GDPR: Cum sa-ti pregatesti Magazinul Online pentru General Data Protection Regulation

Articol publicat in Stiri eCommerce pe 28.03.2018

GDPR

Abordam astazi cel mai "hot" subiect al momentului privind colectarea datelor personale de la clienti de catre magazinele online si nu numai. Mai exact, este vorba despre regulamentul impus in anul 2016 la nivelul Uniunii Europene (Nr.679/2016): GDPR sau General Data Protection Regulation.

Observatie: Acest articol contine informatii generale si nu este destinat sa ofere consultanta juridica. Pentru a intelege impactul complet al reglementarilor "GDPR - General Data Protection Regulation" asupra oricaror activitati de prelucrare a datelor, va rugam sa consultati un profesionist legal.

Ce este GDPR - General Data Protection Regulation

GDPR - General Data Protection Regulation sau Regulament General privind protectia Datelor cu caracter Personal.

"General Data Protection Regulation", pe scurt GDPR, este un regulament care impune companiilor din Uniunea Europeana sa protejeze atat datele personale cat si viata privata a cetatenilor din UE. Neaplicarea acestui regulament va duce la sanctionarea companiilor care prelucreaza astfel de date.

Parlamentul European a adoptat "GDPR" in Aprilie 2016 cu scopul de a inlocui directiva invechita privind protectia datelor, adoptata in anul 1995. Astfel, companiile care colecteaza date personale despre cetatenii din Uniunea Europeana, iar aici sunt incluse si magazinele online, vor trebui sa respecte noi reguli stricte in ceea ce priveste protejarea datelor personale pana la data de 25 Mai 2018. De asemenea, GDPR reglementeaza inclusiv exportul de date cu caracter personal in afara UE (spre exemplu o companie din SUA care preia date din UE).

Nerespectarea acestui nou regulament va duce la sanctionarea companiilor cu amenzi de pana la 4% din cifra de afaceri anuala globala sau pana la 20 de milioane de Euro. In Romania, aplicarea acestor sanctiuni si controale revin in sarcina Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal - A.N.S.P.D.C.P.

Pe scurt, daca procesati date despre persoane fizice in contextul vanzarii de bunuri sau servicii catre cetatenii europeni din orice tara UE, atunci va trebui sa va conformati GDPR.

Ce tipuri de date personale protejeaza GDPR ?

Pe scurt, orice informatie referitoare la o persoana fizica sau la "subiect de date", care poate fi utilizata pentru identificarea directa sau indirecta a persoanei. Poate fi orice, de la un nume, o fotografie, o adresa de e-mail, detalii bancare, postari pe site-uri de socializare, informatii medicale sau o adresa IP a computerului.

  • Informatii de baza despre identitate, cum ar fi numele cetateanului, adresa sau Codul Numeric Personal (CNP);
  • Datele web, precum locatia, adresa IP, datele cookie si etichetele RFID;
  • Date legate de sanatate sau date genetice;
  • Date biometrice;
  • Datele rasiale sau etnice;
  • Opiniile politice;
  • Orientare sexuala.

Ce date confidentiale colecteaza un magazin online

In functie de ce date colectezi de la clientii tai, in calitate de operator trebuie sa garantezi ca datele sunt protejate. Atunci cand vei avea un control legat de acest lucru, trebuie sa demonstrezi faptul ca garantarea confidentialitatii se aplica.

Astfel, exista mai multe tipuri de date si moduri in care un magazin online colecteaza date personale si vom enumera cateva situatii mai jos:

La plasarea unei comenzi

Atunci cand un client plaseaza o comanda, dupa caz, colectezi anumite date pentru a-i emite documente precum factura, certificat de garantie si, totodata, pentru a-i livra comanda. Astfel, preiei date cu caracter personal cum ar fi nume, prenume, telefon, email, adresa, adresa IP, date fiscale, s.a.m.d. si va trebui sa ii comunici clientului ca aceste date vor fi folosite doar cu scopul de a-i emite documentele respective si a-i livra comanda.

Observatie: CNP-ul nu este obligatoriu pentru emiterea unei facturi, de aceea este inutil sa stochezi o astfel o data confidentiala atat de sensibila daca nu iti este necesara.

La abonarea la newsletter

Odata ce colectezi adrese de email pentru a face campanii de email marketing va trebui sa-i spui clientului pentru ce s-a abonat la acel newsletter, mai exact tot ceea ce ii vei trimite pe email dupa abonare: oferte comerciale, notificari, ghiduri online, etc.

Vizitatorii magazinului

Orice magazin online isi masoara traficul si isi profileaza oamenii care acceseaza magazinul. Acest lucru se realizeaza prin intermediul script-urilor sau a pixelilor de tracking care se folosesc de adresele IP sau cookie-uri (aici poate fi mentionat Google Analytics, tool pe care aproape orice magazin il foloseste).

De asemenea, aici poate fi mentionat si Facebook cu aplicatia prin intermediul careia te poti inregistra sau comanda dintr-un magazin online cu ajutorul contului personal de Facebook. In acest mod, magazinul preia date personale de la Facebook.

Datele persoanelor cu care colaborezi

Colectezi datele personale ale propriilor angajati, ale partenerilor cu care colaborezi sau ale candidatilor prin intermediul CV-urilor pe care le primesti de la acestia.

Obtinerea consimtamantului

Pentru orice date personale pe care le colectezi, persoana de la care urmeaza sa le preiei va trebui sa fie instiintata despre ceea ce vei face mai departe cu acestea, iar instiintarea trebuie sa aiba loc inainte de a realiza actiunea, si nu dupa.

Astfel, daca colectezi adrese de email cu scopul de a-i trimite newsletter, va trebui sa obtii acordul pentru a folosi acea adresa, explicandu-i viitorului abonat pentru ce o vei folosi. Spre exemplu, ai nevoie de adresa pentru a-i trimite pe email oferte comerciale, noutati din magazin, campanii de marketing, articole din blog sau alte lucruri pe care vrei sa i le comunici prin intermediul email marketing-ului.

In concluzie, datele pe care le colectezi trebuie sa fie:

  • Exacte, sa oferi posibilitatea clientului sa-si actualizeze datele;
  • Stocate pe o perioada determinata si nu pentru totdeauna;
  • Confidentiale, astfel nu poti da datele mai departe.

Observatie: Toate bazele de date colectate pana in 28 Mai 2018 trebuie sa respecte regulamentul impus de catre "GDPR" si nu trebuie sa reconfirmi abonarea daca ai obtinut deja consimtantul in mod corect de la persoanele de la care ai colectat date cu caracter personal.

Responsabilul pentru protectia datelor

Responsabilitatea in cazul magazinelor online este impartita in mai multe ramuri, iar fiecare operator de date cu caracter personal va trebui sa-si desemneze in cadrul companiei o persoana cu rolul de DPO - Data Protection Officer sau Responsabilul cu Protectia Datelor.

Operatorul sau "Controller"

Operatorul sau Controller este firma care detine si administreaza magazinul online; acesta este cel care preia si lucreaza cu datele cu caracter personal de la clientii sai.

Imputernicitul sau "Data processor"

Imputernicitul sau Data Processor este reprezentat de tertii cu care operatorul colaboreaza sau lucreaza pentru a-si desfasura activitatea. In cazul unui magazin online acestia pot fi: platforma eCommerce, programatorii (daca se lucreaza cu freelanceri), firmele de curierat, serviciile de plata online, Facebook, Google Analytics, s.a.m.d.

Acesti terti au acces la datele cu caracter personal pe care operatorul le colecteaza, iar pentru asta este nevoie de un contract scris intre operator si imputernicit, in care ii este oferit imputernicitului dreptul ca acesta sa lucreze cu datele cu caracter personal colectate de catre operator. In plus, acest contract trebuie sa acopere si confidentialitatea datelor.

Sub-procesatorul sau "Sub Processor"

Sub-procesatorul este reprezentant de un tert care se afla in relatia contractuala cu imputernicitul, iar imputernicitul nu poate delega operatiuni unui sub-procesator fara acordul operatorului. De aceea, in cazul in care imputernicitul lucreaza cu un sub-procesator operatorul va trebui sa-si dea acordul pentru o astfel de situatie.

Un exemplu poate fi o platforma eCommerce care ofera magazinului online si serviciu de gazduire in pachet (asa cum ofera Extended), iar pentru acest lucru platforma respectiva colaboreaza cu o companie care detine un data center. Astfel, acel serviciu de gazduire devine in cazul de fata un sub-procesator.

Cum protejezi datele personale

Protejarea datelor cu caracter personal este o sarcina comuna pentru Operator si Imputerniciti, astfel incat acestia trebuie sa asigure urmatoarele:

Pseudonimizare si criptarea datelor

Datele cu caracter personal vor trebui criptate in baza de date, astfel ca, in cazul unei brese de securitate prin care este preluata baza de date, datele sa nu poata fi identificate.

Confidentialitatea datelor

Datele cu caracter personal pe care magazinul tau online le colecteaza sunt confidentiale si va trebui sa pastrezi confidentialitatea acestora si sa nu le folosesti in alte scopuri fara sa anunti persoana de la care ai obtinut consimtamantul.

Accesul la datele personale

Orice persoana de la care ai colectat date va trebui sa aiba acces la datele sale, de aceea operatorul va trebui sa aiba capacitatea de a restabili disponibilitatea acestor date.

Ce faci in cazul unei brese de securitate ?

In cazul unei brese de securitate, care poate fi reprezentata de un accident, o pierdere de date sau un acces neautorizat, va trebui sa informezi autoritatile reprezentate in Romania de catre A.N.S.P.D.C.P. (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) in maxim 72 de ore de la descoperirea bresei de securitate.

Ce facem si ce am facut noi pentru partenerii nostri

In primul rand, am desemnat in cadrul firmei un DPO (Data Protection Officer) care va asigura protectia datelor cu caracter personal provenite de la operatorii (magazinele online) cu care colaboram. Astfel, pregatim toate documentele necesare pentru relatia dintre Operator, Imputernicit si Sub-procesatori.

In al doilea rand, lucram la un update al platformei Extended in ceea ce priveste pseudonimizarea si criptarea tuturor datelor cu caracter personal si, totodata, obtinerea consimtamantului din partea clientilor care cumpara din magazinele online dezvoltate de catre noi. Astfel incat Extended sa devina o platforma eCommerce GDPR compliant.

Pentru informatii mai detaliate privind noile reglementari aduse de GDPR puteti consulta site-ul celor de la Information Commissioner's Office.

Ti-a placut acest articol?

Urmareste-ne pe Facebook pentru a fi la curent cu cele mai noi articole din blogul nostru.

Articole din aceeasi categorie

Retrospectiva anului 2019 pentru Extended

Retrospectiva anului 2019 pentru Extended

Publicat in Stiri eCommerce pe 30.12.2019

Suntem la finalul anului 2019, iar traditia ne indeamna sa privim in urma, sa ne felicitam pentru obiectivele atinse si sa reflectam asupra greselilor facute cu scopul de a invata din acestea. Pentru noi, acest ... Citeste tot articolul

Iti prezentam noua noastra identitate vizuala, impreuna cu intreg procesul de rebranding

Iti prezentam noua noastra identitate vizuala, impreuna cu intreg procesul de rebranding

Publicat in Update-uri Platforma pe 12.07.2021

Peste 100 de magazine online de dimensiuni medii si mari isi dezvolta afacerea prin intermediul Extended, o platforma eCommerce construita de la zero pe baza unui know-how de 15 ani de experienta in online si ... Citeste tot articolul

Un deceniu de eCommerce cu Extended

Un deceniu de eCommerce cu Extended

Publicat in Stiri eCommerce pe 09.11.2018

Odata cu Centenarul Romaniei, anul 2018 ne aduce inca un motiv de sarbatoare: celebrarea unui deceniu de eCommerce cu Extended, adica 10 ani de cand ajutam la dezvoltarea pietei eCommerce din Romania. Povestea noastra incepe in ... Citeste tot articolul