Ruxandra Sava
Ce impact va avea asupra afacerilor ecommerce?
GDPR este o adevărată provocare pentru comerțul electronic. Magazinele online, prin natura lor, prelucrează un volum mare de date cu caracter personal. GDPR va impacta toate bazele de date personale: vânzări, marketing, HR, contabilitate. Pentru a se conforma, antreprenorii ar trebui să urmeze cursuri pentru a înțelege cerințele noii legislații și să apeleze la consultanță specializată pentru a implementa corect.
Ce au de făcut concret afacerile ecommerce pentru a se alinia la GDPR?
Realizează un audit intern al fluxurilor de date cu caracter personal
Identifică ce categorii de date cu caracter personal deții, de unde provin acestea, în ce scopuri sunt colectate, cui le transmiți și cât timp le păstrezi.
Acest pas este important, el te va ajuta să te aliniezi mult mai rapid cerințelor.
Întocmește Registrul activităților de prelucrare
Așa cum spune art. 30 din Regulament, acest registru este obligatoriu și el trebuie să cuprindă:
(1) numele și datele de contact ale firmei tale;
(2) scopurile prelucrării (de exemplu vânzari, angajări, marketing);
(3) categoriile de persoanele vizate (de exemplu clienții, angajații);
(4) categoriile de date cu caracter personal (de exemplu nume, e-mail, telefon, adresă, adrese IP, informații bancare, conturi, parole – pentru clienți; nume, domiciliu, studii, CNP, date medicale etc – pentru angajați);
(5) destinatarii datelor (parteneri contractuali, contabili, programe de facturare, firme HR, furnizori de servicii IT etc);
(6) dacă este cazul, transferurile de date către state din afara UE;
(7) termenele limită pentru ștergerea datelor, dacă e posibil;
(8) măsurile tehnice și organizatorice care s-au luat, dacă e posibil.
În mare, cam toate informațiile pe care le deții deja ca urmare a auditării fluxului de date de la punctul 1.
Stabilește temeiul legal pentru fiecare operațiune de prelucrare
Există șase temeiuri legale pe care poți merge astfel încât să prelucrezi datele legal. Vorbim despre consimțământ, contract, obligație legală, interes legitim, interes public sau interes vital.
Deoarece consimțământul este dificil de obținut, iar interesul legitim necesită o documentație suplimentară (o test de echilibrare a intereselor tale față de cele ale persoanei vizate), recomandăm să migrezi către temeiul contractului sau cel al obligației legale. În situația în care aceste temeiuri nu se aplică, se poate recurge la interes legitim, iar ca ultimă variantă: consimțământul.
Reține că pentru activitatea de marketing direct (cum ar fi campaniile de e-mail/sms marketing) ai nevoie de consimțământ.
Informează persoana vizată despre prelucrarea datelor
E recomandat să îți actualizezi Politica de confidențialitate de pe site-ul tău pentru a corespunde standardelor GDPR. Pe scurt, aceasta ar trebui să fie redactată într-un limbaj simplu și ușor de înțeles (fără jargon juridic), să fie ușor accesibilă pe site, și să conțină toate elementele de la Art. 13-14 din Regulament, printre care categoriile de date, temeiurile legale, destinatarii, scopurile etc. Mai exact, informațiile pe care le ai deja ca urmare a auditării fluxului de date de la punctul 1.
Important de menționat este și faptul că această Politică de confidențialitate trebuie să se diferențieze clar de Termene și condiții, ca de exemplu o pagină distinctă pe site și ea trebuie să fie atașată la orice formular de colectare de date (comandă, newsletter, contact, formular de retur etc).
Dacă utilizezi module cookie, va trebui să informezi persoana cu privire la acest lucru printr-o Politică privind utilizarea modulelor cookie.
Consimțământul
Ai nevoie de consimțământ pentru marketing direct și pentru colectarea de informații prin module cookie. Va trebui să implementezi o soluție pentru colectarea activă a consimțământului, opt-in (fără căsuțe pre-bifate), iar pentru marketing direct ai nevoie de double opt-in (verificare ulterioară prin e-mail).
Colectarea consimțământului se va face după ce persoana a fost informată asupra prelucrării de date, ca de exemplu printr-un link către Politica de confidențialitate de la punctul 4.
De asemenea, va trebui să poți face dovada că ai obținut un consimțământ valabil, să respecți dreptul abonaților de a-și retrage consimțămțântul în orice moment și la fel de simplu cum s-a acordat.
Dacă vinzi către copii sub 16 ani, va trebui să obții consimțământul părinților, precum și să implementezi un sistem pentru verificarea vârstei.
Un nou consimțământ al abonaților pe care îi ai în baza de date se va lua până pe 25 mai.
Verifică furnizorii care au acces la date și încheie contracte cu ei
Există anumite entități care pot avea acces la datele personale pe care le ai în firma ta, în afară de angajați, cum ar contabilii, furnizorii de servicii IT, consultanții fiscali, avocații, clinicile medicale, companiile HR, procesatorii de plăți, programele de facturare.
GDPR te obligă să verifici că aceste entități au implementat măsuri de securitate pentru a proteja datele care vin de la firma ta. Va trebui să îi interoghezi, iar, în măsura în care aceste entități nu sunt de încredere, ar trebui să te orientezi către furnizori care și-au implementat măsuri tehnice potrivite.
Cu acești furnizori trebuie să închei contracte privind protecția datelor (care pot fi contracte separate, clauze contractuale în contractele comerciale, anexe la contracte) în care să îi obligi, printre altele, să implementeze măsuri de securitate, să nu folosească datele în scopuri proprii, să nu împuternicească alte persoane să le prelucreze fără acordul tău, să te notifice, de urgență, în cazul unui incident de securitate și să îți ofere sprijin pentru răspunsul la cererile persoanelor vizate, evaluările de impact sau incidentele de securitate.
Securitatea
Se vor lua măsuri privind pseudonimizarea și criptarea datelor cu caracter personal, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică, precum și un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Noi tehnologii?
Te gândești să recurgi la noi tehnologii? Atunci ar trebui să iei în calcul protecția datelor personale încă din faza de design și pe tot parcursul dezvoltării sistemului.
Stabilește termene clare pentru stocarea datelor
GDPR este foarte clar pe un anumit aspect: nu putem stoca datele mai mult decât este necesar.
Pe de o parte, ar trebui să ștergi sau să distrugi orice date care nu mai sunt necesare, iar, pe de altă parte, ar trebui să stabilești termene clare pentru ștergerea/distrugerea datelor.
De exemplu, ai putea stabili să ștergi datele unui client după ce se împlinește o perioadă de 5 ani de la ultima comandă. În unele cazuri, trebuie să păstrezi datele atât cât te obligă legea, cum este cazul documentelor contabile care se păstrează 10 ani, contractelor de muncă care se țin 75 de ani sau ștatelor de plată care se stochează 50 de ani.
În orice caz, atunci când decidem dacă ștergem datele sau nu, acest proces nu ar trebui să se facă „după ureche” și ar trebui să cerem ajutor.
De asemenea, ar trebui implementate proceduri clare pentru ștergerea definitivă a datelor din sisteme.
Dacă nu dorești să ștergi datele, ar trebui să știi că ai și varianta să le anonimizezi complet pentru a le folosi în scopuri statistice sau de cercetare.
Respectă drepturile persoanelor
Pe lângă dreptul de retragere a consimțământului, cel de a depune o plângere la Autoritatea de Supraveghere sau de a se adresa justiției, persoanele au opt drepturi, printre care dreptul de acces, restricționare, portabilitate, ștergere.
Ar trebui să ai o procedura pentru a identifica o cerere a unei persoane vizate, de a analiza dacă e întemeiată sau nu și de a răspunde la ea.
Dacă cererea este întemeiată, vei facilita exercitarea dreptului. Dacă vei considera că nu este întemeiată, vei informa persoana despre motivul refuzului și despre dreptul de a se adresa cu o plângere la Autoritatea de Supraveghere.
Indiferent de răspunsul tău, pozitiv sau negativ, va trebui să informezi persoana în cel mult o lună, iar în cazuri complexe, în cel mult două luni.
Dacă, după ce ai depus toate eforturile nu poți identifica persoana, ai dreptul să spui nu, cu excepția cazului în care persoana a furnizat informații suplimentare pentru identificare.
Incidente de securitate
Un angajat a plecat cu baza de date? Ai uitat un laptop în taxi? Ai fost victima unui atac cibernetic?
Dacă incidentul poate genera un risc pentru persoană, va trebui să notifici, în termen de maxim 72 de ore Autoritatea de Supraveghere la adresa breșe@dataprotection.ro.
Dacă incidentul poate genera un risc ridicat, ești obligat să notifici atât Autoritatea de Supraveghere, cât și persoanele vizate.
Responsabilul cu protecția datelor (DPO)
În majoritatea cazurilor, afacerile ecommerce nu sunt obligate să desemneze un responsabil cu protecția datelor, dar ai putea lua în calcul acest lucru pentru a fi ajutat să implementezi punctele de mai sus și celelalte cerințe ale Regulamentului. Dacă ești administratorul firmei sau ai altă funcție de conducere, nu poți fi tu DPO, deoarece vei fi în conflict de interese, dar poți numi DPO un angajat sau contracta cu un consultant extern, ca de exemplu un avocat care înțelege tehnologia sau un ITist care știe drept.
De unde începi?
Aș spune să începi cu Regulamentul. Dar e dificil, are 88 de pagini și îl înțeleg mai mult juriștii. Ai putea, în primă fază, să participi la un curs unde specialiștii îți vor explica, pe înțelesul tău, ce ai de făcut exact.
Nu am spus nimic de amenzi. Ele sunt prevăzute în Regulament și ajung până la 4% din cifra de afaceri sau 20.000.000 euro, oricare din ele este mai mare și pentru fiecare abatere. Dar mai presus de asta, ar trebui să știi că GDPR îți poate oferi încredere în fața clienților și avantaj concurențial.
