GDPR: implicații pentru magazinele online din România (sinteza webinar-ului Trusted/Silkweb din 20 iulie 2017)

În cadrul unui webinar desfășurat în 20 iulie, Bogdan Manolea (co-fondator TRUSTED.ro) și Cosmin Dărăban (CEO Silkweb) au prezentat informațiile esențiale și au răspuns întrebărilor celor peste 70 de participanți despre GDPR și implicațiile noului regulament asupra activităților de e-commerce.

Regulamentul General pentru Protecția Datelor (General Data Protection Regulation – GDPR) este Regulamentul UE 2016/679 și are directă aplicare în legislația internă (din 25 mai 2018, va înlocui Legea 677/2001). Nerespectarea regulamentului atrage sancțiuni impresionante:

  • până la 10 milioane de euro sau 2% din cifra de afaceri;
  • până la 20 de milioane de euro sau 4% din cifra de afaceri.

Câteva noutăți pentru România

  • Nu mai este necesară notificarea sau înregistarea, cum era până acum cazul cu notificarea la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
  • Se introduc responsabilitatea și conformarea;
  • Principiul “one stop shop” pentru cei care operează în mai mult state UE: este suficientă conformarea într-un singur stat, nu în toate;
  • În cazul încălcării securității, compania va trebui să notifice autoritatea în domeniu (ANSPDCP);
  • Trebuie să existe un responsabil pentru protecția datelor;
  • Trebuie să existe coduri de conduită și certificare.

Cele 5 întrebări de bază pentru un magazin online

1. Ce date personale colectați? Orice informații privind o persoană fizică identificată sau identificabilă (adică o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare – nume, număr de identificare, date de localizare etc.). Acestea ar putea fi:

  • datele consumatorilor obținute în urma unei comenzi;
  • datele persoanelor înscrise la newsletter;
  • datele vizitatorilor site-ului;
  • datele fanilor de pe Facebook;
  • datele angajaților;
  • datele clienților dintr-un sistem CRM;
  • datele candidaților la posturile vacante.

2. Pe ce bază colectați datele personale? Trebuie să existe consimțământul persoanelor în orice caz. Un fundament poate fi executarea unui contract (de exemplu vânzarea-cumpărarea), dar poate fi și un interes legitim al operatorului (de exemplu marketing).

3. Cui îi mai dați datele personale? Operatorul și împuterniciții de către operator sunt cei mai importanți actori în cadrul acestui proces. Operatorul este firma care administrează magazinul online, iar împuterniciții pot fi: platforma de e-commerce a magazinului, firma de găzduire a site-ului, curierii, procesatorii de plăți, agențiile de marketing, terții integrați în site (Google Analytics, Facebook etc.). Trebuie să existe un contract scris între operator și împuternicit, pentru ca prelucrarea datelor personale să se facă numai pe baza unor instrucțiuni și să existe obligații de confidențialitate.

4. Ce măsuri luați pentru a asigura securitatea datelor? Măsurile luate trebuie să includă:

  • pseudonimizarea și criptarea datelor;
  • asigurarea confidențialității;
  • capacitatea de a restabili disponibilitatea datelor în cazul unor incidente;
  • aderarea la un cod de conduită aprobat.

5. Aveți capacitatea de a informa autoritatea în domeniu, în cazul încălcării securității datelor? Informarea trebuie făcută în cel mult 72 de ore de când ați luat cunoștință de încălcare, către ANSPDCP sau către persoanele vizate. Magazinele online trebuie să aibă o procedură pentru detectarea încălcării securității datelor și pentru a primi informări similare de la împuterniciți.

În cadrul webinar-ului, Bogdan Manolea a răspuns la unele întrebări ale participanților. Iată cele mai importante răspunsuri:

  • Dacă aveți un formular de înscriere la un concurs sau un webinar sau un eveniment singular, dar doriți să-i trimiteți după aceea utilizatorului și un newsletter, trebuie să-l informați despre acest lucru.
  • Opțiunea de dezabonare este obligatorie la fiecare mesaj comercial trimis și este un lucru diferit de asigurarea consimțământului persoanei.
  • Deocamdată, în România nu există un cod de conduită la care pot adera magazinele online.
  • ANSPDCP poate verifica oricând respectarea legii sau atunci când există o plângere.

Până în 25 mai 2018, este important ca firmele care administrează magazine online să pregătească textul procedurii de asigurare a securității datelor personale, în concordanță cu activitățile reale și interesele legitime ale magazinelor online respective.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *