Începând cu 25 mai 2018, business-urile în e-commerce vor fi obligate să țină evidența activităților de prelucrare a datelor personale, să le șteargă la cererea persoanelor fizice și, în cazul magazinelor mari, chiar să numească un DPO (Data Protection Officer).
GDPR sau General Data Protection Regulation nu este un acronim tehnic, ci o prescurtare juridică a Regulamentului UE 2016/679, menit să protejeze persoanele fizice cu privire la prelucrarea datelor cu caracter personal și circulația acestora.
În ceea ce privește magazinele online, principalele date personale pe care le colectează sunt datele clienților care cumpără un produs sau serviciu (folosite în scop de executare a contractului, dar uneori și pentru acțiuni de marketing), dar pot fi și datele personale ale angajaților.
“Deși s-a discutat mult despre GPDR, mai ales în ultima lună, sunt încă multe business-uri în e-commerce ce fie nu au finalizat procesul, sau încă studiază noile schimbări pe care trebuie să le implementeze începând cu data de 25 mai. Dar GDPR nu este doar o mișcare legislativă, vorbim de o nouă modalitate în care magazinele online se raportează la datele cu caracter personal ale clienților lor. La fel de important este și felul în care magazine online vor reuși să explice simplu și clar ce înseamnă GDPR, ce schimbări au adus și cum experiența pre și post achiziție se modifică”, menționează Andrei Radu, fondator GPeC.
Regulamentul GDPR - La ce să fii atent
La ce trebuie să fie atente magazinele online pentru a nu risca amenzi după intrarea în vigoare a GDPR
- Să se asigure că datele colectate au un scop clar și nu sunt folosite în alt scop;
- În cazul unei firme care deține două magazine online diferite, datele colectate nu pot fi folosite „la comun” deoarece scopul colectării a fost diferit. Cumpărarea de la Magazin1.ro este diferită de cumpărarea de la Magazin2.ro. La fel de diferit este și marketing-ul celor două magazine online;
- Să resctricționeze accesul la datele clienților doar angajaților care au nevoie de acele date pentru a-și îndeplini sarcinile de serviciu;
- Să dețină un registru al evidențelor în care să țină cont de activitățile de prelucrare a datelor deoarece activitatea acestora nu este ocazională.
- Să se asigure că terții cu care lucrează sunt în UE, Spațiul Economic European, sau în alte state cu regim adecvat și că asigură securitatea datelor; prin terți se înțelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colectează date personale, inclusiv Facebook Pixel;
- Să informeze clienții, în pagina de check-out, cu privire la folosirea datelor pe care le aceștia le oferă (datele de facturare și livrare) întrucât informarea clienților cu privire la datele colectate este obligatorie din momentul colectării datelor;
- Să șteargă datele la cererea clientului, daca cererea are un temei legal, indiferent dacă acest lucru se face prin suprascriere sau ștergere definitivă, atât timp cât procesul este ireversibil;
- În cazul business-urilor mari, care fac “monitorizare periodică și sistematică”, postul de DPO (Data Protection Officer) este obligatoriu.
În cazul magazinelor online care aplică deja o bună practică a folosirii și stocării datelor cu caracter personal, acestea trebuie să știe că nu este necesar să repete procedurile din data de 25 mai 2018, atunci când începe perioada de aplicare a GDPR. De exemplu, în cazul abonaților la newsletter (e-mailurile comerciale), nu este necesar să li se ceară din nou consimțământul dacă acesta a fost obținut corect în prealabil.