GDPR pentru magazinele online

GDPR pentru magazinele online

GDPR pentru magazinele online sau cum pregatim magazinele online pentru GDPR?

Ce este GDPR? Dar RGDP?

Regulament General privind protectia Datelor cu caracter Personal sau GDPR – General Data Protection Regulation.

GDPR, este un regulament care are scopul sa protejeze atat datele personale cat si viata privata a cetatenilor din UE. Nerespectarea acestui regulament duce la sanctionarea companiilor cu amenzi de pana la 4% din cifra de afaceri anuala globala sau pana la 20 de milioane de Euro. In Romania, aplicarea acestor sanctiuni si controale revin in sarcina Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal – A.N.S.P.D.C.P.

Daca compania dumneavoastra proceseaza date despre persoane fizice in contextul vanzarii de bunuri sau servicii catre cetatenii europeni din orice tara UE, atunci trebuie sa va conformati GDPR.

Care sunt firmele care trebuie să desemneze un DPO?

Obligația de a avea un DPO este valabilă în cazul societăților care se ocupă în principal cu prelucrarea datelor personale și cele cu peste 250 angajați. De exemplu: bănci, spitale, clinici private, farmacii sau magazine online.

Tipuri de date protejate de GDPR

Orice informatie referitoare la o persoana care poate fi utilizata pentru identificarea directa sau indirecta a acesteia intra sub incidenta acestui regulament. Poate fi oriceȘ un nume, o fotografie, o adresa de e-mail, detalii bancare, postari pe site-uri de socializare, informatii medicale sau o adresa IP a computerului.

  • Informatii de baza despre identitatea unei persoane (nume, prenume, adresa, CNP)
  • Adresa IP, cookie, etc.
  • Informații despre sănătate
  • Informații genetice
  • Date biometrice
  • Datele rasiale sau etnice
  • Opinii politice
  • Orientare sexuală

Tipuri de date colectate de un magazin online

Proprietarul magazinului online trebuie să garanteze că datele colectate despre o persoană sunt protejate si trebuie să se asigure că terțele companii cu care lucrează au implementat la rândul lor acest standard.

Un magazin online colectează date atunci cand:

  1. Se plasează o comandă – se colectează anumite date pentru a putea emite factura, garanția și a livra coletul. Se colectează date ca: nume, prenume, telefon, email, adresă, adresa IP, date fiscale, etc. Daca aceste date se utilizează doar pentru emiterea facturii, a certificatului de garanție și livrarea coletului, clientul trebuie informat ca aceste date vor fi utilizate doar cu scopul de a emite documentele respective și de a livra comanda. În cazul în care aceste date se vor utiliza și în alte scopuri (trimitere newslettere, campanii google adwords sau facebook) clientul trebuie informat iar acesta trebuie sa își dea acceptul pentru ca aceste date să poată fi utilizate
  2. Se înscrie la newsletter – clientul trebuie să fie notificat că adresa de e-amil va fi utilizată la trimitere de oferte promoționale, notificări, etc.
  3. Accesează magazinul online – clientul trebuie să fie informat că prin intermediul google analytics sau pixelul de la facebook sau alt instrument de masurare trafic pe site, se colectează informații despre adresa IP, se salvează cookie pe calculatorul local și care pot fi utilizate în activități de promovare online
  4. Creare cont – prin completarea unui formular sau creare cont prin preluare datelor de la facebook, google, etc. – utilizator trebuie notificat că vor fi preluate informații din contul rețelelor de socializare

Obținerea consimțământului

Pentru orice date personale colectate, persoana de la care urmeaza sa fie preluate trebuie sa fie instiintata despre ceea ce se va face cu aceste date iar instiintarea trebuie sa aiba loc inainte de a realiza actiunea, si nu dupa.

Datele care se colectează trebuie să fie:

  • Exacte iar clientul să aibă posibilitatea de a le actualiza
  • Stocate pe o perioada determinată și nu pentru totdeauna
  • Confidențiale

Toate datele personale colectate pana în prezent trebuie sa respecte regulamentul impus de catre GDPR si trebuie să te asiguri ca ai obtinut în mod corect de la persoane consimtamantul.

Responsabilul pentru protectia datelor

În cazul magazinelor online fiecare operator de date cu caracter personal trebuie să își desemneze în cadrul companiei o persoană cu rol de DPO (Data Protection Officer sau Responsabilul cu Protectia Datelor) sau să externalizeze acest serviciu.

Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern (persoană fizică autorizată, altă firmă etc.).

Pentru companiile care au unul sau mai multe magazine online desemnarea unui DPO poate fi problematic deoarece acesta trebuie să îndeplinească anumite criterii pentru a nu fi în conflict de interese:

  • administrator sau director general – apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți
  • director financiar – decide în aspectele financiare și poate influența decizia de a aproba finanțarea de măsuri de conformare stabilite de GDPR
  • director de resurse umane – poate influența mecanismele de prelucrare a datelor angajaților, foștilor angajați sau potențialilor angajați
  • director de marketing – poate influența mecanismele de prelucrare a datelor clienților în activitatea de marketing
  • consilier juridic – ce reprezintă societatea în instanță într-un litigiu pe legalitatea prelucrării datelor personale.

Responsabilitatea este împărțită pe mai multe paliere:

  • Operatorul (Controller) este compania care deține și administrează magazinul online. Acesta preia și lucrează cu datele cu caracter personal ale clienților.
  • Imputernicitul (Data processor) este reprezentat de terții cu care operatorul colaborează sau lucrează pentru a-și desfășura activitatea. Între acești terți care au acces la datele cu caracter personal pe care le colectează operatorul și operator trebuie să existe un contract/acord scris (între operator și împuternicit) prin care i se împuternicitului dreptul ca acesta să lucreze cu datele cu caracter personal colectate de operator. Acest contract trebuie sa includă și confidențialitatea datelor.  În cazul unui magazin online, terții (împuterniciții) pot/poate fi:
    • platforma eCommerce închiriată
    • programatorii dacă se lucrează cu freelencer sau serviciul de dezvoltare, mentenanță și suport tehnic este externalizat
    • firmele de curierat
    • serviciile de plată online
    • Facebook
    • Google Analytics
    • Google Adwords
    • etc.
  • Sub-procesatorul (Sub Processor) este reprezentat de un terț care se află în relație contractuală cu împuternicitul. Împuternicitul nu poate delega responsabilități unui sub-procesator fără acordul operatorului. De exemplu, dacă împuternicitul oferă un pachet de găzduire hosting iar pentru acest lucru compania respectivă colaborează cu o companie care deține un data-center.

Cum se protejează datele personale?

Operatorul cu ajutorul împuternicitului trebuie să asigure:

  • Pseudonimizarea și criptarea datelor – datele cu caracter personal trebuie criptate în baza de date astfel încât în cazul unei breșe de securitate prin care o parte din date sau chiar baza în totalitate este preluată, datele să nu poată fi identificate
  • Confidențialitatea datelor – datele personale colectate sunt confidențiale și nu trebuie să fie folosite în alte scopuri fără ca persoana care și-a dat consimțământul să fie anunțată
  • Accesul la datele personale – orice persoană trebuie să aibă acces la datele personale colectate și trebuie să poată solicita oricând modificarea sau ștergerea acestora

Ce faci dacă există o breșă de securitate?

O breșă de securitate poate fi reprezentată de un accident, de o pierdere de date sau de un acces neautorizat. În acest caz, trebuie anunțat A.N.S.P.D.C.P. (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) in maxim 72 de ore de la descoperirea bresei de securitate.

Ce facem pentru partenerii noștrii?

În primul rând am desemnat un DPO în cadrul companiei noastre care asigură protecția datelor cu caracter personal provenite de la operatori (magazine online și alte entități) cu care colaborăm. Acesta poate prelua funcția de DPO pentru site-ul dumneavoastra prin externalizarea serviciului.

În al doilea rând am pregătit documentele necesare în relația noastră cu operatorii.

În al treilea rând am pregătit implementarea de module GDPR specifice pentru fiecare platformă cu care lucrăm (opencart, prestashop, magento, wordpress, soluții custom dezvoltate).

Acordul parintilor pentru prelucrarea datelor copiilor sub 16 ani

Acordul parintilor pentru prelucrarea datelor copiilor sub 16 ani

Acordul parintilor pentru prelucrarea datelor copiilor sub 16 ani?

Copii care nu au împlinit 16 ani pot utiliza servicii online (rețele sociale, e-mail, magazine online, etc.) doar în baza unui acord primit de la unul din părinți sau reprezentant legal. Companiile, trebuie să verifice cât se poate de bine veridicitatea acestui acord.

„(…) în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului”

 

Legislație GDPR

Legislație GDPR

Legislatie GDPR

Regulamentul (UE) 2016/679 Privind Protectia Persoanelor Fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General Privind Protectia Datelor)

Directiva (UE) 2016/680 referitoare la Protectia Datelor Personale in cadrul activitatilor specifice desfasurate de Autoritatile de Aplicare a Legii

Ce este GDPR?

Ce este GDPR?

Ce este GDPR? GDPR este un document adoptat de Parlamentul European in Aprilie 2016 si este un Regulament ce priveste Protectia Datelor Personale in procesele de prelucrarea si procesarea a acestor informatii.

Regulamentele Europene nu au nevoie de legi nationale dedicate care sa transpuna prevederile in legislatia fiecarui stat membru al Uniunii Europene si intra in vigoare direct, fara alte formalitati, in acelasi timp in toate statele membre UE.

Acest pachet legislativ a fost adoptat de Parlament si Consiliul European la incepului anului 2016 si se aplica incepand cu data de 25 mai 2018.

Include doua acte normative:

  • Regulamentul (UE) 2016/679 Privind Protectia Persoanelor Fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General Privind Protectia Datelor)
  • Directiva (UE) 2016/680 referitoare la Protectia Datelor Personale in cadrul activitatilor specifice desfasurate de Autoritatile de Aplicare a Legii
Externalizare DPO

Externalizare DPO

Externalizare DPO

Art. 38(6) permite DPO “sa indeplineasca si alte sarcini si atributii”. Cu toate acestea, este nevoie ca organizatia sa se asigure ca “niciuna dintre aceste sarcini si atributii nu genereaza un conflict”.

Absenta conflictului de interese este strâns legata de obligatia de a actiona in mod independent. Cu toate ca ii este permis sa aiba si alte functii, acestuia ii pot fi incredintate alte sarcini si atributii cu conditia ca acestea sa nu dea nastere unor conflicte de interese. Acest lucru presupune, in special, faptul ca DPO nu poate detine o pozitie in cadrul organizatiei care ar conduce la posibilitatea ca DPO sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personale. Acest lucru trebuie luat in considerare de la caz la caz, tinându-se cont de structura organizationala specifica fiecarei organizatii.

Functii din cadrul organizatiei cu care poate intra in conflict pot include functii de conducere cum ar fi:

  • administratorul companiei
  • director executiv
  • director operational
  • director financiar
  • seful serviciului medical
  • seful departamentului de marketing
  • sef departamentului de resurse umane
  • seful departamentului IT
  • sau alte functii inferioare daca acestea conduc la posibilitatea de a stabili scopurile si mijloacelor de prelucrare
Ce sunt datele cu caracter personal?

Ce sunt datele cu caracter personal?

Ce sunt datele cu caracter personal?

Prin date cu caracter personal se înțelege:

  • Numele, Prenumele
  • Adresa
  • Codul numeric personal
  • Adresa de email
  • Telefon
  • Seria si numarul cartii de identitate si a pasaportului
  • Date biometrice bancare
  • Convingeri politice
  • Date cu privire la starea de sanatate a unei persoane

Categoriile speciale de date personale strict delimitate de lege:

  • rasa
  • etnia
  • orientarea politică
  • religia
  • convingerile filozofice sau de natură similară
  • apartenența sindicală
  • date privind starea de sănătate
  • date despre viața sexuală

Suplimentar, sunt considerate date cu un regim special:

  • date cu caracter personal având o funcţie de identificare de aplicabilitate generală, cum este codul numeric personal (CNP)
  • date personale referitoare la fapte penale sau contravenții
Call Now Button
Sunteți deciși să faceți o schimbare?

Doriți să vă contactăm și să vă oferim mai multe detalii? Vă rugăm sa completați câmpurile de mai jos iar unul dintre membrii echipei noastre vă va contacta în cel mai scurt timp.

X
CONTACT