt necesare pentru ocuparea forței de muncă, protecția socială, o cerere în justiție sau un interes public similar;
  • Anumite motive de sănătate;
  • Anumite motive de arhivare.

Principiile de protecție a datelor din 1995 au stabilit că datele cu caracter personal trebuie să fie:

  • Prelucrate într-un mod corect și legal;
  • Utilizate numai în modul în care au fost destinate a fi utilizate;
  • Prelucrate într-un mod adecvat, relevant și nu excesiv;
  • Exacte și actualizate;
  • Nu sunt păstrate pentru o perioadă mai lungă decât cea pentru care au fost destinate;
  • Prelucrate în conformitate cu drepturile persoanelor despre care se referă datele;
  • Protejate prin măsuri de securitate tehnice și organizaționale;
  • Nu sunt transferate în țări terțe din afara UE care nu garantează o măsură adecvată de protecție a datelor.

GDPR continuă aceste principii, le extinde și adaugă responsabilități suplimentare.

Cine este afectat de GDPR?

Dacă îți desfășori activitatea pe continentul european (și/sau în Marea Britanie), GDPR și cerințele sale se aplică ție și activității tale. Deci România nu scapă sub nicio formă!

De exemplu, chiar dacă afacerea ta este localizată geografic în Statele Unite, dar oferi funcționalități de comerț electronic clienților din Marea Britanie sau din Uniunea Europeană, GDPR se aplică acelor elemente ale afacerii tale.

Legislația privind protecția datelor se aplică tuturor datelor cu caracter personal despre persoanele fizice colectate sau prelucrate în Europa, indiferent de naționalitatea sau cetățenia acestor persoane.

Se aplică indiferent dacă datele sunt pe suport de hârtie sau stocate electronic.

De asemenea, legea privind protecția datelor se aplică în toate sectoarele, industriile și situațiile.

Nu există o dimensiune minimă pe care trebuie să o aibă o afacere pentru ca legea să se aplice; comercianții individuali trebuie să lucreze la fel ca marile corporații.

GDPR este precum legea gravitației - nimeni și nimic nu scapă! Trebuie să fie clar!

În perioada premergătoare GDPR, multe grupuri industriale și organisme comerciale elaborează instrucțiuni de orientare pentru membrii lor, care depășesc nivelul de bază impus de legislație.

Dacă aparții unei industrii organizate, va trebuie să verifici cu organismul industrial.

GDPR și Marea Britanie (după Brexit)

Dacă ai activități comerciale în Mare Britanie (sau plănuiești), aceste detalii sunt cu siguranță pentru tine!

Am discutat deja despre faptul că după Brexit, GDPR va rămâne legea și standardul de atins pentru cel puțin câțiva ani de acum încolo în UE. Întrebarea care urmează este ce se întâmplă cu legislația privind protecția datelor în Marea Britanie în anii de după Brexit?

În septembrie 2017, Parlamentul a început să redacteze un proiect de lege privind protecția datelor, care ar putea constitui puntea de legătură între GDPR și orice regim viitor de confidențialitate.

După cum s-a detaliat în discursul reginei din 2017, proiectul de lege ar urma "să asigure că cadrul nostru de protecție a datelor este adecvat pentru noua noastră eră digitală și să consolideze poziția Regatului Unit în fruntea inovației tehnologice, a schimbului internațional de date și a protecției datelor cu caracter personal".

Aceasta, desigur, este o interpretare. În realitate, la momentul redactării acestui articol, propunerile sunt foarte apropiate de ceea ce Marea Britanie primea oricum în cadrul GDPR al UE, ambalate ca fiind ideea proprie a guvernului.

În practică, activitatea efectivă va fi un pic mai încurcată decât atât.

Pentru comerțul electronic este imperativ ca orice regim de protecție a datelor din Marea Britanie să rămână pe deplin echivalent cu standardele europene de protecție a datelor.

Fără echivalență, cele mai elementare fluxuri de date vor deveni litigioase, greoaie și costisitoare.

Profesioniștii din domeniul comerțului electronic trebuie să fie pregătiți pentru a face cunoscute nevoile industriei noastre guvernului în anii următori.

GDPR pentru comerțul electronic: 11 domenii cheie și liste de verificare

GDPR este un subiect enorm.

Acest ghid nu este în niciun caz exhaustiv și nici nu reprezintă un sfat juridic.

În calitate de profesionist în domeniul comerțului electronic sau de persoană care dorește să înțeleagă cerințele impuse întreprinderilor de comerț electronic în temeiul GDPR, acesta este conceput pentru a-ți oferi mijloacele de a identifica aspectele cheie pe care trebuie să le abordezi sau să te asiguri că le-ai abordat.

11 domenii-cheie

Cele 11 domenii-cheie pe care le-am extras sunt următoarele:

  1. Conștientizarea
  2. Notificări de confidențialitate
  3. Drepturi individuale
  4. Cereri de acces
  5. Colectarea datelor - informațiile pe care le deții
  6. Consimțământul și temeiurile juridice
  7. Afacerile de comerț electronic care se ocupă de copii
  8. Securitatea datelor
  9. Aspecte internaționale și Scutul de confidențialitate
  10. "Privacy by Design" și "Protecția datelor în mod implicit"
  11. Responsabili cu protecția datelor

Fiecare domeniu oferă o prezentare generală a GDPR în ceea ce privește companiile de comerț electronic (magazinele online), urmată de o listă de verificare a "Întrebărilor cheie" care trebuie adresate pentru a informa conformitatea organizației tale.

Cele 11 domenii cheie GDPR

Așadar, tocmai am enumerat cele 11 domenii cheie de interes din GDPR, acum este momentul să le luăm pe rând!

1. GDPR: Conștientizarea

Cel mai elementar pas implicat în respectarea GDPR este conștientizarea regulamentului și a ceea ce va însemna acesta pentru afacerea ta.

Simplul fapt că citești aceste rânduri te-a pus deja într-un avantaj.

Poți crea o cultură sănătoasă a respectului pentru protecția datelor și a vieții private, făcându-i pe toți cei cu care lucrezi să fie conștienți de modul în care se schimbă legea și de modul în care aceste schimbări vor avea un impact pozitiv asupra activității tale.

Acest lucru include persoanele cu care lucrezi în cadrul afacerii tale, precum și terții contractanți și furnizorii de servicii.

La nivel intern, elaborând un plan de conștientizare și implementare a GDPR pentru toți cei din echipa cu care lucrezi, de la conducerea superioară la dezvoltatorii de software.

Asigură-te că toată lumea înțelege exact ceea ce reia GDPR de la vechea Lege privind protecția datelor și ce cerințe sunt noi.

Conștientizarea nu are scurtături, așa că ar trebui să aloci resurse umane și tehnice adecvate procesului.

O abordare temeinică a implementării ar implica rapoarte periodice cu privire la progresele înregistrate de tine către conducerea superioară și consiliul de administrație, cu așteptarea ca aceștia să asigure un control sănătos și să te împingă pe tot parcursul procesului.

Pe plan extern, ar trebui să discuți cu contractanții, partenerii și furnizorii tăi despre propriile lor planuri GDPR, de asemenea, în special dacă relația voastră de afaceri implică schimbul de date.

În conformitate cu GDPR, în cazul unei probleme de reglementare, fiecare operator sau persoană împuternicită de operator este considerată responsabilă pentru întregul prejudiciu.

Asta înseamnă că o conformitate completă din partea ta, dar o conformitate incompletă din partea unei părți care-ți gestionează datele, se va răsfrânge tot asupra ta.

Pentru comercianții cu amănuntul, acest lucru are o mulțime de ramificații.

Platforma de marketing prin e-mail conține datele cu caracter personal ale clienților tăi, adesea furnizorii de tehnologie de remarketing vor conține acest lucru, furnizorul tău penru servicii de CRM probabil stochează datele cu caracter personal ale clienților tăi, dacă utilizezi o platformă de comerț electronic bazată pe cloud, furnizorul de cloud (desigur) înregistrează datele cu caracter personal ale clienților în numele tău (Sellfy.ro se încadrează în această categorie).

Este foarte posibil să se întâmple ca respectarea normelor să te oblige să renegociezi unele contracte, să vă modifici schimburile de date și să renegociezi acordurile de servicii.

În cazul în care există un caz de rezistență categorică la conformitate din partea, de exemplu, a furnizorilor de servicii din afara UE care refuză să recunoască faptul că GDPR li se aplică, trebuie să pui capăt relației comerciale și să cauți un nou furnizor de servicii.

Conștientizare: 6 întrebări cheie pe care trebuie să le pui

  1. Înțelegeți ce continuă GDPR față de vechea Lege privind protecția datelor și ce este nou?
  2. Sunteți încrezător că sunteți în conformitate cu actuala Lege privind protecția datelor?
  3. Ați conceput un plan de conștientizare și implementare a GDPR pentru toți angajații, de la conducerea superioară la personalul de linie?
  4. Furnizați consiliului de administrație actualizări periodice cu privire la progresul implementării GDPR?
  5. Ați alocat resurse umane și tehnice adecvate pentru implementarea GDPR?
  6. Ați discutat cu contractanții și furnizorii dvs. despre propriile planuri de implementare a GDPR?

 

2. GDPR: Notificări de confidențialitate

În cadrul regimului anterior de protecție a datelor, politicile de confidențialitate au devenit lungi, leneșe și legaliste.

Principalii lor beneficiari erau adesea avocații care cereau mii de euro pentru a le crea după modele, iar rezultatele finale rareori aveau o relevanță strânsă pentru site sau pentru problemele de confidențialitate din cadrul acestuia.

O litanie de probleme (precum o lungă liturghie bisericească, mai xact) legate de confidențialitate pe site-urile care aveau politici de confidențialitate mai lungi decât un roman.

GDPR urmărește să recupereze notificările de confidențialitate ca fiind dialoguri concise, transparente și inteligibile cu utilizatorii tăi.

Acestea reprezintă fața publică a mișcării GDPR către consimțământul granular și împuternicirea utilizatorilor.

A deveni un client sau a adopta un serviciu nu mai este un mijloc pentru comercianți de a atinge alte scopuri.

Exprimare simplă; Informații deschise

Notificările de confidențialitate ale afacerii tale de comerț electronic trebuie să fie redactate într-o exprimare simplă, astfel încât să înțeleagă oricine. Într-un final, lumea a înțeles că exprimarea academică nu este de folos nimănui (nici măcar academicienilor - oricâ de hilar ar suna).

Aceste notificări de confidențialitate trebuie să conțină anumite tipuri de informații într-un format simplu și curat. Și tot ceea ce faci cu datele utilizatorilor tăi - absolut totul - trebuie să iasă la iveală:

  • Ce faci cu datele?
  • De ce le colectezi?
  • Care este consimțământul tău sau temeiul juridic pentru a deține datele?
  • Cu cine le partajezi?
  • Unde sunt stocate?
  • Transferi datele în afara UE?
  • Cum poate un utilizator să își invoce drepturile individuale?

Aici intervine, de asemenea, designul.

Notificările privind confidențialitatea ar trebui să fie prezentate într-un mod atractiv, de preferință un tabel cu pictograme. (Multe autorități europene de reglementare în materie de protecție a datelor elaborează modele standardizate care urmează să fie adoptate).

Notificări de confidențialitate și terți

În mod esențial pentru comerțul electronic, notificările de confidențialitate trebuie să enumere toate părțile terțe care primesc datele și ce fac acestea cu ele.

Detaliile din notificarea de confidențialitate privind furnizorii terți trebuie să precizeze clar care servicii sunt esențiale (de exemplu, procesatorii de plăți) și care sunt în scopuri de analiză, publicitate și marketing.

O dezvoltare responsabilă ar include linkuri către politica de confidențialitate proprie a fiecărei părți terțe în cadrul declarației de confidențialitate, oferind utilizatorilor un mijloc de a renunța la urmărirea individuală la sursă.

Este esențial să analizezi notificările publice de confidențialitate ale furnizorilor de servicii, în special ale celor care primesc sau utilizează datele.

Reține furnizorii care nu și-au actualizat notificările la noul format; ia aminte la furnizorii care nu o vor face.

Notificări privind confidențialitatea: întrebări esențiale

Ai revizuit notificările de confidențialitate de pe site-urile web, aplicațiile și serviciile online, precum și orice documentație tipărită pe care o afișezi la evenimente, pentru a verifica dacă sunt actuale, exacte și conforme cu orientările din 2018 (nu din 2008)?

Să te asiguri că notificările de confidențialitate sunt:

  1. Redactate într-o exprimare simplă, fără "limbaj juridic";
  2. Descompuse în propoziții clare și paragrafe scurte;
  3. Oferă o descriere sinceră a datelor colectate, a modului în care sunt prelucrate datele, a modului în care sunt utilizate datele, cu cine sunt partajate datele și care sunt drepturile utilizatorului;
  4. În cazul în care nu se bazează pe consimțământ, notificările de confidențialitate explică baza legală pentru prelucrarea datelor utilizatorului?
  5. Anunțurile de confidențialitate enumeră toți partenerii terți și furnizorii de servicii cu care partajezi date și menționează care sunt datele respective și cum sunt utilizate?
  6. Informezi utilizatorii despre drepturile lor, inclusiv despre persoanele pe care le pot contacta pentru o cerere de acces și despre modul în care pot depune o plângere la o autoritate de reglementare (în Marea Britanie: ICO) dacă consideră că nu le respecți datele?
  7. Oferi înștiințări care să ofere opțiuni granulare clare pentru consimțământ, drepturi individuale și cereri de acces?
  8. Oferi înștiințări clare cu privire la datele de contact ale companiei, ale punctului de contact pentru cererile de acces și ale responsabilului cu protecția datelor, dacă este cazul?
  9. Ai separat standardele de confidențialitate de termenii și condițiile generale, în special pe site-urile și aplicațiile tale web?

3. GDPR: Drepturi individuale

În conformitate cu GDPR, drepturile pe care le au persoanele fizice în ceea ce privește colectarea și prelucrarea datelor lor cu caracter personal sunt mult extinse.

Pentru afacerea ta online, acest lucru înseamnă să respectați aceste drepturi, să le implementezi în structurile de planificare și să fii pregătit să răspunzi invocării acestor drepturi într-un mod deschis și rapid.

Printre drepturile pe care le au persoanele fizice asupra datelor lor se numără:

  • Dreptul de a fi informat cu privire la ceea ce faci cu datele prin intermediul notificărilor de confidențialitate, așa cum am discutat anterior;
  • Dreptul utilizatorilor de a accesa o copie a datelor pe care le deții despre ei;
  • Dreptul de a corecta orice date eronate pe care le deții;
  • Dreptul la ștergere, adică dreptul de a solicita să ștergi anumite tipuri de date pe care le deții, cunoscut în mod obișnuit sub numele de "dreptul de a fi uitat";
  • Dreptul de a restricționa prelucrarea, sau dreptul de a cere să nu mai utilizezi datele lor în anumite moduri;
  • Dreptul la portabilitatea datelor, sau dreptul de a duce datele pe care le deții despre ei la un alt furnizor de servicii;
  • Dreptul de a se opune ca tu să le utilizezi datele; și
  • Drepturile lor în ceea ce privește luarea automată a deciziilor și crearea de profiluri, inclusiv datele pe care le utilizezi sau le segmentezi în scopuri de publicitate, marketing și analiză comportamentală.

Pentru afacerile de comerț electronic, este foarte probabil ca ultima cerință să aibă cel mai mare impact.

Utilizatorii se pot opune ca datele lor să fie partajate cu agenții de marketing.

De asemenea, aceștia se pot opune transmiterii datelor în scopuri de profilare.

Notificările de confidențialitate ar trebui să includă informații privind modul în care utilizatorii pot invoca aceste drepturi asupra datelor lor, iar întreprinderea ar trebui să dispună de mecanismele necesare pentru a realiza acest lucru.

Este esențial să reții că aceste drepturi sunt granulare.

De exemplu, un client se poate opune ca datele sale să fie transmise unor terțe părți în scopuri publicitare.

Drepturile individuale: întrebări esențiale

  1. Ai revizuit dispozițiile actuale privind respectarea drepturilor individuale?
  2. Ai revizuit modul în care faci public drepturile individuale în avizele de confidențialitate?
  3. Ai stabilit ce date pe care le deții ar putea face obiectul acestor drepturi?
  4. Ai capacitățile tehnice necesare pentru a produce o copie electronică a datelor pe care le deții despre un utilizator?
  5. Dacă este cazul, produsul sau serviciul are capacitatea tehnică de a asigura portabilitatea datelor?
  6. Ai disociat drepturile individuale asupra datelor utilizate pentru luarea automată a deciziilor și crearea de profiluri de datele care sunt strict necesare pentru furnizarea serviciilor?
  7. Ești conștient de faptul că nu poți percepe de la utilizatori nicio taxă administrativă pentru invocarea acestor drepturi sau niciun cost pentru timpul de care ai nevoie pentru a le îndeplini?

4. GDPR: Cereri de acces

Am vorbit deja despre drepturile sporite pe care clienții le au asupra datelor lor în conformitate cu GDPR.

Cel mai simplu mod în care aceștia pot invoca aceste drepturi se numește "cerere de acces la datele cu caracter personal". (În cazul unui magazin online, aceste date există deja în contul clientului (date personale, datele comenzilor, etc)).

Aceasta este o solicitare făcută de o persoană ale cărei date le deții sau le procesezi, prezentată în orice format, pentru ca tu să îi furnizezi.

1. Confirmarea faptului că îi prelucrați datele;

2. o copie a datelor cu caracter personal pe care le deții în ceea ce le privește;

3. Orice alte informații pe care le deții despre persoana în cauză, inclusiv datele pe care le-ai transmis unor terțe părți și pe ce bază ai făcut acest lucru.

O solicitare de acces este primul pas al unui utilizator pentru a invoca celelalte drepturi individuale pe care le are asupra datelor sale.

Procesul de solicitare a accesului subiectului ar trebui să fie explicat în mod clar în notificările de confidențialitate, pe care le vom discuta mai jos.

Afacerea trebuie să răspundă la o cerere de acces în cauză în termen de o lună de la primirea acesteia.

Deoarece o cerere de acces este o invocare a drepturilor fundamentale, nu poți percepe persoanelor fizice o taxă administrativă sau o suprataxă pentru exercitarea acestui drept.

Cereri de acces: întrebări esențiale

  1. Ai creat un proces de solicitare a accesului la subiect?
  2. Procesul de solicitare a accesului la subiect este detaliat în notificările de confidențialitate?
  3. Procesul intern de solicitare a accesului la informații este documentat într-un mod care să întrunească aprobarea autorității tale de reglementare în domeniul protecției datelor?
  4. Ai un punct de contact central pentru gestionarea cererilor de acces în cauză?
  5. Cum sunt contabilizate cererile de acces? Cine este informat cu privire la primirea, evoluția și finalizarea acestora?
  6. Dispui de capacitatea tehnică și de personal pentru a răspunde la cererile de acces în termen de 30 de zile?
  7. Sistemele sunt echipate pentru a genera datele solicitate în cadrul unei cereri de acces?
  8. Se asigură documentația că nicio utilizare a datelor nu va fi trecută cu vederea atunci când răspundeți la o cerere de acces?
  9. Subcontractanții și partenerii terți dispun de un proces documentat și vizibil de solicitare a accesului persoanei vizate?

5. GDPR: Colectarea datelor - informațiile pe care le deții

Cel mai important pas în vederea respectării GDPR este să fii în permanență conștient de datele cu caracter personal pe care le deține afacerea, de ce le colectezi, unde sunt stocate și cu cine le împărtăsești.

Ar trebui să audiezi toate activitățile de colectare și prelucrare a datelor pe care le desfășori în cadrul afacerii.

Este foarte probabil ca procesul de realizare a acestui audit să identifice activitățile pe care nu le mai faci, prelucrările pe care nu le mai efectuezi și informațiile de care nu mai ai nevoie.

Acest proces - primul pas spre minimizarea și ștergerea datelor - reprezintă, de asemenea, o schimbare de etapă în cadrul GDPR.

Acest audit ar trebui să includă datele pe care le primești și le procesezi de la furnizori terți.

Chiar dacă datele trec prin tine doar în tranzit, ai responsabilitatea de a ști despre ce este vorba și cum le protejezi.

Pentru majoritatea afacerilor de comerț online, colectarea și prelucrarea datelor este regulată, include date personale sensibile sau ar putea amenința drepturile și libertățile persoanelor.

Din aceste motive, auditul datelor pe care le deții ar trebui să includă o înregistrare completă a tuturor activităților de colectare și prelucrare a datelor, inclusiv:

  • Scopurile pentru care colectezi și/sau prelucrezi date cu caracter personal;
  • O descriere a categoriilor de persoane despre care prelucrezi date;
  • O descriere a categoriilor de date pe care le prelucrezi;
  • O descriere a destinatarilor datelor cu caracter personal pe care le transferi în afara organizației tale;
  • O descriere a transferurilor internaționale (din afara UE) de date cu caracter personal, inclusiv a garanțiilor care sunt puse în aplicare;
  • Orice evaluare a impactului asupra protecției datelor pe care ai efectuat-o;
  • O descriere a procedurilor de păstrare a datelor, cum ar fi locul în care sunt stocate datele, cât timp este păstrată fiecare categorie de date, când sunt șterse datele și cum se verifică ștergerea;
  • O descriere a măsurilor tehnice de securitate pe care le-ai luat;
  • O descriere a măsurilor de securitate organizaționale pe care le-ai luat, inclusiv formarea personalului și documentația privind resursele umane; și
  • O evidență a politicilor pe care le-ai pus în aplicare pentru a face față unei încălcări a securității datelor, inclusiv mecanismele de raportare internă și structurile de contact.

Colectarea datelor: întrebări esențiale

  1. Ai efectuat un audit al informațiilor pe care le deții online?
  2. Ai efectuat un audit al informațiilor pe care le deții offline?
  3. Ai efectuat un audit al modului în care sunt păstrate, reutilizate și partajate informațiile?
  4. Ai efectuat un audit cu privire la datele pe care le trimiți unor terțe părți?
  5. Ai efectuat un audit al datelor pe care le deții de la terțe părți?
  6. Ai revizuit modul în care partenerii și furnizorii terți verifică, clasifică și inventariază datele pe care le partajezi cu ei?

6. GDPR: Consimțământul și temeiurile juridice

Consimțământul este unul dintre cele mai prost înțelese și raportate principii ale GDPR.

Noile cerințe nu sunt atât de rele pe cât ar vrea să creadă cei care le resping.

Cu toate acestea, noile reguli cer într-adevăr o mai mare atenție și o mai mare documentare din partea afacerii tale.

În conformitate cu GDPR, în majoritatea circumstanțelor, colectarea și prelucrarea datelor pe care le efectuezi trebuie să se facă cu consimțământul persoanelor despre care este vorba (vizitatori, clienți).

În cazul în care consimțământul nu este baza, utilizarea datelor trebuie să se bazeze pe o justificare legală.

Mecanismele de consimțământ și temeiurile juridice pe care le utilizezi pentru a colecta și prelucra date trebuie să fie clare, documentate și verificabile.

Procesele de consimțământ trebuie să fie:

  • Active: consimțământul este dat în mod liber, specific și lipsit de ambiguitate;
  • Consimțământul activ trebuie să fie, de asemenea, pozitiv, ceea ce înseamnă că nu ați prezumat consimțământul dintr-o căsuță bifată în prealabil, din inactivitate sau din faptul că nu ați selectat nicio opțiune;
  • Confidențialitatea trebuie să fie prezentată sub forma unor opțiuni multiple granulare, și nu ca o dihotomie de tip "alb-negru", de tipul "ori una, ori alta";
  • Separat: utilizatorii nu pot fi forțați să își dea consimțământul pentru un lucru pentru a primi altul;
  • Numiți: utilizatorul trebuie să fie informat cu privire la toate părțile terțe specifice care vor primi datele sale și de ce le vor primi;
  • Fără dezechilibru în relație: consimțământul nu trebuie să creeze o relație inechitabilă între utilizator și persoana împuternicită de către operator;
  • Verificabil și documentat: trebuie să poți dovedi cine și-a dat consimțământul, cum a fost dat consimțământul, ce informații i-au fost furnizate, cu ce a fost de acord, când și-a dat consimțământul și dacă utilizatorul și-a retras sau nu consimțământul.

Procesele de consimțământ trebuie să includă consimțământul separat pentru publicitate, urmărire și marketing.

Utilizatorilor trebuie să li se ofere posibilitatea de a opta în mod activ pentru utilizarea datelor lor în aceste scopuri.

Acestea nu ar trebui să mai fie incluse în cadrul furnizării serviciilor de bază.

De asemenea, utilizatorii trebuie să aibă posibilitatea de a-și da consimțământul pentru transmiterea datelor lor către terți pentru servicii neesențiale.

În limbajul GDPR, acest lucru înseamnă publicitate, marketing și crearea de profiluri.

În ceea ce privește consimțământul, documentația internă trebuie să indice:

  • Cine și-a dat consimțământul;
  • Cum a fost dat consimțământul;
  • Ce informații li s-au dat și cu ce au fost de acord;
  • Când și-au dat consimțământul (în mod ideal, o înregistrare cu marcaj de timp); și
  • dacă utilizatorul și-a retras sau nu consimțământul.

După cum am specificat la invocarea drepturilor individuale, utilizatorii își pot retrage consimțământul din orice motiv și în orice moment și nu trebuie să ofere un motiv pentru a face acest lucru.

Prelucrarea datelor fără consimțământ?

Este important de reținut că există circumstanțe în afara "consimțământului", în care organizațiile pot prelucra datele clienților.

În cazul în care relația cu utilizatorul nu se bazează pe consimțământul activ, trebuie să poți justifica colectarea și prelucrarea datelor pe un temei juridic, mai exact că îndeplinește una dintre următoarele cerințe:

  1. Necesar pentru executarea unui contract;
  2. Necesar pentru a respecta o obligație legală;
  3. Necesar pentru a proteja interesele vitale ale persoanei (de exemplu, furnizarea de ajutor medical de urgență);
  4. Necesar pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității oficiale;
  5. Necesar în scopul "intereselor legitime" urmărite de operator sau de o terță parte.

Punctul "E" ("interese legitime") este poate cel mai ambiguu și cel mai discutat dintre acestea.

Interese legiime

Unul dintre cele mai discutate domenii ale GDPR în ceea ce privește prelucrarea datelor fără consimțământ este "interesele legitime".

Comisarul pentru informații explică faptul că acesta este cel mai potrivit pentru situațiile în care se aplică toate criteriile următoare:

  • Prelucrarea nu este impusă de lege, dar prezintă un beneficiu clar pentru tine sau pentru alte persoane;
  • Există un impact limitat asupra vieții private a persoanei;
  • Persoana în cauză se așteaptă în mod rezonabil ca tu să utilizezi datele sale în acest mod; și
  • Nu poți sau nu dorești să oferi persoanei fizice un control complet în avans (adică consimțământul) sau să o deranjezi cu cereri de consimțământ atunci când este puțin probabil ca aceasta să se opună prelucrării.

În plus, interesul legitim nu poate fi aplicat retroactiv la orice date cu caracter personal deja colectate sau prelucrate.

Soft opt-in

"Soft opt-in" este o metodă utilizată de mulți comercianți online pentru a trimite în mod legal e-mailuri clienților existenți - este încă o practică acceptabilă.

De exemplu, Sellfy.ro folosește această metodă în formlarul de comandă - opțiunea clientului de a se abona la email-uri cu oferte promoționale.

Termenul "soft opt-in" este uneori folosit pentru a descrie regula privind clienții existenți.

Ideea este că, dacă o persoană a cumpărat ceva recent, ți-a dat datele sale și nu a renunțat la mesajele de marketing, probabil că este fericită să primească mesaje de marketing despre produse sau servicii similare, chiar dacă nu și-a dat acordul în mod specific.

Cu toate acestea, trebuie să le fi oferit o șansă clară de a renunța - atât atunci când ai colectat datele lor pentru prima dată, cât și în fiecare mesaj pe care îl transmiți.

Regula soft opt-in înseamnă că poți trimite email-uri sau mesaje text propriilor clienți, dar nu se aplică clienților potențiali sau noilor contacte.

De asemenea, nu se aplică promoțiilor non-comerciale (de exemplu, strângerea de fonduri în scopuri caritabile sau campaniile politice).

Consimțământul și temeiurile juridice: întrebări esențiale

  1. Ai stabilit care aspecte ale colectării și prelucrării datelor sunt bazate pe consimțământ și care aspecte sunt bazate pe un temei juridic?
  2. Te-ai asigurat că procesele de consimțământ îndeplinesc criteriile de mai sus?
  3. În cazul în care nu se bazează pe consimțământul activ, poți documenta și dovedi că: colectarea și prelucrarea datelor se bazează pe un temei juridic?
  4. Ești în măsură să documentezi dovada consimțământului sau a temeiului juridic pentru datele pe care le colectezi și le prelucrezi?
  5. Ai revizuit mecanismele și înregistrările existente privind consimțământul pentru a te asigura că procesele de consimțământ respectă criteriile de mai sus?
  6. Dacă lipsește vreun aspect al noilor criterii, ești pregătit să modifici mecanismele de consimțământ pentru a reîmprospăta și a asigura consimțământul la nivelul GDPR?
  7. Dacă nu poți restabili consimțământul în conformitate cu cerințele GDPR, prelucrarea datelor are un temei juridic?
  8. Ești pregătit să încetezi prelucrarea datelor și să ștergi înregistrările pentru cazurile în care nu poți obține consimțământul și nu ai un temei juridic?

7. GDPR: Afacerile de comerț electronic care se ocupă de copii

Dacă ai o afacere care se adresează copiilor sau colectează date de la sau despre aceștia, există noi cerințe în cadrul GDPR la care va trebui să acorzi o atenție sporită în cadrul proceselor de vânzare.

Acest lucru se aplică atât datelor pe care le colectezi în cadrul vânzărilor și îndeplinirii comenzilor de bunuri, cât și datelor create de copii, de exemplu, în aplicații și jocuri online.

Dacă serviciul se adresează copiilor, există o nouă cerință fascinantă în cadrul GDPR: trebuie să includzi o notă de confidențialitate scrisă pentru copii într-un limbaj pe care aceștia îl pot înțelege.

Un copil trebuie să înțeleagă la ce își dă consimțământul atunci când își dă consimțământul.

De asemenea, părinții acestora trebuie să înțeleagă foarte clar utilizările profunde ale datelor în notificarea standard de confidențialitate care trebuie, de asemenea, inclusă.

Așteaptă-te ca copiii tocilarilor de pretutindeni să fie angrenați în teste A/B pentru politicile de confidențialitate. :)

Relația cu copiii: întrebări esențiale

  1. Ești conștient dacă colectezi sau nu informații despre sau de la minori de 16 ani?
  2. Dacă da, ai documentat procesele pe care le utilizezi pentru a proteja aceste informații?
  3. Ai documentat procesele suplimentare de minimizare, stocare și ștergere a datelor pentru datele copiiilor sub 16 ani?
  4. Copiii furnizează direct informațiile lor? Dacă da, ai redactat o notă de confidențialitate pentru copii într-un limbaj pe care aceștia îl pot înțelege?
  5. Documentezi dovezi că ai consimțământul părinților pentru orice prelucrare de date pentru copiii sub 16 ani?
  6. Ștergi înregistrările de date ale copiiilor la cererea unui părinte sau a unui tutore, fără a solicita dovezi documentare ale relației?
  7. Ștergi datele generate de un copil dacă acesta a devenit adult și solicită acest lucru?

8. GDPR: Securitatea datelor

Încălcarea securității datelor poate fi dezastruoasă pentru clienți și pentru afacere.

Cu toate acestea, adevărul este că breșele de date - indiferent dacă sunt cauzate de factori tehnici sau umani - pot fi aproape întotdeauna prevenite.

GDPR cere să facem tot posibilul pentru a preveni apariția breșelor de securitate și, de asemenea, să ne pregătim din timp pentru acestea.

Ar trebui audiate sistemele tehnice, precum și procesele umane, pentru a depista lucrurile care ar putea deschide ușa unor astfel de incidente (furtul datelor, etc).

Pregătirea pentru încălcări ale securității datelor necesită să analizați cu onestitate (și, posibil, destul de inconfortabil) ce aspecte ale proceselor și culturilor interne ar putea contribui la o încălcare care ar putea fi prevenită.

O tehnologie este la fel de bună precum oamenii din spatele ei. Personalul nesigur reprezintă un risc mult mai mare pentru integritatea datelor decât bazele de date nesigure.

În cazul unei încălcări a securității datelor, o autoritate de reglementare în domeniul protecției datelor poate solicita dovezi documentate, inclusiv următoarele:

  • Detalii despre natura încălcării, cum ar fi ce categorie de date a fost încălcată, câte persoane au fost afectate și câte înregistrări de date au fost implicate;
  • Informații privind modul în care ai fost alertat cu privire la o încălcare și de către cine;
  • Orice informații disponibile despre cine este responsabil pentru o încălcare sau cum s-a produs aceasta;
  • Ce consecințe au loc ca urmare a unei încălcări;
  • Ce măsuri iei pentru a face față unei încălcări, cum ar fi contactarea clienților sau resetarea tuturor parolelor;
  • Ce măsuri iei pentru a face față consecințelor, cum ar fi debitarea neautorizată a conturilor clienților;
  • Numele și datele de contact ale responsabilului cu protecția datelor sau ale persoanei care se ocupă de încălcarea securității datelor?

Ar trebui să ai pregătit un model pentru a colecta și transmite aceste informații; dimineața descoperirii unei încălcări a securității datelor nu este ocmai momentul potrivit pentru a afla aceste informații.

Încălcările cu risc ridicat trebuie raportate în termen de 72 de ore de la descoperire.

Breșele de securitate: întrebări esențiale

  1. Audiezi în mod regulat sistemele și procesele pentru potențiale probleme legate de încălcarea securității datelor?
  2. Cunoaști criteriile pentru o încălcare "de risc ridicat", care trebuie raportată?
  3. Ai creat un șablon pentru cerințele de raportare a încălcărilor de date din GDPR?
  4. Ai efectuat o analiză postmortem a încălcărilor de date pe care le-ai putut experimenta în trecut?
  5. Ai un mecanism intern de raportare pentru a raporta eventualele încălcări ale securității datelor înainte ca acestea să se producă?
  6. Poate personalul să raporteze o problemă, fie ea tehnică sau umană, care ar putea duce la o încălcare a datelor, fără teama de represalii?

9. GDPR: Aspecte internaționale și Scutul de confidențialitate

În conformitate cu legislația europeană privind protecția datelor, datele cu caracter personal nu pot fi transferate în afara UE către țări terțe decât dacă țara respectivă asigură un nivel "egal și adecvat" de protecție a datelor.

Magazinul tău online trebuie să fie pregătit:

  • să protejeze datele la origine și la destinație
  • furnizarea unui mijloc legal pentru ca aceste date să circule.

Pentru a proteja datele, trebuie să te asiguri că partenerii și furnizorii de servicii din afara UE au implementat un sistem de protecție a datelor care este egal și adecvat cu GDPR pentru datele europene pe care le trimiți.

Pentru a furniza un mijloc legal, trebuie să garantezi că datele sunt transferate fie în cadrul unui acord-cadru, fie prin alternative specifice.

Principalul cadru este "Privacy Shield", care se aplică companiilor americane care fac afaceri cu date europene.

Având în vedere incertitudinea politică actuală, este esențial să te asiguri că partenerii tăi (dacă este cazul) cu sediul în SUA și furnizorii de servicii terțe sunt conforme cu Privacy Shield, în mod ideal în faza de contract.

Printre alternativele la acordurile-cadru se numără transferurile în interiorul companiei și clauzele contractuale, toate acestea trebuind să fie tratate de un avocat.

Trebuie să indici în notificările tale privind confidențialitatea că datele sunt transferate în afara UE și să enumeri toate părțile specifice care primesc aceste date, precum și ce fac cu ele.

Notificările tale ar trebui, de asemenea, să le ofere utilizatorilor posibilitatea de a se opune transferului datelor lor în afara UE, ținând cont de faptul că nu este necesar să ofere un motiv pentru a vă cere acest lucru.

Dacă lucrezi în afara granițelor europene, notificările de confidențialitate trebuie să menționeze țara principală de stabilire și autoritatea de supraveghere principală, cu alte cuvinte, autoritatea națională de reglementare în domeniul protecției datelor care ar trebui să se ocupe de preocupările legate de compania pe care o conduci.

Aspecte internaționale: întrebări esențiale

  1. Sunt toți partenerii și furnizorii terți de servicii din țările din afara UE familiarizați cu noile cerințe prevăzute de GDPR?
  2. Sunt deja în conformitate sau sunt necesare lucrări de remediere?
  3. Partenerii și furnizorii de servicii terțe din SUA sunt în conformitate cu Privacy Shield?
  4. Incluzi și soliciți conformitatea cu GDPR în contractele tale cu partenerii și furnizorii de servicii?
  5. Toate transferurile internaționale de date și utilizările acestor date sunt clarificate în notificările de confidențialitate destinate publicului?
  6. Dacă lucrezi în afara granițelor europene, ai identificat principala țară de stabilire și autoritatea de supraveghere principală în avizele tale de confidențialitate?

10. GDPR: "Privacy by Design" și "Protecția datelor în mod implicit"

GDPR impune proiectanților, dezvoltatorilor și proprietarilor de afaceri să treacă la o cultură a confidențialității prin proiectare (Privacy by Design) și a protecției datelor în mod implicit.

Acest lucru înseamnă că toate procesele, serviciile și aplicațiile cu utilizare intensivă a datelor trebuie să fie proiectate cu o confidențialitate optimă și o protecție a datelor integrate de la început.

Acesta este un răspuns direct la o cultură care a încurajat o confidențialitate minimă și o partajare maximă în mod implicit, cu un consimțământ redus sau inexistent din partea utilizatorului.

  • Cerând logări prin intermediul unui cont de socializare? A dispărut.
  • Necesitatea permisiunilor pentru microfon, senzori corporali și contacte pentru a utiliza o aplicație? A dispărut.
  • Să-i ceri unui utilizator să consimtă ca datele sale de navigare pe internet să fie transmise unui lanț de cafenele pentru a putea utiliza aplicația de fidelizare a acestuia? A dispărut.

Aceste schimbări nu sunt înainte de vreme, în ceea ce îi privește pe mulți.

Cheia filozofiei de protecție a datelor în mod implicit este un cadru de dezvoltare cunoscut sub numele de Privacy by Design (Confidențialitate prin proiectare).

Acest cadru deține următoarele 7 principii:

1. Confidențialitatea trebuie să fie proactivă, nu reactivă, și trebuie să anticipeze problemele de confidențialitate înainte ca acestea să ajungă la utilizator. De asemenea, confidențialitatea trebuie să fie preventivă, nu reparatorie.

2. Confidențialitatea trebuie să fie setarea implicită. Utilizatorul nu trebuie să fie nevoit să întreprindă acțiuni pentru a-și asigura confidențialitatea, iar consimțământul pentru partajarea datelor nu trebuie să fie presupus.

3. Confidențialitatea trebuie să fie încorporată în proiectare. Confidențialitatea este o funcție de bază a produsului sau serviciului, nu un accesoriu.

4. Viața privată trebuie să fie o sumă pozitivă și trebuie să evite dihotomiile. De exemplu, Privacy by Design vede un echilibru realizabil între confidențialitate și securitate, nu un joc cu sumă zero între confidențialitate sau securitate.

5. Confidențialitatea trebuie să ofere o protecție a datelor utilizatorului de la un capăt la altul al ciclului de viață. Aceasta înseamnă angajarea în procese adecvate de minimizare, păstrare și ștergere a datelor.

6. Standardele de confidențialitate trebuie să fie vizibile, transparente, deschise, documentate și verificabile în mod independent.

7. Confidențialitatea trebuie să fie centrată pe utilizator. Acest lucru înseamnă că trebuie să le oferim utilizatorilor opțiuni de confidențialitate granulare, valori implicite de confidențialitate maximizate, notificări detaliate privind informațiile de confidențialitate, opțiuni ușor de utilizat și notificări clare privind modificările.

Obligațiile privind confidențialitatea încă de la proiectare și protecția datelor în mod implicit sunt de natură internă, cum ar fi asigurarea de garanții tehnice, conștientizarea personalului cu privire la obligațiile lor legale și documentarea celor mai bune practici.

Acestea sunt, de asemenea, externe, cum ar fi publicarea de notificări de confidențialitate, implicarea în minimizarea și ștergerea datelor și oferirea de opțiuni de confidențialitate granulare utilizatorilor.

Un aspect al confidențialității prin proiectare este crearea de evaluări ale impactului asupra confidențialității (Privacy Impact Assessments - PIA), ceea ce înseamnă pur și simplu un proces prin care riscurile de confidențialitate inerente unui proiect sunt identificate și abordate încă de la început.

Privacy by Design este conversația pe care o prți cu echipa, cu furnizorii terți și cu clienții t[i, înainte de a se face un singur clic de muncă.

Afacerile din domeniul comerțului electronic ar trebui să dezvolte un model de evaluare a impactului asupra confidențialității pentru proiectele tale cu utilizare intensivă a datelor și să efectueze o evaluare retrospectivă a impactului asupra confidențialității pentru cele existente.

Confidențialitatea prin proiectare: întrebări esențiale

  1. Ai analizat site-urile, aplicațiile și procesele existente pentru a găsi cele mai bune practici Privacy by Design?
  2. Ai analizat punctele actuale de introducere a datelor pentru a găsi modalități prin care datele ar putea fi reduse la minimum? Acestea ar putea include câmpuri de formular "obligatorii", informații de marketing învechite și înregistrări ale clienților.
  3. Ai elaborat o politică de păstrare și ștergere a datelor pentru diferitele tipuri de informații pe care le dețineți?
  4. Ai revizuit evaluările privind impactul asupra confidențialității ale partenerilor și ale furnizorilor de servicii terți?
  5. Ai revizuit procesul de verificare a ștergerii datelor? Ești încrezător că ai putea împărtăși cu publicul larg procesul Privacy by Design?
  6. Ești sigur că procesul documentat de confidențialitate prin proiectare ar fi acceptat de o autoritate de reglementare?

11. GDPR: Responsabili cu protecția datelor

Pentru organizațiile care se angajează în procesarea "pe scară largă" a datelor cu caracter personal, printre care se numără probabil multe afaceri de comerț electronic, responsabilul cu protecția datelor - sau responsabilul cu protecția datelor - este o persoană desemnată care va purta responsabilitatea juridică și profesională pentru respectarea protecției datelor.

Ai nevoie de un responsabil cu protecția datelor (DPO)?

În conformitate cu GDPR, trebuie să numești un DPO dacă:

  • Ești o autoritate publică (cu excepția instanțelor care acționează în calitate de instanțe judecătorești);
  • Activitățile tale de bază necesită o monitorizare pe scară largă, regulată și sistematică a persoanelor fizice (de exemplu, urmărirea comportamentului online); sau
  • Activitățile tale de bază constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date referitoare la condamnări penale și infracțiuni.

În cazul afacerilor de comerț electronic, este mai puțin probabil să se aplice prima dintre acestea, la fel de puțin probabil să se aplice și cea de-a treia (discutăm despre "categorii speciale de date" în altă parte), dar se aplică a doua dintre acestea: "monitorizarea pe scară largă, regulată și sistematică a persoanelor fizice" se poate aplica și, într-adevăr, menționează în mod specific "urmărirea comportamentului online".

Două domenii ambigue în cadrul acesteia sunt "activități de bază" și "pe scară largă, regulat și sistematic".

Comisarul pentru informații a oferit definiții aproximative suplimentare pentru fiecare dintre acestea:

Ce sunt "activitățile de bază"?

Activitățile de bază sunt activitățile principale ale afacerii tale.

Astfel, dacă trebuie să prelucrezi date cu caracter personal pentru a-ți atinge obiectivele principale, aceasta este o activitate de bază.

Acest lucru este diferit de prelucrarea datelor cu caracter personal în alte scopuri secundare, care poate fi ceva ce faci tot timpul (de exemplu, informații privind salarizarea sau resursele umane), dar care nu face parte din realizarea obiectivelor tale principale.

Ce înseamnă "la scară largă", "regulat", "sistematic"?

Un site de vânzare cu amănuntul de mari dimensiuni (cum ar fi eMag) utilizează algoritmi pentru a monitoriza căutările și achizițiile utilizatorilor săi și, pe baza acestor informații, le oferă recomandări.

Întrucât acest lucru are loc în mod continuu și în conformitate cu criterii predefinite, poate fi considerat ca fiind o monitorizare regulată și sistematică a persoanelor vizate pe scară largă.

DPO și rolul acestuia

Pentru a folosi o analogie oarecum înșelătoare, un responsabil cu protecția datelor este ofițerul tău de sănătate și siguranță pentru confidențialitate și protecția datelor.

Treaba lor este să fie foarte puțin dificilă:

  • "De ce este asta acolo?"
  • "A fost instruit noul angajat?"
  • "Așteptați o secundă: putem face asta?"
  • "Când a fost ultima dată când am revizuit ce se află în acea cameră de depozitare?"

La fel ca și ofițerul de sănătate și siguranță, când va veni ziua, vei fi recunoscător pentru prezența lor.

Există anumite drepturi și protecții pe care un responsabil cu protecția datelor trebuie să le aibă pentru a-și face treaba:

  • Acesta trebuie să fie informat în mod transparent și în timp util cu privire la toate aspectele legate de protecția datelor.
  • Trebuie să fie pus la dispoziția oricărui utilizator care are o preocupare cu privire la utilizarea datelor sale.
  • Ei trebuie să păstreze secretul și confidențialitatea în orice moment în ceea ce privește datele cu caracter personal.
  • Trebuie să li se pună la dispoziție toate resursele necesare pentru a-și face treaba.
  • Trebuie să raporteze direct la cel mai înalt nivel de conducere al companiei și să fie în contact cu acesta.

În plus, responsabilului cu protecția datelor nu i se poate spune cum să își facă treaba, nu poate fi pedepsit sau concediat pentru că a ridicat întrebări pe care ai prefera să nu le auzi și nu i se pot da alte sarcini sau responsabilități care ar putea cauza un conflict de interese.

Numele și datele de contact ale unui DPO trebuie să fie făcute publice în avizele de confidențialitate ale organizației.

De asemenea, detaliile acestora trebuie furnizate autorității de reglementare în domeniul protecției datelor, deoarece acestea vor fi primul punct de contact în cazul preocupărilor și al întrebărilor.

Responsabilii cu protecția datelor: întrebări esențiale

  1. Ai stabilit dacă ai nevoie de un responsabil cu protecția datelor conform legii?
  2. Dacă nu este obligatoriu, ai luat în considerare numirea voluntară a unui responsabil cu protecția datelor?
  3. Ești conștient de faptul că un responsabil cu protecția datelor nu necesită calificări specifice, formale sau legale?
  4. Deși responsabilul cu protecția datelor poate lucra cu jumătate de normă sau poate fi angajat prin contract, ai ales un responsabil cu protecția datelor care să fie localizat într-un loc cu acces fizic ușor la sediul firmei tale?
  5. Ai întocmit o listă a calităților care ar fi de dorit pentru un responsabil cu protecția datelor în funcție de nevoile specifice ale activității de organizare a evenimentelor?
  6. Ești pregătit să acorzi responsabilului cu protecția datelor un loc regulat pe ordinea de zi a consiliului de administrație, dacă este cazul?

Încheiere

Acest ghid gratuit a fost realizat în beneficiul afacerilor de comerț electronic și al cititorilor interesați de GDPR.

Pentru întreaga legislație GDPR poți consulta documentația în limba engleză pe site-ul oficial GDPR.EU

Site oficial în limba română (informații, plângeri GPDR, etc):
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Acest ghid GDPR a fost oferit gratuit!

Agențiile cer bani pentru o astfel de consultanță cuprinzătoare!

Dacă ți-a fost de ajutor, te rog să distribui link-ul aceastui articol pe Facebook, LinkedIn, pe site-ul tău sau prin e-mail.

Nu ai încă magazin online Sellfy? Plătești doar pentru cât folosești - fără abonament lunar sau alte obligații. Ai 100 produse în magazin, plătești doar pentru 100 produse, nimic în plus! Fără taxe ascunse precum costuri adiționale pentru numărul de comenzi!

Spune și prietenilor tăi despre articol

Abonare

Înscrie-te și primește noutățile prin email!

Articole similare

Ghiduri

Cum fac un magazin online alimentar

Cum să vând Bitcoin: Ghid complet și practic

Cat costa un magazin online la cheie

Cum vand prima casa dupa 5 ani

Cum să vând produse pe Amazon

Cum să planifici o strategie de marketing pentru un magazin online

Cum se face un plan de marketing

Idei de black friday pentru magazinul online

Obținerea de fonduri europene pentru un magazin online

3 Trend-uri în ecommerce

Crearea unui sediu pentru magazin online: Ghid complet pentru succes

Comerțul online în pandemie