In primul rand, un mic avertisment: nu suntem avocati, specialisti in de-ale legilor si nu avem studii in ceea ce priveste legea. Urmatorul articol este formulat cu scopul de a te ajuta si informa pe cat putem noi de bine, in urma celor intelese de noi cu privire la GDPR si noile norme ce privesc modul in care lucram cu datele utilizatorilor nostri ca si administratori/detinatori de site-uri, magazine si alte portale online.
Pe scurt: nu e batut in cuie ce scrie mai jos, si nu putem fi tinuti drept responsabili daca am interpretat ceva gresit. – desi suntem la fel de interesati ca tine sa nu gresim si sa fim la zi cu toate regulile impuse de autoritati.
Ce este GDPR? Cand intra in vigoare?
GDPR intra in vigoare in data de 25 mai 2018.
GDPR este prescurtarea de la General Data Protection Regulation. In romana, Regulamentul General privind Protectia Datelor. Aceasta reprezinta probabil cea mai mare schimbare adusa la nivelul legilor legate de protectia datelor din ultimii 20 de ani.
Este un set nou de reguli (legi) care urmaresc sa reglementeze confidentialitatea si securitatea datelor cu caracter personal, stabilite de catre Comisia Europeana.
Aceste legi se refera foarte mult la procesarea datelor. La operatiunile care sunt efectuate asupra datelor cu caracter personal (exemple: colectare, depozitare, actualizare, stergere etc.).
De ce? Ce scop are GDPR?
Aceste legi au fost gandite pentru a da inapoi puterea cetatenilor asupra modului in care sunt prelucrate si utilizate datele lor.
Ce este cu adevarat nou, este dreptul de a fi uitat. O persoana fizica poate cere unei companii sa stearga datele cu caracter personal pe care compania le are despre ea, date care nu mai sunt necesare/exacte.
Ce drepturi are un subiect in urma intrarii in vigoare a GDPR?
Cand spun subiect, ma refer la persoana de pe teritoriul UE care stie ca o companie detine date personale despre ea.
Deci, drepturile subiectului sunt:
- Dreptul de a fi informat cu privire la datele pe care compania le detine;
- Dreptul de a accesa aceste date;
- Dreptul de a modifica/corecta aceste date;
- Dreptul de a fi uitat – caz in care compania trebuie sa elimine toate datele detinute despre utilizator;
- Dreptul de a restrictiona modul in care sunt folosite datele sale;
- Dreptul de a transfera datele;
- Dreptul de a revizui niste decizii luate despre profilul sau in cadrul companiei;
Despre ce date este vorba?
Orice data care poate identifica o persoana direct sau indirect, este considerata data cu caracter personal.
Exemple:
- Nume;
- Adresa;
- Adresa de Email;
- CNP;
- Date despre locatie;
- Adresa IP;
Mai avem si date sensibile, tot cu caracter personal, cum ar fi: rasa, starea de sanatate, orientarea sexuala, religie sau orientare politica.
Ma afecteaza?
Probabil ca da. In primul rand: legea se refera la stocarea datelor cu caracter personal si caracter sensibil a cetatenilor din interiorul UE. Asta inseamna ca nu doar companiile din UE se vor alinia la aceste reglementari, ci orice companie care tine date despre vreun cetatean ce intra in categoria de mai sus.
Si nu in ultimul rand, daca nu te conformezi, risti o amenda usturatoare (4% din cifra de afaceri de anul trecut).
Ce trebuie sa faci, ca si companie, pentru a te conforma noilor reglementari GDPR?
1.Un audit asupra datelor personale
Afla ce date personale procesezi tu ca si companie.
2.Documenteaza tot
Trebuie notate politicile companiei privind aceste date si modalitatea de gestionare si utilizare a acestora. Partea asta are de-a face cu demonstrarea faptului ca te conformezi regulilor.
Ideal ar fi sa ai un plan/descriere in caz de:
- cineva cere accesul la datele detinute despre el;
- cineva cere modificarea datelor cu caracter personal;
- cineva cere stergerea datelor cu caracter personal;
- cum vei verifica identitatea persoanelor si indeplini cererea?
- detalii despre masurile luate pentru a mentine datele cu caracter personal sigure. Cum ar fi tehnici de criptare a bazelor de date, controlul strict al accesului, etc.
- ce faci in cazul in care exista scurgeri de date? (hack-uri, probleme de securitate etc.) – merita mentionat faptul ca scurgerile de date ce pot avea consecinte grave trebuiesc anuntate in maxim 72h autoritatilor competente si eventual utilizatorilor daca este destul de grava problema.
3.Informeaza-ti clientii si vizitatorii
Va trebui sa iti actualizezi informatiile din paginile de tip ‘politica de confidentialitate’, unde sa explici ce date personale colectezi, cu ce scop si cat timp le stochezi. Aceste informatii trebuiesc afisate intr-un mod usor de inteles.
4.Identifica o baza legala pentru procesarea datelor
Orice procesare de date efectuata, trebuie sa aiba o baza legala.
Uite niste exemple: datele sunt necesare pentru indeplinirea unui contract, obligatie legala sau consimtamant (cu 2 mentiuni: sa fie explicit si dat liber – un exemplu bun reprezinta o casuta de tip checkbox care sa nu fie pre-activata, ce descrie corect ce se intampla in acel scenariu).
De exemplu: tiparim numele si adresa dvs deoarece suntem obligati legal sa va oferim o factura. Nu putem sterge factura chiar daca cereti stergerea tuturor datelor personale pe care le detinem in legatura cu dvs, deoarece legea ne obliga sa o pastram. Si etc… ai prins ideea.
5. Sa obtii consimtamantul expres al utilizatorului
Formularele de contact, abonarile la newsletter, formularele de plasare a unei comenzi si alte metode prin care captezi date de la utilizatori/clienti, trebuie sa aiba o bifa cu ajutorul careia respectiva persoana isi da acceptul ca tu sa stochezi datele si sa le procesezi.
Atentie! Nu mai ai voie sa ai casute pre-bifate de abonare la newslettere.
6.Verifica procesatorii de date aditionali
Adica? Datele personale inregistrate de tine s-ar putea sa nu fie stocate la tine pe server. Clientul sau vizitatorul poate nu este constient de acest lucru. Tu trebuie sa fi. Trebuie sa te asiguri ca locul in care ajung datele utilizatorilor tai, este conform reglementarilor GDPR.
Exemplu concret: Folosesti un plugin ce trimite automat in serviciul de e-mail marketing folosit de tine. Automat mailul unui abonat nou ajunge intr-o baza de date pe serverul serviciului folosit de tine. Serviciul respectiv respecta reglementarile GDPR? – ca idee, MailChimp a descris procesul lor de conformare la legile GDPR.
Care-i treaba cu consimtamantul?
Atat am repetat cuvantul asta, incat devine deja enervant. Dupa cum am mentionat mai sus, acesta trebuie acordat de utilizator in momentul in care urmeaza sa captam datele lui personale (chiar si adresa de e-mail).
Consimtamantul trebuie dat liber si explicit. Fara casute pre-completate si fara trucuri pentru a face oamenii sa bifeze ca sunt de acord. Fii cat mai explicit.
Mai trebuie sa ai in vedere cateva lucruri:
- consimtamantul trebuie sa fie specific si separat: daca folosesti datele in mai multe scopuri, fiecare scop are nevoie de un checkbox (bifa). Exemplu concret: la plasarea comenzii trebuie sa ai 2 checkbox-uri – unul de acceptare a termenilor si conditiilor magazinului pentru plasarea unei comenzi si unul pentru procesarea mailului si a altor date cu privire la e-mail marketing;
- partile sa se identifice: trebuie sa evidentiezi numele organizatiei tale (care proceseaza datele) si al altor procesatori ce vor avea acces la date odata dat acceptul de catre persoana vizata;
- consimtamantul poate fi retras oricand si trebuie sa accepti asta. Si ar trebui sa o faci sa fie cat mai usor. Ideal ar fi sa stii: ce a acceptat, cand, cum si ce informatii au avut la dispozitie in momentul acordarii consimtamantului;
- consimtamantul nu are neaparat un termen de expirare, depinde de context;
Ok, si ce fac cu consimtamantul deja obtinut? Probabil ai deja o lista stufoasa in ceea ce privesc mailurile clientilor si etc. Poti tine aceste date daca poti dovedi ca au fost obtinute sub aceleasi reglementari ca cele specificate de GDPR.
O chestie evidenta ar putea parea sa ceri abonatilor sa iti acorde din nou dreptul de a le trimite mailuri. Dar Honda a luat amenda tocmai pentru asta 🙂
Vom mai discuta despre acest subiect intr-un articol viitor. E un subiect interesant.
Alte idei despre GDPR
- securitatea va trebui luata in serios si documentata (desi ar fi trebuit sa o privesti serios de mult);
- cel mai lejer e sa stochezi si sa procesezi doar strictul necesar;
- odata stabilit bine ce date aduni si cum lucrezi cu ele, totul e lejer;
- nu poti divulga datele personale, daca afecteaza si alte persoane (nu imi vine un scenariu anume in minte acum, dar merita mentionat);
- in unele cazuri cel mai usor ar fi sa stergi datele vechi si inutile;
Concluzii
Va fi ceva bataie de cap pana toata lumea e lamurita cu treaba asta numita GDPR. Parerea mea este ca merita si ba mai mult – va ajuta companiile.
De ce merita? Siguranta datelor e cu atat mai vitala in zilele noastre, zile in care o parte buna din viata noastra este online. (+ ca nu vrei sa ajungi la stiri din cauza ca ti-a fost compromisa baza de date)
Cum va ajuta companiile? Companiile cu o strategie de marketing foarte bine pusa la punct probabil deja au o lista de clienti/abonati la newsletter/etc. bine organizata si curata si recunosc importanta unei liste ce se adreseaza persoanelor cu adevarat interesate de serviciile si produsele lor. Insa multi nu au si aplicand toate regulile si respectandu-le vor obtine probabil ca si abonati doar persoane interesate cu adevarat de serviciile sau produsele lor. Asta inseamna ca nu trimit mailuri la necunoscuti neinteresati. (vom vedea si in practica chestia asta, multi au tendinta sa fie de acord cu orice fara sa citeasca despre ce este vorba mai exact – oare cati ti-au citit pagina de termeni si conditii?)
Una peste alta, GDPR vine si trebuie sa ne pregatim. Sper ca acest articol sa te fi ajutat macar partial sa intelegi care-i treaba cu aceste noi legi si sa te ajute sa faci primii pasi spre o strategie corecta in ceea ce privesc datele personale ale clientilor/abonatilor tai.
Daca ai nevoie de ajutor in implementarea tehnica a normelor pentru platforme precum Magento sau Wordpress, nu ezita sa ne contactezi.
Da-i un share articolului, poate ii ajuta si pe altii 🙂
[social_buttons facebook=”true” twitter=”true” pinterest=”true” google_plus=”true” linkedin=”true”]