17.04.2018
Rezumat despre GDPRGDPR va fi obligatoriu incepand cu 25 mai 2018, necesitand revizuirea si daca este necesar, corectarea tuturor practicilor de operare a datelor. L-am rugat pe Dl. dr. Juhász Botond, managerul si proprietarului Jutasa Ltd. expert in legistlatie comert online, pentru a rezuma cele mai importante informatii despre GDPR:

Platforma UNAS si GDPR

UNAS este pregatit pentru tranzitie: cerintele legislative sunt indeplinite de sistem si datorita pregatirilor care au avut loc de luni de zile, cerintele GDPR vor fii compatibile cu platforma GDPR incepand cu data de 25 mai 2018. In acelasi timp, trebuie sa stiti ca chiar daca sistemul pe care il utilizati este conform cerintelor GDPR, asta nu inseamna ca puteti sa va relaxati, deoarece Dvs. va trebui sa efectuati pasii concreti de operare a datelor.

Ce este GDPR

GDPR (General Data Protection Regulation), a fost adoptat de Parlamentul European in aprilie 2016. Spre deosebire de directivele cu care ne-am obisnuit in trecut, Regulamentele Europene nu au nevoie de legi nationale care sa transpuna prevederile in legislatia fiecarui stat UE si intra in vigoare direct din data de 25 mai 2018, fara nicio formalitate, in toate statele Uniunii Europene. Regulamentul reglementeaza drepturile persoanelor vizate, obligatiile controlorilor de date si ale prelucratorilor de date, competentele autoritatilor procedurale etc. GDPR este regula principala pe care un webshop ca operator de date trebuie sa o ia in considerare.

GDPR protejeaza datele personale ale persoanelor fizice (afectate)

GDPR protejeaza dreptul persoanei fizice asupra protectiei datelor cu caracter personal, "datele personale" pot fi interpretate pentru o persoana fizica, o companie nu are date personale sau drepturi pentru date cu caracter personal.

Cine trebuie sa respecte reglementarile GDPR

Toti cei care gestioneaza datele personale ale unei persoane fizice. Exista exceptii de la aceasta, atunci cand operarea datelor este efectuata de persoane fizice numai in contextul activitatilor personale sau cele de acasa, regulamentul nu se aplica acestora. De exemplu, se considera activitate personala sau de acasa, schimbul de emailuri, stocare de adrese, si schimbul de date a retelelor sociale, activitati online. Dar deja pe o administrare de date trebuie sa se aplice reglementarea GDPR

Ce sunt datele personale?

Date cu caracter personal – orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Specificatii juridice si informatice

Unul dintre principiile de baza a GDPR este dovada conformitatii, a trasabilitatii si a verificabilitatii. Cea ce inseamna ca Dumneavoastra, in calitate de administrator de date(operator) nu e de ajuns sa fiti in concordanta cu reglementarile, ci trebuie sa le puteti si dovedi. Pe de alta parte, nu va puteti referi ca nu e responsabilitatea Dvs, si ca este de ex. responsabilitatea furnizorului de servicii de gazduire, a platformei eCommerce, a programului de facturarea sau celui care trimite newslettere, etc. Dumneavoastra ca si administrator de date (operator) sunteti responsabil (si pana in ziua de azi asa era). Din aceasta rezulta ca nu doar conditiile de prelucrare a datelor cu caracter personal trebuie sa fie in concordanta cu GDPR, ci si operatiunile informatice si organizatorice sa fie in concordanta cu GDPR.

Cine este administratorul de date(operatorul) in activitatile de baza ale unui magazin online

Compania care administreaza magazinul online sau antreprenorul individual, adica o persoana fizica sau juridica care determina scopurile si mijloacele de prelucrare a datelor cu caracter personal sau in comun cu alte persoane.

Cine este procesatorul de date in activitatile unui magazin online?

In cazul unui magazin online, procesator de date este oricine care prelucreaza date personale conform cerintei administratorului magazinului de exemplu furnizorul de hosting (aici se stocheaza datele personale), Curieratul (primeste numele si adresa destinatarului, furnizorii de servicii newsletter (primesc accees la adresele de mail etc.). Conform GDPR procesator de date este fiecare persoana juridica, fizica, autoritate publica, agentie sau orice alt organism care gestioneaza datele cu caracter personal in numele administratorului de date(operatorului).

Obligatiile magazinelor online in legatura cu GDPR

Magazinul online este obligat sa informeze in prealabil despre prelucrarea datelor cu caracter personal. La cererea persoanei in cauza operatorul este obligat ca sa informeze daca sunt date personale folosite si prelucrate legate de acesta, daca da care este scopul acestora, care sunt categoriile datelor prelucrate, cine sunt destinatarii datelor. Daca persoana in cauza cere aplicarea dreptului de stergere sau cel de fi uitat, atunci magazinul online are obligatia de a face acest lucru. Daca a avut loc un incident de confidentialitate, magazinul online trebuie sa raporteze autoritatii de supraveghere in termen de 72 de ore de la primirea acestor informatii si sa pastreze o evidenta a incidentelor de confidentialitate. Daca incidentul reprezinta un risc ridicat asupra drepturilor si libertatii persoanei fizice, operatorul de date are obligatia sa informeze fara intarziere pe aceasta. Totodata trebuie sa tina o evidenta despre prelucrarea datelor care nu sunt ocazionale.

De ce sa modificati declaratia de prelucrarea datelor cu caracter personal?

Persoana in cauza trebuie instiintata despre fiecare detaliu legat de prelucrarea datelor acestuia, in special cu privire la scopul si temeiul juridic al prelucrarii datelor, asupra dreptului operatorului si prelucratorilor datelor, durata prelucrarii si informatii cine are acces la acestea. Modificarile GDPR se refera in special la drepturile persoanelor vizate: dreptul de a fi uitat si dreptul de a porta datele respective. Si despre acestea trebuie instiintate cei in cauza. Daca participa si un responsabil cu protectia datelor, numele si adresa acestuia trebuie indicate.

Exemple specifice - Trimitere Newsletter

Daca cineva se aboneaza la newsletter in magazinul dvs, atunci trebuie sa fie asigurate conditiile tehnice si legale:
  • Este nevoie de o informare a prelucrarii datelor cu caracter personal, care are continut care este conform cerintelor GDPR si care informeaza persoana respectiva la scopul, temeiul juridic, care dintre datele lui o sa fie folosite, ce drepturi are. Aceasta fiind obligatia administratorului magazinului sa o puna la dispozitie
  • Informarea trebuie sa fie afisata pe situl dvs. chiar inainte de abonare la newsletter, iar persoana in cauza trebuie sa accepte. Aceasta se poate face cu un link catre "Prelucrarea datelor cu caracter personal" si cu un checkbox care nu e bifat. Responsabilitatea lui UNAS este ca checkbox-ul sa fie activabil pe frontend si ca sa aveti posibilitatea sa afisati si lucrul respectiv. Responsabilitatea dumneavoastra este ca sa fie o astfel de informare si sa fie linkuit.
  • Mai tarziu daca persoana se dezaboneaza de la newsletter ea va fi stersa din lista abonatilor si poate va trebui sa stiti sa dovediti ca stergerea sa intamplat. Acest lucru in sistemul UNAS e usor, fiindca lista abonatilor este editabila si se poate exporta in multe formate.

Ce trebuie facut?

Pregatirea implica un numar de procese construite unul pe celalalt, urmand pasii urmatori:
  • Cazurile de prelucrare a datelor trebuie evaluate(cand, de ce, etc.)
  • Aceste prelucrari de date trebuie sa apara si intr-un registru
  • Este necesar sa se determine ce si cum trebuie modificat legat de operarea datelor(procesul si pe site) pe baza GDPR
  • Trebuie create regulile necesare interne si externe
  • Daca este necesar, trebuie numit responsabilul cu protectia datelor
  • Trebuie introdus noul proces de operare a datelor
  • Practica conform GDPR trebuie mentinuta.

Evaluarea cazurilor de tratare a datelor

Practic aceste campuri de input intra in considerare:
  • Instalare de cookie-uri functionale si/sau de marketing la vizitarea paginii (inregistrare adresa IP)
  • Inregistrare, comanda, abonare newsletter
  • Contact(formular sau email), orice popup marketing unde se colecteaza date personale(de ex pentru introducerea adresei de email -> cod cupon, etc.)
  • jocuri cu premii
  • solicitari de garantie, tratare reclamatii privind protectia consumatorilor

Desigur, dincolo de cele enumerate mai sus, pot fi mult mai multe scopuri de operare a datelor, dar cele enumerate acopera functionarea unui magazin online. Trebuie sa luati fiecare tip de operare de date si sa le treceti intrun registru, care contine Baza juridica, scopul, durata, si care date sunt gestionate(nume, cnp, etc.) la fiecare tip de operare.

Ce fel de procesari de date se efectueaza intr-un magazin online

  • Instalare de cookie-uri functionale si/sau de marketing la vizitarea paginii (inregistrare adresa IP)
  • Prelucrari de date pentru a contracta si pentru a indeplini contractul: contact, comanda, facturare, livrare, etc.
  • Prelucrari de date pt scopuri de marketing: aceasta include si trimiterea de newsletter, remarketing, jocurile cu premii, etc.

Care va fi baza legala a operarii datelor in cazul unui magazin online

Schimarea importanta in GDPR este, ca se schimba baza legala a operarii datelor. Un magazin online, tipic efectua operarea datelor doar cu acordul persoanei in cauza, aceasta se schimba partial, fiindca executarea contractului este deja considerat o baza legala de operare a datelor. De exemplu datele operate la implinirea comenzii sau la livrare. Operarea datelor cu privire la marketing raman neschimbate adica necesita acordul persoanei acarei date dorim sa le prelucram. Raman totodata importante datele operate conform legii (tratarea reclamatiilor consumatorilor, tratarea reclamatiilor, facturarea.)

Remarketing Google si Facebook

Remarketingul nu este inca clar si este dificil sa de declarat cine este operatorul de date, administratorul magazinului sau de ex Google. Ceea ce putem preciza este, daca un administrator nu foloseste cookie-uri pentru identificare, atunci operarea datelor personale nu va fi realizata. Dar daca persoana afectata se poate identifica prin cookie-urile folosite, atunci activitatea de remarketing devine o operare de date personale, si este necesar sa pastreze fereastra de acceptare cookie-uri.

Ce este crearea de profiluri?

„orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia”. Crearea de profil la un magazine online se poate crea automat in doua feluri. Pe deoparte la crearea contului la o comanda predata, sau cu datele stranse cu ajutorul cookie-urilor. Daca pe aceste date cream automat prelucrare de date, acestea trebuie sa fie conform cu reglementarea GDPR si e obligatoriu ca persoanele a caror date sunt prelucrate sa aiba dreptul si posibilitatea ca sa decida pe deasupra crearii de profil si decizia bazata pe aceasta. De exemplu daca pe baza comenzilor anterioare dorim sa oferim un cupon la client, aceasta o sa fie o decizie bazata pe crearea de profil. In cazul lui google de exemplu care ne arata produse bazate pe baza cautarilor noastre anterioare, nu este luata o decizie clara, dar practicile juridice o sa decida in aceste cazuri.

Drepturile persoanelor afectate

Modificarile din GDPR se refera in special la drepturile persoanelor vizate: A aparut dreptul de a fi uitat, si dreptul de a porta datele personale, si persoanele afectate trebuie sa fie informate. In politica de confidentialitate trebuie trecut ca un nou element, ca datele introduse sunt necesare pentru indeplinirea contractului, informare despre crearea de profil, si ca acordul oricand se poate revoca.
  • dreptul de revocare
  • accesul la datele personale si informatii legate de prelucrarea datelor cu caracter personal
  • dreptul de corectare
  • limitarea operarii datelor
  • dreptul la stergere
  • dreptul de a protesta
  • dreptul de portabilitate

Link-uri utile