Luminita Pirvu

GDPR 2018: Tot ce trebuie să știe magazinele online despre protecția datelor 

Thumbnail

Dincolo de amenzile mari pe care le pot primi toți cei care nu respectă Regulamentul General privind protecția Datelor Personale, cel mai important lucru care trebuie înțeles este despre date. Mai exact, toți comercianții online și nu numai (toți operatorii de date) trebuie să știe ce date pot colecta, ce obligații au și în ce scopuri le pot folosi.   

Un alt aspect foarte important este că o dată cu aplicarea Regulamentului General privind protecția Datelor Personale (cunoscut ca GDPR) din 25 mai 2018, riscurile cu privire la încălcarea legislației privind protecția datelor personale cresc semnificativ, inclusiv cu amenzi de pînă la 4% din cifra de afaceri.

Bogdan Manolea - jurist specializat în drept și tehnologie și co-fondator Trusted.ro explică pentru StartupCafe.ro ce trebuie să știe magazinele online când vine vorba despre aplicarea și respectarea Regulamentului General privind protecția Datelor Personale. 

Ce este GDPR

"GDPR aduce mai multe noutăți pentru orice operator de date personale dar cea mai importantă care trebuie înțeleasă este că dincolo de amenzile mari care sunt de obicei elementul principal care aduc interesul pentru acest subiect, este abordarea reală și personalizată cu privire la ce date colectezi și ce faci cu ele", explică Bogdan Manolea . 

GDPR NU înseamnă:

  • un set de documente create de cineva extern firmei și care sunt puse în brațele magazinului; 
  • adoptarea unui standard de securitate;
  • semnarea textului GDPR de către toți angajații. 

"Practic GDPR aduce un sistem relativ nou pentru aplicarea legii: în loc să îți spună “Vino la mine să te verific”, spune “Te rog să îți faci temele.” Dacă apare o problemă, Autoritatea va veni și te va intreba dacă ți-ai făcut temele și apoi sa va uita să vadă dacă le-ai făcut bine", susține specialistul. 

Obligațiile pe care le au magazinele online

"În mare parte (excepția majoră ar fi notificarea încălăarii securității datelor) obligațiile nu diferă de legea actuală (677/2001), doar că pentru majoritatea magazinelor aceste a fost un non-subiect ・în multe cazuri început și încheiat cu notificarea la Autoritate. Cel mai scurt răspuns este să respecte principiile colectării", spune Bogdan Manolea. 

Tipuri de date pe care le pot colecta magazinele online

Cu excepția categoriilor speciale de date sau așa numitele date sensibile (legate de sănătate, viață sexuală, orientare politica, etc. (vezi lista completa aici), nu există limitări cu privire la tipurile de date colectate. Din experiența noastră la Trusted.ro, putem întâlni următoarele categorii de date colectate: 

  • Datele consumatorilor obținute ca urmare a unei comenzi
  • Datele persoanelor înscrise la newsletter
  • Datele vizitatorilor paginii web
  • Datele vizitatorilor paginii de Facebook
  • Datele angajaților
  • Datele clienților dintr-un CRM
  • Datele candidaților la joburile voastre
  • Cum și unde se pot folosi datele colectate

GDPR nu stabilește scopuri sau locuri în care nu ar putea fi folosite datele colectate. Doar că scopul trebuie văzut în legătură cu temeiul legal al prelucrării, mai ales pentru a răspunde la legitimitatea scopului. 

Să luăm în exemplu: toate magazinele colectează datele personale ale clienților pentru a le trimite produsele. Aici scopul este realizarea legală a procesului de cumpărare și livrarea comenzii.  Care intră din punct de vedere al legitimități la art 6 alin 2 la prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte.

Problema este că majoritatea magazinelor nu se opresc aici și vor să folosească datele și pentru marketing și atunci trebuie să se gândească:

  • cum definesc acest nou scop
  • care este temeiul legal pentru acesta (pentru ca în acest caz prelucrarea NU este necesară pentru executarea unui contract)
  • ce alte obligații ar trebui să aibă (informare, perioade de retenția a datelor, etc.)

Cine poate opera cu datele persoanle ale cliențiilor 

Nici aici GDPR nu impune limite stricte, dar cere operatorilor – și în cazul nostru magazinelor online – să asigure măsurile organizatorice și tehnice pentru protecția datelor personale – pentru a fi siguri că datele sunt folosite exclusiv în scopul declarat mai sus. Acestea se referă la orice persoana fizică sau juridică care procesează datele colectate de operator. Deci ne referim atât la :

  • angajații magazinelor online
  • orice furnizor de servicii exterior magazinului care are acces la datele colectate de către magazin (numit de lege “împuternicit”) 

Ce obligații au angajații magazinelor online când procesează datele  

Pentru angajați magazinul ar trebui atât să îi oblige să respecte scopul pentru care sunt prelucrate și confidențialitatea acestora, dar și să îi instruiască cu privire la de ce este important să facă acest lucru. 

Datele personale pot fi prelucrate potrivit condițiilor prevăzute la art. 6 din GDPR:

  • consimțământ
  • executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  • îndeplinirii unei obligații legale care îi revine operatorului;
  • protejarea interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  • interesul legitim

Ce se întâmplă cu datele prelucrate pentru marketing 

Din toate condițiile de legalitate de mai sus, cea care este cea mai sigură în cazul marketingului online este consimțământul (acordul), care, foarte important, trebuie să fie o acțiune clară și liberă a utilizatorului.

Unica excepție ar putea să fie folosirea “interesului legitim doar că magazinele online ar trebui să știe că interesul legitim trebuie dovedit și trebuie pus în balanță cu drepturile utilizatorilor. Aici depinde foarte mult de nivelul de intruziune în viața privată a tipului de marketing folosit ・una e să trimiți un newsletter pe lună la un fost client și altceva e să analizezi fiecare mișcare a lui pe site-ul tău. 

"Deci dacă magazinul doar își spune sie însuși sau în politica de confidențialitate – folosim ca temei legal “interes legitim”- , acesta este insuficient. Trebuie o analiză detaliată care pornește de la datele colectate și scop până la drepturile utilizatorului pentru a vedea dacă într-adevăr interesul legitim poate fi considerat ca temei legal în acel caz specific. Aceasta nu este neapărat un lucru simplu, de aceea recomandarea pentru magazinele online care nu au expertiza necesară este să meargă pe consimțământ ca temei legal", recomandă specialistul.

Unde se stochează datele

Locul de stocare este mai puțin important. Legea cere doar ca acesta să îndeplinească condițiile de securitate adecvate. Aceasta include însă găzduirea datelor într-o țara care are un regim de protectie adecvat - Uniunea Euopeana sau alte state unde acest nivel este recunoscut, inclusiv firmele din SUA.   

Ce măsuri trebuie luate de către magazinele online pentru protecția datelor

GDPR se aplică la toate prelucrările de date personale – de la o listă de prezență la un eveniment până la date de sănătate colectate de spitale. De aceea, articolul 32 din GDPR dă doar niște linii directoare generice cu privire la măsurile tehnice și organizatorice. Este la latitudinea fiecărui magazin să identifice ce înseamnă adecvat în aceste condiții. 

  • Ce spune legea - Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc.

Ce trebuie să facă în cazul deteriorării securității datelor   

Aici este o noutate importantă din GDPR - orice încălcare a securității datelor trebuie notificată la Autoritate în termen de 72 de ore de la momentul luării la cunostință despre aceasta. În schimb momentan încă nu este clar de procedura din România care va trebui să fie urmate – presupunem că vor exista explicații detaliate din partea Autorității, deocamdată există un ghid realizat de Grupul de Lucru Articolul 29 (care reunește autoritățile de aplicare din toate state membre).

Sancțiuni și amenzi pentru nerespectarea Regulamentului

Regulamentul GDPR prevede niște amenzi usturătoare, unde este stabilit doar pragul superior -  10 sau 20 de milioane de euro ori 2 % sau 4% din cifra de afaceri. De asemenea, criteriile dupa care aceste amenzi ar trebui să fie aplicate sunt prevăzute în articolul 83 din GDPR. Estimăm că vor fi reguli naționale ce vor fi adoptate în cursul anului care vor stabili și alte detalii subsecvente. 

Bogdan Manolea este jurist specializat în drept și tehnologie, co-fondator Trusted.ro – Programul de certificare națională a magazinelor online.
 

Parerea ta despre articol
Vizualizari
4703
Conţinut
Adauga comentariu

Atrage clienți noi

Google AdWords Express

Primești 200 de lei bonus pentru promovare online.