GDPR reprezinta abrevierea de la Regulamentul General privind Protectia Datelor. Conform regulamentului, fiecare operator sau persoana imputernicita de catre un operator, pentru activitatile desfasurate printr-un sediu din Uniunea Europeana sau chiar in anumite conditii pentru sedii din afara Uniunii Europene in cazul prelucrarii vizand cetatenii europeni (de exemplu oferirea de bunuri sau servicii), va trebui sa se supuna acestor reguli pentru protectia datelor cu caracter personal. Regulamentul european va incepe sa se aplice pe 25 Mai 2018 si urmareste o protectie sporita a persoanelor fizice in contextul prelucrarii datelor cu caracter personal.
Ce implica GDPR
Riscurile incalcarii regulamentului privind protectia persoanelor fizice sunt destul de mari putand ajunge la amenzi de pana la 4% din cifra de afaceri anuala sau 20 de milioane de euro (oricare dintre acestea este mai mare).
Regulamentul european este direct aplicat in toate Statele Membre si nu este necesar sa fie adoptat prin norme de drept intern. Statele Membre ar trebui totusi sa elaboreze un cadru normativ intern pentru aplicarea GDPR, avand si posibilitatea de a adapta prin norme de drept intern anumite prevederi ale Regulamentului, indicate expres de acesta.
Regulementul Cuprinde 99 de articole, majoritatea vizand drepturile persoanelor fizice si obligatiile care le revin operatorilor si persoanelor imputernicite ce intra sub incidenta acestei legislatii.
La 25 mai 2018, noul instrument de protectie a datelor la nivelul Uniunii Europene va deveni direct aplicabil. Adoptarea pachetului de reforme privind protectia datelor cu caracter personal include Regulamentul general privind protectia datelor (GDPR), reglementare care inlocuieste Directiva nr. 46/1995 („Directiva privind protectia datelor cu caracter personal”), precum si Directiva nr. 680/2016 privind protectia persoanelor fizice referitoare la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date.
Regulamentul complet poate fi accesat la adresa https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=RO
Toate magazinele online, dar si toti operatorii de date vor trebui sa respecte prevederile Regulamentului in privinta temeiurilor pe care isi pot baza prelucrarea de date personale (i.e., informatii cu privire la persoane identificate sau identificabile, cum ar fi numele, CNP-ul etc).
Datele cu caracter personal ce vor necesita aceasta aprobare pot fi de exemplu adresele de e-mail, detalii bancare, postari pe site-uri de socializare, informatii medicale sau adrese IP ale diferitelor deviceuri. IP-ul, in special cel de tip dinamic, este in acest moment un subiect controversat – Curtea de Justitie a Uniunii Europe statuand anterior ca in anumite conditii poate reprezenta data cu caracter personal, desi prin sine insusi nu poate identifica de cele mai multe ori o persoana anume.
GDPR defineste mai multe scopuri pentru utilizarea datelor, tratate individual. Pentru livrarea unei comenzi de catre magazin, scopul este exercitarea unui contract la care persoana vizata este parte, dar utilizatorul trebuie instiintat daca informatiile se transmit catre in tert (de exemplu firma de curierat, firma de plati online sau diverse sisteme cloud). Firma care detine magazinul online trebuie sa asigure ca datele sunt protejate cat mai bine (atat de angajati cat si de terte firme cu care colaboreaza).
Pentru a sustine vanzarile, magazinele online utilizeaza aceste date uneori si in alte scopuri decat cele declarate, toate aceste procesari de date trebuie clar mentionate instiintand si obtinand acceptul utilizatorilor. In situatia in care colectarea si prelucrarea initiala a fost fundamentata pe executarea unui contract sau urmarirea unui interes legitim al operatorului, pentru o prelucrare ulteriora in alt scop va fi necesar consimtamantul persoanelor vizate, in afara de cazul in care aceasta procesare este ceruta de lege.
Datele cu caracter personal pot fi prelucrate conform articolului 6 din GDPR daca:
– Exista consimtamantul utilizatorului
– Se executa un contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei pentru incheierea unui contract.
– Indeplinirea unei obligatii legale a operatorului de date (de exemplu emiterea unei facturi)
– Protejarea intereselor persoanei vizate
– Indeplinirea unei sarcini vitale a persoanei vizate
– Interesul legitim
Operatorul de date trebuie sa ia masuri tehnice si orgnizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator cu gradul de risc identificat, probabilitatea si gravitatea incalcarilor drepturilor si libertatilor persoanelor fizice.
Fiecare utilizator are dreptul de a solicita stergerea datelor sale personale („dreptul de a fi uitat”), dar stergerea va putea fi refuzata in anumite cazuri expres mentionate (de exemplu, exista o obligatie legala de pastra anumite documente).
In cazul deteriorarii sau incalcarii securitatii datelor GDPR obliga sa se faca o notificare la Autoritatea pentru protectia datelor in termen de 72 de ore la momentul luarii la cunostiinta despre acesta. Aceasta deterioare poate sa se refere atat la furtul online de date cat si de exemplu la pierderea unui laptop al companiei continand astfel de date, chiar daca aceasta procedura nu este inca foarte clara.
Un alt aspect foarte important legat de stocarea datelor personale vizeaza durata de stocare si cantitatea de date prelucrate. Conform GDPR, este important sa se prelucreze cat mai putine date personale (i.e., doar ceea ce este necesar), iar aceste date sa fie stocate doar pentru durata cat sunt necesare pentru indeplinirea scopului pentru care au fost colectate.
Ce putem face noi in acest sens?
In ultima perioada am lucrat intensiv pentru a gasi o reprezentare functionala cat mai exacta, ce va poate ajuta sa implementati GDPR in magazinul online creat de noi.
In acest sens, incepand de astazi va putem oferi servicii software de armonizare cu GDPR.
Este indicat ca pentru a va proteja cat mai bine sa discutati si cu avocatul / consultantul juridic al firmei dumnevoastra si sa va faceti un audit intern al procesarilor si stocarilor de date personale.
Fiecare companie (GDPR nu se refera doar la magazinele online) are procese si nevoie specifice privind prelucrarea datelor.
Implementarea optiunilor ce urmeaza a fi prezentate reprezinta un factor in plus de protectie, dar nu va garanteaza ca GDPR este corect implementat.
Compania noastra nu presteaza servicii si consultanta juridica, dar facem tot ce ne sta in putinta pentru a va ajuta sa depasiti aceasta etapa.
Este foarte important ca in eventualitatea unui control sa puteti demonstra ca ati luat toate masurile necesare pentru protectia datelor in compania dumnevoastra.
Pentru a proteja datele cu caracter personal, am creat un pachet de servicii platite ce include:
– Informare privind cookieurile si procesarea datelor cu caracter personal la intrarea pe site.
– Crearea de accepturi administrabile (mesaj informare si mesaj daca nu s-au acceptat termenii) pentru prelucrarea datelor la plasarea unei comenzi.
– Crearea de accepturi administrabile (mesaj informare si mesaj daca nu s-au acceptat termenii) pentru colectarea datelor de stergere a unei comenzi.
– Stocarea anonimizata a acceptului fiecarui utilizator care furnizeaza date cu caracter personal.
– Stocarea anonimizata a confirmarii de stergere a comenzilor.
– Stocarea anonimizata a confirmarii de stergere a contului.
– Dezactivarea bifelor precompletate.
– Filtrarea datelor ce pot conduce la atacuri de securitate si abuz al bazelor de date.
– Suport pentru utilizarea noilor facilitati.
Pentru a beneficia de aceste facilitati, contactati-ne accesand butonul de mai jos.
In cazul in care nu beneficiati de certificare SSL pentru magazin online, este indicat sa solicitati si instalarea unui asemenea certificat, fiind un factor in plus de protectie pentru a protejarea datelor clientilor dumnevoastra.
In cazul in care considerati ca doriti si alte servicii software decat cele enumerate, va rugam sa ne anuntati si va vom face o oferta personalizata pentru dezvoltarea tuturor facilitatilor pe care le considerati necesare pentru a va conforma cat mai bine cu GDPR.
