GDPR: implicații pentru magazinele online din România (sinteza webinar-ului Trusted/Silkweb din 20 iulie 2017)

În cadrul unui webinar desfășurat în 20 iulie, Bogdan Manolea (co-fondator TRUSTED.ro) și Cosmin Dărăban (CEO Silkweb) au prezentat informațiile esențiale și au răspuns întrebărilor celor peste 70 de participanți despre GDPR și implicațiile noului regulament asupra activităților de e-commerce.

Regulamentul General pentru Protecția Datelor (General Data Protection Regulation – GDPR) este Regulamentul UE 2016/679 și are directă aplicare în legislația internă (din 25 mai 2018, va înlocui Legea 677/2001). Nerespectarea regulamentului atrage sancțiuni impresionante:

  • până la 10 milioane de euro sau 2% din cifra de afaceri;
  • până la 20 de milioane de euro sau 4% din cifra de afaceri.

Câteva noutăți pentru România

  • Nu mai este necesară notificarea sau înregistarea, cum era până acum cazul cu notificarea la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
  • Se introduc responsabilitatea și conformarea;
  • Principiul “one stop shop” pentru cei care operează în mai mult state UE: este suficientă conformarea într-un singur stat, nu în toate;
  • În cazul încălcării securității, compania va trebui să notifice autoritatea în domeniu (ANSPDCP);
  • Trebuie să existe un responsabil pentru protecția datelor;
  • Trebuie să existe coduri de conduită și certificare.

Cele 5 întrebări de bază pentru un magazin online

1. Ce date personale colectați? Orice informații privind o persoană fizică identificată sau identificabilă (adică o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare – nume, număr de identificare, date de localizare etc.). Acestea ar putea fi:

  • datele consumatorilor obținute în urma unei comenzi;
  • datele persoanelor înscrise la newsletter;
  • datele vizitatorilor site-ului;
  • datele fanilor de pe Facebook;
  • datele angajaților;
  • datele clienților dintr-un sistem CRM;
  • datele candidaților la posturile vacante.

2. Pe ce bază colectați datele personale? Trebuie să existe consimțământul persoanelor în orice caz. Un fundament poate fi executarea unui contract (de exemplu vânzarea-cumpărarea), dar poate fi și un interes legitim al operatorului (de exemplu marketing).

3. Cui îi mai dați datele personale? Operatorul și împuterniciții de către operator sunt cei mai importanți actori în cadrul acestui proces. Operatorul este firma care administrează magazinul online, iar împuterniciții pot fi: platforma de e-commerce a magazinului, firma de găzduire a site-ului, curierii, procesatorii de plăți, agențiile de marketing, terții integrați în site (Google Analytics, Facebook etc.). Trebuie să existe un contract scris între operator și împuternicit, pentru ca prelucrarea datelor personale să se facă numai pe baza unor instrucțiuni și să existe obligații de confidențialitate.

4. Ce măsuri luați pentru a asigura securitatea datelor? Măsurile luate trebuie să includă:

  • pseudonimizarea și criptarea datelor;
  • asigurarea confidențialității;
  • capacitatea de a restabili disponibilitatea datelor în cazul unor incidente;
  • aderarea la un cod de conduită aprobat.

5. Aveți capacitatea de a informa autoritatea în domeniu, în cazul încălcării securității datelor? Informarea trebuie făcută în cel mult 72 de ore de când ați luat cunoștință de încălcare, către ANSPDCP sau către persoanele vizate. Magazinele online trebuie să aibă o procedură pentru detectarea încălcării securității datelor și pentru a primi informări similare de la împuterniciți.

În cadrul webinar-ului, Bogdan Manolea a răspuns la unele întrebări ale participanților. Iată cele mai importante răspunsuri:

  • Dacă aveți un formular de înscriere la un concurs sau un webinar sau un eveniment singular, dar doriți să-i trimiteți după aceea utilizatorului și un newsletter, trebuie să-l informați despre acest lucru.
  • Opțiunea de dezabonare este obligatorie la fiecare mesaj comercial trimis și este un lucru diferit de asigurarea consimțământului persoanei.
  • Deocamdată, în România nu există un cod de conduită la care pot adera magazinele online.
  • ANSPDCP poate verifica oricând respectarea legii sau atunci când există o plângere.

Până în 25 mai 2018, este important ca firmele care administrează magazine online să pregătească textul procedurii de asigurare a securității datelor personale, în concordanță cu activitățile reale și interesele legitime ale magazinelor online respective.

2 comentarii despre “GDPR: implicații pentru magazinele online din România (sinteza webinar-ului Trusted/Silkweb din 20 iulie 2017)

  1. lex

    DECIZIE nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii
    Art. 3
    (1) Operatorii sunt obligaţi să notifice Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal prelucrările datelor cu caracter personal stabilite la art. 1 alin. (1) şi art. 2, înainte de începerea prelucrării.
    Art. 1
    (1)Notificarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
    Caracter Personal nu este necesară, cu excepţia următoarelor cazuri privind:
    a)prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de
    convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa
    sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală;
    b)prelucrarea datelor genetice şi biometrice;
    c)prelucrarea datelor care permit, direct sau indirect, localizarea geografică a
    persoanelor fizice prin mijloace de comunicaţii electronice;
    d)prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de
    către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni
    administrative ori contravenţionale aplicate persoanei vizate, efectuată de către
    entităţi de drept privat;
    e)prelucrarea datelor cu caracter personal prin mijloace electronice,
    având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate,
    precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea
    aspecte;
    f)prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor
    sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în
    legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor
    susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a
    persoanelor fizice, de către entităţi de drept privat;
    g)prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul
    activităţilor de marketing direct;
    h)prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul
    internetului sau al mesageriei electronice;
    i)prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii
    membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop
    patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în
    măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei
    vizate.
    (2)În situaţiile prevăzute la alin. (1) notificarea nu este necesară atunci când
    prelucrarea este prevăzută de lege.

    Răspunde

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *