Ce implică noul regulament european de data protection pentru proprietarii de site-uri și de magazine online

Cu jumătate de an înainte ca ordonanța EU GDPR (General Data Protection Regulation), privind protecția datelor personale, să intre în vigoare, antreprenorii din țările Uniunii au început deja să se gândească la schimbările pe care aceasta le va aduce.

Termenul limită pentru introducerea noului regulament este 25 mai 2018, iar amenzile anunțate pentru firmele care nu aderează la această nouă legislație pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri.

Din perspectiva business-urilor care își desfășoară activitatea și în mediul online, noul regulament va avea impact asupra tipului de date personale colectate despre utilizator și a modului în care utilizatorul își oferă acordul pentru colectarea acestor date.

Redefinirea tipurilor de date colectate de site-urile online

Cu privire la tipul de date colectate, GDPR lărgește spectrul de date incluse sub sigla ”personale”, fiind din această perspectivă cea mai strictă reglementare europeană de până acum. Noua lege definește datele personale ca incluzând orice fel de informație despre o persoană fizică care poate duce, direct sau indirect, la identificarea acestei persoane. În această categorie sunt incluse numele, numerele de identificare, date despre locație dar și orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

Spre deosebire de vechile reglementări în vigoare - Directiva 95/46/EC care va fi înlocuită de GDRP – informațiile despre locație sau identificatorii online vor fi de anul viitor considerate date personale. GDPR punctează asupra faptului cum identificatorii online oferiți de device-uri, de aplicații sau de protocoale, markeri de tipul adrese internet protocol, chiar și cookies sau tag-uri de radio frecvență, vor intra sub incidența noii legi.

Noua abordare a conceptului de acord

În ceea ce privește modul în care un utilizator online își dă acordul pentru colectarea acestor date, GDPR include reglementări noi despre cum este definit acordul. Începând cu mai 2018, legislația europeană va defini acordul ca fiind o acțiune afirmativă și informată realizată de către utilizator, oferită liber, într-un context specific și lipsit de ambiguități. Implicațiile aici vin din mențiunea ”acțiune afirmativă”, detaliu nou introdus în lege care elimină astfel tipurile de consimțământ de tip ”Acord implicit”.

Așa că este posibil ca adoptarea acestei ordonanțe să elimine anunțuri precum ”Navigarea pe acest site se consideră acceptarea dvs. cu privire la politica de utilizare a cookie-urilor”, consensul fiind exemplificat în GDRP sub forma unei acțiuni concrete din partea utilizatorului:

  • orice alt tip de afirmație sau comportament care clarifică fără echivoc oferirea acordului.
  • bifarea unei căsuțe pe un website.
  • alegerea unei setări tehnice în cadrul utilizării serviciilor informatice.
  • GDPR punctează de asemnea și pe practicile actuale, care nu vor fi considerate acordul utilizatorului sub noua legislație, precum lipsa unei acțiuni/ inactivitate sau căsuțele pre-bifate.
Cum să-ți pregătești site-ul

Experții în legislație recomandă o pregătire timpurie a business-urilor online pentru noile reglementări europene, trăgând un semnal de alarmă că procesul de tranziție va fi lung și, în multe cazuri, complex. Aceștia recomandă realizarea unui audit de date în cadrul fiecărei companii, audit care să includă următoarele etape:

  • Clarificarea acordului: ce tip de acord a fost oferit până în prezent. Noua legislație va permite revocarea acordului oferit în trecut. Fiecare business trebuie așadar să cunoască cum a fost obțin acordul în trecut și dacă a fost ulterior revocat în timp.
  • Inventarierea tuturor tipurilor de informație despre utilizatori stocate de business. Cu cât organizația este mai mare, cu atât crește dificultatea în găsirea tutoror acelor date colectate, date care vin din sisteme și de pe canele diferite și sunt stocate în varii medii.
  • Listarea modurilor în care informațiile despre utilizatori sunt folosite în prezent. Cum sunt procesate aceste date odată ce au fost stocate? În vederea informărilor pe care le vei face de la anul clienților tăi este important să știi din timp procesul căruia sunt supuse aceste date.
  • Asigurarea securității datelor colectate. GDRP punctează importanța securității și criptării datelor în toate etapele de tranzacționare, nu doar cea de colectare.
Ce modificări ar trebui să facă proprietarii de site-uri

La nivel de schimbări vizibile, proprietarii de site-uri din Uniunea Europeană sunt așteptați să introducă modificări precum cele listate mai jos în viitorul apropiat.

Renunțarea la pop-urile de cookies. Cel mai probabil vom vedea o înlocuiere a acestora cu alte tipuri de mesaje de oferire acord colectare/stocare informații. Noile mecanisme vor cere de data aceasta o acțiune fizică din partea utilizatorului, și nu se vor mai baza pe acordul implicit de tipul ”Continuarea navigării pe acest site reprezintă acordul dvs. cu privire la politica site-ului de colectare și stocare informații”.

Setările de browser vor putea semnala acordul utilizatorului. Textul noii legislații sugerează faptul că va exista o posibilitate de obținere implicită a acordului utilizatorului pentru colectarea datelor, în funcție de setările sale din browser. Astfel, dacă utilizatorul își va marca în setările web browserului folosit acordul sau refuzul pentru colectarea datelor, există posibilitatea ca site-ul să nu-i mai ceară utilizatorului acordul, respectând însă decizia sa marcată în browser. Este de reținut totuși că, dacă setarea din browser va marca refuzul, site-ul nu va mai putea colecta datele acelui utilizator, chiar dacă acesta fusese oferit anterior.

Revizuirea acordurilor de consimțământ de pe site-uri. Paginile și documentele de tip Acord de Confidențialitate folosite de companii vor trebui rescrise într-un limbaj accesibil omului de rând. GDPR punctează asupra nevoii de transparență și simplitate în informarea utilizatorilor cu privire la datele colectate, îndemnând ca orice informație să fie transmise pe site cât mai ”concis, ușor accesibil, ușor de înțeles, în limbaj simplu și, în măsura în care este posibil, vizualizată cu imagini.”

Opțiunea de retragere acord. Chiar și atunci când utilizatorul își oferă acordul ca datele să îi fie colectate și prelucrate, site-urile vor trebui îi pună acestuia la dispoziție opțiunea de a-și retrage acordul. Prin urmare, proprietarii de site-uri sunt așteptați să pregătească mesaje și zone noi în site, de unde utilizatorul să își poată ușor și rapid retrage acordul de colectare a datelor. 

Cheltuieli în plus

Ce înseamnă aceste schimbări legislative pentru proprietarii de site-uri? Modificări la site și la sistemele lor interne sau, altfel spus, muncă și cheluieli extra. Un studiu din 2014 calculase că politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care GDPR vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene.

Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la 900 de euro/site.

Cheltuielile aduse de această nouă modificare nu sunt așteptate nici în cazul GDPR să fie mai mici. Bani dați programatorului, costuri cu consultanți legali și avocați, costuri la care se adaugă complexitatea întregului proces. Complex pentru că, în prezent, majoritatea proprietarilor de site nici măcar nu au o viziune foarte clară asupra tuturor sistemelor din spatele business-ului deținut. Un alt studiu găsea în 2015 că proprietarii de business-uri online subestimau cu 90% volumul de sisteme folosite în afacerea lor. Până să nu fie schimbate în conformitate cu GDPR, aceste sisteme trebuie mapate întâi, fapt ce implică resurse și costuri investite.

 Photo by Jens Kreuter on Unsplash



Citeste si