Regulamentul European privind protecția datelor, prescurtat EU GDPR va face mai ușoară protejarea datelor cu caracter personal de pe internet pentru toți rezidenții Uniunii Europene. Acest regulament a fost aprobat oficial în 27 aprilie 2016 și va intra în vigoare efectiv în 25 mai 2018 pe întreg continentul european. Și pentru ca fiecare proprietar de site să afle detaliile importante, LiveCOM a documentat un ghid practic cu ceea ce ar trebui subliniat în ceea ce privește colectarea și protejarea datelor.

EU GDPR este un regulament, ceea ce înseamnă că regulile vor intra imediat în vigoare la data de mai sus, fără nici un fel de acțiune sau măsuri prevăzute de membrii statelor Uniunii Europene.

În mediul virtual orice fel de informații referitoare la un individ rezident al Uniunii va fi protejat de regulament. Aici sunt incluse, pe lângă documente de identitate și alte date solicitate deținute în mod obișnuit de site-uri precum adresa IP, adresa de email, informații despre dispozitiv precum adresa unui computer MAC, adresa de locuință, data nașterii, informații financiare online, inclusiv și istoricul tranzacțiilor online.

Ce este considerat ca fiind date personale?

Orice fel de informație care poate fi utilizată să identifice un individ uman, direct sau indirect, este clasată ca fiind dată cu caracter personal:

  • Nume
  • Data nașterii
  • Adresa de domiciliu
  • Adresa de email
  • CNP
  • Identificarea locației
  • Adresa IP, adresa MAC, device ID
  • Tranzacții online
  • Ce sunt datele personale delicate, sensibile?

    Datele personale delicate sunt o clasă specială de date personale care trebuie să fie tratate cu grijă și maximă securitate:

    • Rasa
    • Starea de sănătate
    • Orientarea sexuală
    • Credințele religioase
    • Credințele politice

    Ce drepturi vor avea subiecții sub Regulamentul European privind protecția datelor?

    Pe baza regulamentului subiecții au următoarele drepturi privind datele personale:

    • Informare (dreptul de a cunoaște cum vor fi utilizate informațiile oferite)
    • Acces (oferă dreptul utilizatorilor de a-și accesa datele și să le poată lua cu ei)
    • Rectificare
    • Ștergerea datelor (oferă-le posibilitatea de a putea șterge datele introduse)
    • Restricții sau procesare
    • Date portabile
    • Obiecții
    • Revizie asupra deciziilor automatizate sau de profil

    Ce trebuie să faci pentru a avea un site conform cu EU GDPR?

    Audierea propriilor date personale prin răspunderea la următoarele întrebări:

    • Ce fel de date cu caracter personal culege site-ul?
    • Unde se stochează toate aceste informații?
    • Pentru ce se folosesc datele?
    • Cine are acces la aceste date?

    Informează-ți audiența

    Creează sau updatează o pagină / secțiune declarația de confidențialitate în care explici ce fel de date personale colectezi și pentru ce sunt folosite, scurt, ușor de citit și înțeles. Încearcă să nu dai copy-paste la o variantă deja existentă, adaptează un text la business-ul tău și la informația pe care o deții.

    Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor

    Conform http://www.dataprotection.ro/?page=Responsabilul_cu_protectia_datelor

    • Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale
    • Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
    • Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni

    Când nu este necesară desemnarea unui responsabil cu protecția datelor?

    Atunci când nu se prelucrează pe scară largă date cu caracter personal. Deci în cazul unui site sau magazin online nu ar rezulta obligativitatea desemnării unui responsabil cu protecția datelor.

    Sunt interzise formele care să specifice consimțământul implicit

    Toate acele formate care invită utilizatorii să se aboneze la newsletter-e sau să indice acțiuni în legătură cu datele de contact ar trebui să NU mai conțină:

    • căsuțe gata bifate (Ex. căsuța "Mă abonez la newsletter" gata bifată);
    • acord implicit fără o acțiune de a confirma respectivul acord (Ex. Sunt de acord cu... fără să existe o căsuță de bifare / confirmare);

    Obține un acord (opt-in) necondiționat de alți termeni și condiții

    Consimțământul care se cere pentru datele cu caracter personal ar trebui să fie prevăzut separat de acceptarea termenilor și condițiilor generale. Astfel, cererea de activare a consimțământului prealabil explicit trebuie separată și confirmată independent.

    Acord (opt-in) granular

    Utilizatorii ar trebui să poată să ofere consimțământul separat pentru prelucrare de date și separat pentru alte scopuri. Opțional, pentru fiecare tip de procesare se poate întreba permisiune pentru:

    • mesaj
    • email
    • telefon
    • cnp

    Este esențial ca fiecare utilizator în parte să poată realiza ușor aprobarea consimțământului.

    Permisiunea de retragere sau Opt-Out

    Este esențial ca fiecare utilizator în parte să poată realiza ușor eliminarea consimțământului. În ceea ce privește experiența utilizatorului asta înseamnă că opt-out ar putea să consiste în retragerea selectivă a consimțământului către fluxuri specifice, ex: eliminare de la abonamentul newsletter, ștergere cont de client, etc. Să se ofere sau să se comunice posibilitatea utilizatorului de a cere ca informațiile sale personale să fie șterse.

    Declarația de confidențialitate, Termeni și Condiții concise, transparente și ușor de accesat

    Termenii și condițiile fiecărui site în parte ar trebui să conțină ca referință terminologia GDPR. În particular, modul în care informațiile ajung în posesia site-ului, la ce sunt folosite, cât timp aceste informații vor fi păstrare trebuie să fie transparente fiecărui vizitator în parte în declarația de confidențialitate. Cât de mult se vor păstra informațiile pe site (dacă se stochează) și în alte baze de date dacă este cazul, trebuie să se facă cunoscute.

    Ce se va întâmpla cu cookie-uri?

    Nu toate cookie-urile sunt folosite pentru a identifica utilizatorul, dar marea majoritate da. Acestea vor intra sub incidența GDPR-ului. Oficial, implementarea regulamentului ePrivacy ar fi trebuit să coincidă cu GDPR, dar s-ar putea să întârzie din cauza faptului că este încă în fază de proiect.

    Prin ePrivacy se face diferența dintre cookie-urile primei părți servite de domeniul propriu și o a treia parte de cookies care pot proveni de la tool-uri gen Google Analytics sau alte plugin-uri de social sharing.

    Avertismentele de tipul "Acest site folosește cookies pentru..." de asemenea nu mai sunt suficiente din aceleași motive de consimțământ implicit invocate mai sus. Un astfel de mesaj nu prezintă o opțiune, ci doar o informare cu privire la faptul că datele sale sunt stocate. Probabil ar fi necesar să existe cel puțin două opțiuni: Accept / Resping.

    Chiar dacă regulamentul GDPR poate părea în primă fază intimidant, prin acest regulament se încearcă protejarea utilizatorilor exact ca tine în fața nenumăraților indivizi care devalorizează internetul. Regulamentul aduce astfel o contribuție semnificativă prin grija oferită fiecăruia dintre noi în mediul virtual.

    Procesarea terței părți

    Un proprietar de site / antreprenor online își poate da acordul pentru folosirea datelor personale ale clienților, dacă colectarea datelor se face direct de către o a treia parte, acordul se dă de către aceasta, indiferent că este agenție sau altceva, în contextul detalierii scopului prelucrării. De menționat este că agențiile fiind doar împuternicite să folosească datele site-ului (clientului), nu sunt răspunzătoare în fața legii GDPR, cel care răspunde de folosirea acestor date este proprietarul site-ului.

    Costul investit în aducerea site-ului și a sistemelor interne în conformitatea reglementărilor

    Conform STARTUP CAFE “Ce înseamnă aceste schimbări legislative pentru proprietarii de site-uri? Modificări la site și la sistemele lor interne sau, altfel spus, muncă și cheltuieli extra. Un studiu din 2014 calculase că politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care GDPR vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la €900/ site.”

    http://www.startupcafe.ro/afaceri/site-firme-regulament-european-protectia-datelor-amenzi.htm

    Prin intermediul site-ului privacy.google.com, Google informează că lucrează pentru a se alinia la noile norme europene. “Lucrăm din greu pentru a ne pregăti de GDPR-ul european. Menținerea datelor utilizatorilor în siguranță este una dintre cele mai mari priorități pentru Google. De-a lungul anilor am petrecut mult timp în dialog cu Autoritatea Europeană de Protecție a Datelor, iar în concordanță cu sfaturile lor am implementat deja politici de confidențialitate solide. Ne angajăm să respectăm noua legislație și să colaborăm cu partenerii pe parcursul acestui proces. “.