Ce este, cum implementam GDPR pe site / blog / magazin online si ce trebuie sa contina GDPR

O directiva a Uniunii Europene a inceput sa faca valuri in randurile posesorilor de website-uri, bloguri si mai ales in randul companiilor care detin magazine online sau alte platforme care implica colectarea, stocarea si manipularea datelor cu caracter personal / confidential ale utilizatorilor.

Ce este GDPR (General Data Protection Regulation)?

Introducerea GDPR (General Data Protection Regulation) de la 25 mai 2018, presupune schimbari majore in ceea ce priveste stocarea datelor cu caracter personal si manipularea acestora de catre organizatii si companii. Pe intelesul tuturor, noul regulament presupune norme stricte pentru companiile si persoanele fizice care stocheaza date cu carcater personal ale clientilor, utilizatorilor sau partenerilor de afaceri, etc persoane in interactiune. Legea se aplica atat in online cat si in “offline”, oferind mai multa transparenta si control din partea persoanelor ale caror date sunt stocate si procesate.
Odata cu introducerea GDPR oricare persoana are dreptul sa stie daca o companie le proceseaza datele cu caracter personal, scopul in care acestea sunt utilizate si modul in care se face securizarea acestor date pentru a nu ajunge la terte persoane sau entitati. Totodata se ofera acces persoanelor la informatiile stocate cu posibilitatea de modificare a acestora sau chiar de stergere.

GDPR: Consimtamantul privind stocarea datelor si scopurile in care vor fi utilizate

Conform GDPR, persoanele trebuie sa fie bine informate in momentul in care isi ofera consimtamantul pentru procesarea datelor. Procesatorul trebuie sa aduca la cunostinta persoanei atat datele care vor fi stocate cat si sa ceara consimtamantul pentru fiecare sfera de utilizare a datelor. Un exemplu cel mai bun este formularul de consimtamant trimis de Orange Romania catre clientii companiei. Se cere ecplicit acordul daca datele personale pot fi utilizate in scopuri de marketing, pentru trimiterea de oferte din partea companiei, trimiterea de oferte venite de la parteneri si colaboratori, studii de piata, etc.

Inainte de GDPR treburile stateau cu totul altfel. O simpla bifa pusa by default permiteau procesatorului sa ne foloseasca datele personale in ce scopuri dorea fara a putea fi tras la raspundere.
Daca ati fost pusi in situatia sa fiti contactati de N firme de asigurari medicale sau alte tipuri de asigurari dupa ce v-ati deschis cont la o banca, acest lucru nu se va mai intampla dupa intrarea in vigoare a GDPR, decat daca dvs. o sa specificati expres ca doriti oferte din partea colaboratorilor si partenerilor bancii. Daca v-ati oferit consimtamantul iar dupa un timp v-ati razgandit, procesatorul trebuie sa ofere suport prin care-l puteti retrage foarte simplu in orice moment.
In perioada urmatore bancile vor trebui si ele sa trimita notificari catre toti clientii pentru a le cere acordul de stocare si procesare a datelor cu carcater personal.

Acelasi consimtamant trebuie obtinut si de magazinele online, website-urile care stocheaza informatii cu caracter personal, forumuri sau alte platforme online ce presupun stocare de date ale utilizatorilor.
Daca luam cazul magazinelor online, in primul rand, chiar daca sveti sau nu cont pe acel magazin online, veti fi informat de la prima accesare cu privire la datele care va sunt stocate. Tipuri de HTTP cookies retinute de website, coduri de urmarire a comportamentului online al dvs. (Google Analytics, Google AdSense, Facebook, etc), log-uri in care va este stocat IP-ul si alte informatii cu privire la tot ce tine de identitatea dvs. in online.
Atunci cand optati sa comandati un produs, compania care detine magazinul online nu o sa va ceara mai multe date personale decat este nevoie pentru a va procesa comanda si nu va folosi adresa dvs. de e-mail sau numarul telefon in scopuri de marketing daca nu obtine consimtamantul dvs. pentru aceste practici. In cazut in care la efectuarea comenzii v-ati creat un cont, aveti dreptul sa va puteti accesa oricand datele personale ale contului, sa le modificati sau sa le stergeti.
Abonarea la newslettere se va face numai cu acordul explicit al utilizatorului, acesta avand la indemana oricand optiunea de dezabonare.
O alta cerinta importanta a GDPR este perioada pe care pot fi stocate datele cu caracter personal. Acesta nu vor mai putea fi stocate pe termen nelimitat cum era pana acum, ci pe o perioada exacta de timp.

GDPR: Securitatea datelor cu caracter persoanl

GDPR pune accent foarte mare si pe securitatea datelor private ale utilizatorilor. Compania trebuie sa asigure standarde de securitate ridicate in functie de sensibilitatea datelor stocate. Pseudonimizarea, criptarea si numirea clara a personalului care va avea acces la datele cu caracter personal. Compania va aduce la cunostinta autoritatilor persoanele desemnate sa proceseze si sa manipuleze datele personale. Totodata, preudonimizarea presupune prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
In cazul unei brese de securitate, compania va anunta in termen de 72 de ore atat autoritatile abilitate cat si persoanele afectate de aceasta scurgere de informatii. Se va face si un raport de impact in care vor fi evaluate riscurile si daunele aduse persoanelor ale caror informatii au fost sustrase / scapate catre terte parti.

DPO – Data Protection Officer

Asa cum stiau multe fete pana acum, “DPO” nu mai inseamna “Days Past Ovulation” ci “Data Protection Officer”. Suna foarte pompos numele, insa toate companiile trebuie sa desemneze un DPO care se va asigura ca datele sunt sunt corect colectate, stocate, folosite in scopurile pentru care s-a obtinut consimtamantul si ca sunt  tinute in siguranta. Practic acest DPO trebuie sa se asigure ca organizatia care l-a contractat este in acord cu normele impuse de GDPR. Tot el va fi legatura dintre organizatie si autoritatile de control ale statului.

Cine poate fi DPO? Pai din cate intelegem, DPO nu poate fi o persoana din interiorul companiei, pentru ca ar fi conflict de interese. Trebuie sa fe o persoana din afara companiei, sa posede cunostinte temeinice de legislatie europeana, legislatie interna si tehnici IT de stocare a datelor. Poate fi un avocat cu cunostinte de IT sau un administrator de servere care sa invete legislatie.
In ceea ce priveste DPO / GDPR au aparut peste noapte pe online foarte multe firme “specializate” in aceasta legislatie. Unele cu “experienta” de ani de zile in implementarea unor regulamente care nici nu existau pana in 2016.
O atentie sporita trebuie sa aiba companiile care primesc astfel de oferte din partea acestor firme sau persoane care sa recomanda drept experti GDPR si DPO. Majoritatea nu sunt create decat sa speculeze aceast nou regulament in scopuri de sporire a veniturilor. Asadar, atentie sporita daca reprezentati o companie si ati primit astfel de oferte.

Sanctiuni in cazul nerespactarii reglementarilor prevazute de GDPR

Sanciunile se aplica in mod echvalent pentru toate tarile din spatiul Uniunii Europene de administratiile competente din fiecare tara. Aceste sanctiuni vor fi aplicate gradual in functie de gravitatea si de impactul avut in urma neconformarii regulamentului GDPR. Din cate intelegem, aceste sanciuni pot ajunge pana la 4% din cifra de afaceri a companiei vizate de sanctiune. Sanctiunile pot fi contestate si pot face obiectului unui proces juridic.

GDPR pe online – Bloguri, Magazine Online sau alte website-uri

Un update recent al WordPress a vizat punerea in legalitatea a tuturor celor care folosesc aceasta platforma pentru preenta online. Fiecare website care stocheaza date cu caracter personal trebuie sa aibe o pagina de “Termeni si Conditii” si o “Politica de Confidentialitate” in care sa aduca la cunostina utilizatorilor urmatoarele:

  1. Cine este proprietarul website-ului sau al magazinului online
  2. Care sunt datele personale colectate si de ce sunt colectate
  3. Cookies – se listeaza modulele cookie pe care le utilizeaza web site-ul, inclusiv cele ale retelelor sociale si de analiza. (Facebook, Google Analytics, Twitter, s.a.m.d)
  4. Cine sunt tertele parti care au acces la datele personale si in ce scopuri
  5. Datele de contact ale companiei care detine web site-ul / magazinul online
  6. Perioada de timp pe care sunt pastrate datele personale
  7. Metode simple prin care utilizatorii sa-si poata sterge sau exporta datele personale de pe site
  8. Cum sunt protejate datele personale stocate
  9. Drepturile dar si obligatiile utilizatorilor

Toate aceste puncte de mai sus ar trebui sa le detina fiecare web site in sectiunea “Politica de Confidentialitate“.

Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor) (Text cu relevanta pentru SEE)EUR-LEX.EU.

Care sunt datele cu caracter personal

Orice informatie prin care o persoana fizica devine identificabila, cum ar fi: nume, numar de telefon, adresa de e-mail, localizare, adresa de IP calculator / smartphone / tableta, adresa MAC a placii de retea, elemente fizice, fiziologice, genetice, psihice, economice, culturale, sociale, politice si alte.

Daca aveti de facut completari sau nelamuriri cu privire la GDPR, ne puteti lasa comentarii.

Ce este, cum implementam GDPR pe site / blog / magazin online si ce trebuie sa contina GDPR

About the author

Stealth

Pasionat de tot ce inseamna gadget si IT, scriu cu placere pe stealthsettings.com din 2006 si imi place sa descopar alaturi de voi lucruri noi despre calculatoare si sistemele de operare macOS, Linux, Windows, iOS si Android.

2 Comments

  • Este, totusi, foarte neclar cine si in ce masura raspunde in cazul unui simplu blog gazduit pe platforme de genul wordpress. com, blogspot. com (sau chiar blogspot. ro, de la o vreme) etc.
    Sa retinem:
    – site-ul este wordpress. com (de exemplu – care mai e si DOAR american)
    – un_nume_oarecare.wordpress.com ESTE UN SUBDOMENIU!!!
    Wordpress face progrese dar, culmea, ofera “stapanului” blogului adresa IP a unui comentator!!! (cum, de altfel, o vedeti si voi pe a mea). Ba chiar si adresa de email – la ce va trebuie musai?

    Deci cum e?

    • Salut! Nu cred ca WordPress ofera adresa de IP a utilizatorilor, ci serverul. Codul WordPress nu face altceva decat sa scoata o interogare din server.
      In mod evident, un utilizator nu poate accesa un website daca intre calculatorul acestuia si serverul gazda nu se face o interactiune. Interactiune bazata prin adresele de IP.
      Nu prea am inteles care e ideea cu wordpress.com si cu subdomeniile dar o sa-ti raspund la intrebarea legata de adresa de e-mail si de ce este necesar ca IP sa fie vizibil pentru “stapan”.
      1. Adresa de e-mail este necesara pentru o conversatie. Daca nu introduceai adresa de e-mail, acum nu mai erai notificat ca ti-am raspuns. Atat timp cat eu nu vand, nu trimit newslettere, nu divulg catre o terta parte adresa de e-mail, nu vad sa fie o problema.
      O sa actualizam in curand politicile de confidentialitate.
      2. Adresa de IP apare automat in log-urile de server pentru toti vizitatorii, indiferent daca este vorba de vizitatori umani sau de roboti / boti.
      Este foarte utila pentru a limita accesul persoanelor sau software-urilor rau intentionate si pentru a stabili sursa incidentelor nedorite.
      PS. Nu te obliga nimeni sa folosesti pe site-uri o adresa de e-mail personala sau chia runa reala.
      PS2. Consider ca trebuie sa raspunda cineva, numai daca incalca coduri de bune practici si politica anti-spam. :)

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.