Primul pas în protecția datelor personale pentru un magazin online: revizuiește politica de confidențialitate

Prezentul articol isi propune sa explice proprietarilor sau managerilor de magazine online care este primul pas in implementarea regulamentului in asa fel incat aplicarea acestuia sa nu ingreuneze procesul decizional iar sanctiunile sa fie evitate.

Cu siguranta anul 2018 este anul cel mai important in industria digitala deoarece la sfarsitul lunii mai intra in vigoare Regulamentul privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Acest regulament va fi unul benefic atat pentru oameni cat si pentru companii.Oamenii se vor bucura de mai mult control asupra datelor cu caracter personal iar companiile vor beneficia de concurenta in conditii de echitate.

Ca utilizator, abia astept data de 25 mai 2018 deoarece, dupa acest moment, datele mele personale colectate prin diverse campanii promotionale nu vor mai putea fi folosite prin marketing direct in alt scop decat acela in care au fost colectate. Astfel, voi putea descarca un ghid care ma intereseaza fara teama ca ulterior adresa de mail sau pagina de facebook imi va fi bombardata de reclame.

In ceea ce priveste companiile, acestea nu trebuie sa se teama de sanctiunile prevazute in Regulament. Acestea trebuie sa inteleaga ca scopul principal al Regulamentului este acela de a crea o cultura a protectiei datelor personale.

Aplicarea sanctiunii cu amenda se va aplica numai in situatia in care in urma investigatiei, Autoritatea de Supraveghere stabileste ca masuri precum mustrarea, avertismentul, obligarea de a informa persoana vizata cu privire la prelucrarea datelor, stergerea datelor sau restrictionarea prelucrarii sunt insuficiente.

Un magazin online prelucreaza datele personale necesare indeplinirii contractului. Numele, prenumele, adresa de livrare si numarul cardului de credit sunt prelucrate in scopul expedierii produsului comandat.

In momentul intrarii in vigoare a Regulamentului vor exista doua tipuri de clienti:

clientii actuali ale caror date au fost deja colectate
clientii noi, care comanda prima data dupa intrarea in vigoare a Regulamentului.

Informatii care trebuie oferite persoanelor ale caror date sunt colectate - Art. 13 din Regulament

Art. 13 din Regulament prevede o serie de informatii cum ar fi: datele societatii, motivul colectarii datelor, justificarea colectarii etc., care trebuie oferite persoanelor vizate in momentul colectarii datelor personale.

Aceste informatii trebuie oferite in scris si oral doar la solicitarea persoanei vizate. In consecinta, daca colectarea datelor personale se face online atunci informatiile care trebuie oferite pot fi cuprinse intr-un formular online.

Daca, in schimb, colectarea datelor personale se face oral, informatiile care trebuie oferite pot fi trimise prin mail, sau daca persoana vizata solicita, trebuie oferite oral.

In ceea ce priveste clientii actuali, daca organizatia a obtinut consimtamantul clientilor, in actualul sistem, prin bifarea unei casute, acest consimtamant nu este valabil.

Organizatia trebuie sa isi revizuiasca politica de confidentialitate si sa obtina consimtamantul clientilor printr-un formular care contine toate informatiile care trebuie oferite potrivit art. 13 din Regulament.

Pentru clientii noi, situatia este clara, informatiile trebuie oferite in momentul colectarii in conditiile descrise mai sus.

Pentru ca organizatia sa obtina un consimtamant valabil, aceasta trebuie sa foloseasca un limbaj clar si simplu prin care persoana vizata sa inteleaga scopul prelucrarii si sa isi exprime consimtamantul in cunostinta de cauza.

Responsabilitatea pentru prelucrarea datelor personale

Compania proprietara a magazinului online are calitatea de operator de date deoarece aceasta stabileste scopul prelucrarii.

Compania adica, operatorul de date, trebuie sa numeasca o persoana imputernicita sa prelucreze datele cu caracter personal.Persoana imputernicita poate fi un angajat sau un tert, persoana fizica sau persoana juridica.

Atributiile persoanei imputernicite urmeaza a se stabili prin contract, de munca sau de servicii. Atunci cand persoana imputernicita este un angajat trebuie avut mare grija la conflictul de interese intre functia detinuta si calitatea de persoana imputernicita sa prelucreze datele cu caracter personal.

Intrucat activitatea principala a unui magazin online nu implica prelucrarea de date personale sensibile, cum ar fi:originea rasiala, date privind sanatatea sau viata sexuala etc. si nici o monitorizare periodica si sistematica a persoanelor vizate pe scara larga, in mod normal, acestuia nu ar trebui sa ii revina obligatia numirii unui responsabil cu protectia datelor (DPO).

Potrivit dispozițiilor regulamentului, numirea unui DPO este obligatorie în domeniul public si recomandabilă pentru sistemul privat. Așadar, un magazin online trebuie să desemneze o persoană împuternicită să prelucreze datele personale și să dețină un sisyem sigur de evidență a prelucrării datelor personale.

Discutii interesante sunt si in jurul subiectului daca un avocat ar trebui desemnat ca persoana imputernicita sa prelucreze datele avand caracter personal.Se porneste de la ideea ca avocatul este o persoana capabila sa ofere consultanta juridica necesara, stie sa pastreze confidentialitatea si poate raspunde clar si detaliat persoanelor care isi exercita drepturile cu privire la protectia datelor. O solicitare abuziva a unei persoane fizice de a accesa datele prelucrate poate fi respinsa si chiar taxata.

Cum trebuie pastrate datele colectate

Principiul de baza al colectarii datelor personale este acela al reducerii la maximum a datelor colectate.Trebuie colectate doar datele personale adecvate, clare si necesare scopului.

De exemplu, se va evita prelucrarea numarului cardului de credit daca plata se face in sistem ramburs.

Operatorul de date trebuie sa asigure garantii tehnice si organizationale adecvate pentru asigurarea securitatii datelor inclusiv protectia impotriva prelucrarii neautorizate.Aceste garantii se pot realiza prin pseudonimizare - inlocuirea materialelor indentificabile personal cu identificatori artificiali sau prin criptare - codificarea mesajelor astfel incat sa nu poata fi citite decat de persoanele autorizate.

In concluzie, din motive de claritate juridica si de buna organizare a activitatii manageriale, este recomandabil ca operatorul de date cu caracter personal sa realizeze un sistem de protectie a datelor cu carcter personal si sa desemneze o persoana imputernicita care sa raspunda in relatia cu Autoritatea de Supraveghere si cu persoanele care isi exercita drepturile cu privire la protectia datelor personale.

Cum pui întrebări la articol

Scrie în formularul de comentarii, de la final de articol

Bifează căsuța ”Vreau răspuns de la autor”

Primești răspunsul la întrebare pe site și pe email