Luminita Pirvu
Dincolo de amenzile mari pe care le pot primi toți cei care nu respectă Regulamentul General privind protecția Datelor Personale, cel mai important lucru care trebuie înțeles este despre date. Mai exact, toți comercianții online și nu numai (toți operatorii de date) trebuie să știe ce date pot colecta, ce obligații au și în ce scopuri le pot folosi.
Un alt aspect foarte important este că o dată cu aplicarea Regulamentului General privind protecția Datelor Personale (cunoscut ca GDPR) din 25 mai 2018, riscurile cu privire la încălcarea legislației privind protecția datelor personale cresc semnificativ, inclusiv cu amenzi de pînă la 4% din cifra de afaceri.
Bogdan Manolea - jurist specializat în drept și tehnologie și co-fondator Trusted.ro explică pentru StartupCafe.ro ce trebuie să știe magazinele online când vine vorba despre aplicarea și respectarea Regulamentului General privind protecția Datelor Personale.
"GDPR aduce mai multe noutăți pentru orice operator de date personale dar cea mai importantă care trebuie înțeleasă este că dincolo de amenzile mari care sunt de obicei elementul principal care aduc interesul pentru acest subiect, este abordarea reală și personalizată cu privire la ce date colectezi și ce faci cu ele", explică Bogdan Manolea .
GDPR NU înseamnă:
"Practic GDPR aduce un sistem relativ nou pentru aplicarea legii: în loc să îți spună “Vino la mine să te verific”, spune “Te rog să îți faci temele.” Dacă apare o problemă, Autoritatea va veni și te va intreba dacă ți-ai făcut temele și apoi sa va uita să vadă dacă le-ai făcut bine", susține specialistul.
"În mare parte (excepția majoră ar fi notificarea încălăarii securității datelor) obligațiile nu diferă de legea actuală (677/2001), doar că pentru majoritatea magazinelor aceste a fost un non-subiect ・în multe cazuri început și încheiat cu notificarea la Autoritate. Cel mai scurt răspuns este să respecte principiile colectării", spune Bogdan Manolea.
Cu excepția categoriilor speciale de date sau așa numitele date sensibile (legate de sănătate, viață sexuală, orientare politica, etc. (vezi lista completa aici), nu există limitări cu privire la tipurile de date colectate. Din experiența noastră la Trusted.ro, putem întâlni următoarele categorii de date colectate:
GDPR nu stabilește scopuri sau locuri în care nu ar putea fi folosite datele colectate. Doar că scopul trebuie văzut în legătură cu temeiul legal al prelucrării, mai ales pentru a răspunde la legitimitatea scopului.
Să luăm în exemplu: toate magazinele colectează datele personale ale clienților pentru a le trimite produsele. Aici scopul este realizarea legală a procesului de cumpărare și livrarea comenzii. Care intră din punct de vedere al legitimități la art 6 alin 2 la prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte.
Problema este că majoritatea magazinelor nu se opresc aici și vor să folosească datele și pentru marketing și atunci trebuie să se gândească:
Nici aici GDPR nu impune limite stricte, dar cere operatorilor – și în cazul nostru magazinelor online – să asigure măsurile organizatorice și tehnice pentru protecția datelor personale – pentru a fi siguri că datele sunt folosite exclusiv în scopul declarat mai sus. Acestea se referă la orice persoana fizică sau juridică care procesează datele colectate de operator. Deci ne referim atât la :
Pentru angajați magazinul ar trebui atât să îi oblige să respecte scopul pentru care sunt prelucrate și confidențialitatea acestora, dar și să îi instruiască cu privire la de ce este important să facă acest lucru.
Datele personale pot fi prelucrate potrivit condițiilor prevăzute la art. 6 din GDPR:
Din toate condițiile de legalitate de mai sus, cea care este cea mai sigură în cazul marketingului online este consimțământul (acordul), care, foarte important, trebuie să fie o acțiune clară și liberă a utilizatorului.
Unica excepție ar putea să fie folosirea “interesului legitim doar că magazinele online ar trebui să știe că interesul legitim trebuie dovedit și trebuie pus în balanță cu drepturile utilizatorilor. Aici depinde foarte mult de nivelul de intruziune în viața privată a tipului de marketing folosit ・una e să trimiți un newsletter pe lună la un fost client și altceva e să analizezi fiecare mișcare a lui pe site-ul tău.
"Deci dacă magazinul doar își spune sie însuși sau în politica de confidențialitate – folosim ca temei legal “interes legitim”- , acesta este insuficient. Trebuie o analiză detaliată care pornește de la datele colectate și scop până la drepturile utilizatorului pentru a vedea dacă într-adevăr interesul legitim poate fi considerat ca temei legal în acel caz specific. Aceasta nu este neapărat un lucru simplu, de aceea recomandarea pentru magazinele online care nu au expertiza necesară este să meargă pe consimțământ ca temei legal", recomandă specialistul.
Locul de stocare este mai puțin important. Legea cere doar ca acesta să îndeplinească condițiile de securitate adecvate. Aceasta include însă găzduirea datelor într-o țara care are un regim de protectie adecvat - Uniunea Euopeana sau alte state unde acest nivel este recunoscut, inclusiv firmele din SUA.
Ce măsuri trebuie luate de către magazinele online pentru protecția datelor
GDPR se aplică la toate prelucrările de date personale – de la o listă de prezență la un eveniment până la date de sănătate colectate de spitale. De aceea, articolul 32 din GDPR dă doar niște linii directoare generice cu privire la măsurile tehnice și organizatorice. Este la latitudinea fiecărui magazin să identifice ce înseamnă adecvat în aceste condiții.
Aici este o noutate importantă din GDPR - orice încălcare a securității datelor trebuie notificată la Autoritate în termen de 72 de ore de la momentul luării la cunostință despre aceasta. În schimb momentan încă nu este clar de procedura din România care va trebui să fie urmate – presupunem că vor exista explicații detaliate din partea Autorității, deocamdată există un ghid realizat de Grupul de Lucru Articolul 29 (care reunește autoritățile de aplicare din toate state membre).
Regulamentul GDPR prevede niște amenzi usturătoare, unde este stabilit doar pragul superior - 10 sau 20 de milioane de euro ori 2 % sau 4% din cifra de afaceri. De asemenea, criteriile dupa care aceste amenzi ar trebui să fie aplicate sunt prevăzute în articolul 83 din GDPR. Estimăm că vor fi reguli naționale ce vor fi adoptate în cursul anului care vor stabili și alte detalii subsecvente.
Bogdan Manolea este jurist specializat în drept și tehnologie, co-fondator Trusted.ro – Programul de certificare națională a magazinelor online.