Sharing is caring!

GDPR pentru magazinele online sau cum pregatim magazinele online pentru GDPR?

Ce este GDPR? Dar RGDP?

Regulament General privind protectia Datelor cu caracter Personal sau GDPR – General Data Protection Regulation.

GDPR, este un regulament care are scopul sa protejeze atat datele personale cat si viata privata a cetatenilor din UE. Nerespectarea acestui regulament duce la sanctionarea companiilor cu amenzi de pana la 4% din cifra de afaceri anuala globala sau pana la 20 de milioane de Euro. In Romania, aplicarea acestor sanctiuni si controale revin in sarcina Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal – A.N.S.P.D.C.P.

Daca compania dumneavoastra proceseaza date despre persoane fizice in contextul vanzarii de bunuri sau servicii catre cetatenii europeni din orice tara UE, atunci trebuie sa va conformati GDPR.

Care sunt firmele care trebuie să desemneze un DPO?

Obligația de a avea un DPO este valabilă în cazul societăților care se ocupă în principal cu prelucrarea datelor personale și cele cu peste 250 angajați. De exemplu: bănci, spitale, clinici private, farmacii sau magazine online.

Tipuri de date protejate de GDPR

Orice informatie referitoare la o persoana care poate fi utilizata pentru identificarea directa sau indirecta a acesteia intra sub incidenta acestui regulament. Poate fi oriceȘ un nume, o fotografie, o adresa de e-mail, detalii bancare, postari pe site-uri de socializare, informatii medicale sau o adresa IP a computerului.

  • Informatii de baza despre identitatea unei persoane (nume, prenume, adresa, CNP)
  • Adresa IP, cookie, etc.
  • Informații despre sănătate
  • Informații genetice
  • Date biometrice
  • Datele rasiale sau etnice
  • Opinii politice
  • Orientare sexuală

Tipuri de date colectate de un magazin online

Proprietarul magazinului online trebuie să garanteze că datele colectate despre o persoană sunt protejate si trebuie să se asigure că terțele companii cu care lucrează au implementat la rândul lor acest standard.

Un magazin online colectează date atunci cand:

  1. Se plasează o comandă – se colectează anumite date pentru a putea emite factura, garanția și a livra coletul. Se colectează date ca: nume, prenume, telefon, email, adresă, adresa IP, date fiscale, etc. Daca aceste date se utilizează doar pentru emiterea facturii, a certificatului de garanție și livrarea coletului, clientul trebuie informat ca aceste date vor fi utilizate doar cu scopul de a emite documentele respective și de a livra comanda. În cazul în care aceste date se vor utiliza și în alte scopuri (trimitere newslettere, campanii google adwords sau facebook) clientul trebuie informat iar acesta trebuie sa își dea acceptul pentru ca aceste date să poată fi utilizate
  2. Se înscrie la newsletter – clientul trebuie să fie notificat că adresa de e-amil va fi utilizată la trimitere de oferte promoționale, notificări, etc.
  3. Accesează magazinul online – clientul trebuie să fie informat că prin intermediul google analytics sau pixelul de la facebook sau alt instrument de masurare trafic pe site, se colectează informații despre adresa IP, se salvează cookie pe calculatorul local și care pot fi utilizate în activități de promovare online
  4. Creare cont – prin completarea unui formular sau creare cont prin preluare datelor de la facebook, google, etc. – utilizator trebuie notificat că vor fi preluate informații din contul rețelelor de socializare

Obținerea consimțământului

Pentru orice date personale colectate, persoana de la care urmeaza sa fie preluate trebuie sa fie instiintata despre ceea ce se va face cu aceste date iar instiintarea trebuie sa aiba loc inainte de a realiza actiunea, si nu dupa.

Datele care se colectează trebuie să fie:

  • Exacte iar clientul să aibă posibilitatea de a le actualiza
  • Stocate pe o perioada determinată și nu pentru totdeauna
  • Confidențiale

Toate datele personale colectate pana în prezent trebuie sa respecte regulamentul impus de catre GDPR si trebuie să te asiguri ca ai obtinut în mod corect de la persoane consimtamantul.

Responsabilul pentru protectia datelor

În cazul magazinelor online fiecare operator de date cu caracter personal trebuie să își desemneze în cadrul companiei o persoană cu rol de DPO (Data Protection Officer sau Responsabilul cu Protectia Datelor) sau să externalizeze acest serviciu.

Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou sau actual), fie prin contractarea unui colaborator extern (persoană fizică autorizată, altă firmă etc.).

Pentru companiile care au unul sau mai multe magazine online desemnarea unui DPO poate fi problematic deoarece acesta trebuie să îndeplinească anumite criterii pentru a nu fi în conflict de interese:

  • administrator sau director general – apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți
  • director financiar – decide în aspectele financiare și poate influența decizia de a aproba finanțarea de măsuri de conformare stabilite de GDPR
  • director de resurse umane – poate influența mecanismele de prelucrare a datelor angajaților, foștilor angajați sau potențialilor angajați
  • director de marketing – poate influența mecanismele de prelucrare a datelor clienților în activitatea de marketing
  • consilier juridic – ce reprezintă societatea în instanță într-un litigiu pe legalitatea prelucrării datelor personale.

Responsabilitatea este împărțită pe mai multe paliere:

  • Operatorul (Controller) este compania care deține și administrează magazinul online. Acesta preia și lucrează cu datele cu caracter personal ale clienților.
  • Imputernicitul (Data processor) este reprezentat de terții cu care operatorul colaborează sau lucrează pentru a-și desfășura activitatea. Între acești terți care au acces la datele cu caracter personal pe care le colectează operatorul și operator trebuie să existe un contract/acord scris (între operator și împuternicit) prin care i se împuternicitului dreptul ca acesta să lucreze cu datele cu caracter personal colectate de operator. Acest contract trebuie sa includă și confidențialitatea datelor.  În cazul unui magazin online, terții (împuterniciții) pot/poate fi:
    • platforma eCommerce închiriată
    • programatorii dacă se lucrează cu freelencer sau serviciul de dezvoltare, mentenanță și suport tehnic este externalizat
    • firmele de curierat
    • serviciile de plată online
    • Facebook
    • Google Analytics
    • Google Adwords
    • etc.
  • Sub-procesatorul (Sub Processor) este reprezentat de un terț care se află în relație contractuală cu împuternicitul. Împuternicitul nu poate delega responsabilități unui sub-procesator fără acordul operatorului. De exemplu, dacă împuternicitul oferă un pachet de găzduire hosting iar pentru acest lucru compania respectivă colaborează cu o companie care deține un data-center.

Cum se protejează datele personale?

Operatorul cu ajutorul împuternicitului trebuie să asigure:

  • Pseudonimizarea și criptarea datelor – datele cu caracter personal trebuie criptate în baza de date astfel încât în cazul unei breșe de securitate prin care o parte din date sau chiar baza în totalitate este preluată, datele să nu poată fi identificate
  • Confidențialitatea datelor – datele personale colectate sunt confidențiale și nu trebuie să fie folosite în alte scopuri fără ca persoana care și-a dat consimțământul să fie anunțată
  • Accesul la datele personale – orice persoană trebuie să aibă acces la datele personale colectate și trebuie să poată solicita oricând modificarea sau ștergerea acestora

Ce faci dacă există o breșă de securitate?

O breșă de securitate poate fi reprezentată de un accident, de o pierdere de date sau de un acces neautorizat. În acest caz, trebuie anunțat A.N.S.P.D.C.P. (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) in maxim 72 de ore de la descoperirea bresei de securitate.

Ce facem pentru partenerii noștrii?

În primul rând am desemnat un DPO în cadrul companiei noastre care asigură protecția datelor cu caracter personal provenite de la operatori (magazine online și alte entități) cu care colaborăm. Acesta poate prelua funcția de DPO pentru site-ul dumneavoastra prin externalizarea serviciului.

În al doilea rând am pregătit documentele necesare în relația noastră cu operatorii.

În al treilea rând am pregătit implementarea de module GDPR specifice pentru fiecare platformă cu care lucrăm (opencart, prestashop, magento, wordpress, soluții custom dezvoltate).

Call Now Button
Sunteți deciși să faceți o schimbare?

Doriți să vă contactăm și să vă oferim mai multe detalii? Vă rugăm sa completați câmpurile de mai jos iar unul dintre membrii echipei noastre vă va contacta în cel mai scurt timp.

X
CONTACT