Ce este GDPR şi ce înseamnă pentru site-ul tău? Cum te pregăteşti pentru 25 mai 2018?

gdpr-wordpress-site

gdpr-wordpress-site

gdpr-eu-org

Regulamentul General de Protecţie a Datelor (GDPR – General Data Protection Regulation) este o modificare legislativă majoră în protecţia datelor personale, ce va intra în vigoare în toate ţările membre ale Uniunii Europene de la 25 mai 2018. Propus de Comisia Europeană, acest Regulament are rolul de a întări drepturile persoanelor fizice în ce priveşte colectarea, utilizarea şi stocarea datelor personale.

Deşi este o lege a Uniunii Europene, GDPR va avea un impact global: orice firmă sau instituţie din afara UE care procesează datele personale ale unui cetăţean al Uniunii Europene va trebui să se conformeze acestui regulament. GDPR face multe referiri la „data processing”; „procesarea datelor” înseamnă orice operaţiune efectuată cu date personale: colectare, stocare, modificare, ştergere etc.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal va fi coordonată de la Bruxelles şi va monitoriza modul în care companiile din România vor implementa noul GDPR. Amenzile în cazul nerespectării regulilor GDPR sunt:

– avertisment

– mustrare

– suspendarea dreptului de a procesa date personale

– amendă de 2% din media cifrei de afaceri globală sau 10 milioane EUR (care e mai mare)

– amendă de 4% din media cifrei de afaceri globală sau 20 milioane EUR (care e mai mare).

GDPR va deveni, pe scurt, standardul mondial în protecţia datelor personale.

Ce sunt „datele personale”?

Orice informaţie care poate fi utilizată la identificarea, direct sau indirect, a unei persoane reale, este socotită „dată personală”. De exemplu:

  • Nume
  • Adresă
  • Adresă de email
  • Cod Numeric Personal (sau Numărul Social etc, în funcţie de ţară)
  • Localizare
  • Adresa electronică (IP)

Care sunt datele personale sensibile?

Există o categorie specială de date personale care trebuie gestionată cu o mult mai mare atenţie. Această categorie include informaţii ca:

  • Rasa
  • Starea de sănătate
  • Orientarea sexuală
  • Credinţa religioasă
  • Orientarea politică

Cum defineşte GDPR drepturile persoanele fizice?

În ce priveşte datele personale, indivizii au următoarele drepturi:

  1. Dreptul la informare
  2. Dreptul de acces
  3. Dreptul de rectificare
  4. Dreptul de ştergere
  5. Dreptul de restricţionare a procesării
  6. Portabilitatea datelor
  7. Dreptul la obiecţie
  8. Dreptul de a consulta deciziile automate sau acţiunile de profiling.

 

Ce trebuie să faci ca firma ta ca să se conformeze GDPR?

1. Auditează datele personale

Fă un centralizator al tuturor datelor personale pe care compania ta le procesează. Detalii mai jos.

2. Documentează totul

Crearea unui document intern cu proceduri e necesară pentru a demonstra autorităţilor că te conformezi Regulamentului. Pune pe hârtie toate procedurile pe care le vei folosi în gestiunea datelor personale. Vei avea nevoie să stabileşti ce faci atunci când:

– o persoană fizică, client de-al tău, cere acces la datele personale

Indivizii pot solicita accesul, modificarea sau ştergerea datelor personale. Implementează o procedură pentru a le verifica identitatea şi pentru a le îndeplini cererea.

– securizezi datele

Detaliază ce faci pentru a stoca în siguranţă datele personale. Asta ar putea presupune procedee de criptare, anonimizare, pseudonimizare sau controlul accesului.

– are loc un incident de securitate

Orice incident de securitate (accesul neautorizat la datele personale) trebuie raportat în termen de 72 de ore către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro). Dacă incidentul este serios, trebuie înştiinţate şi persoanele fizice ale căror date au fost afectate.

3. Informează-ţi publicul

Creează (dacă nu ai deja) sau actualizează-ţi Declaraţia de confidenţialitate, în care explici ce date personale colectezi şi de ce. Atenţie: aceste explicaţii trebuie să fie extrem de clare, scurte, pe înţelesul oricui; sub nicio formă nu folosi un limbaj tehnic juridic sau vag. Ba chiar poţi folosi icon-uri sau imagini pentru a uşura lectura şi înţelegerea explicaţiilor.

Nu copia o astfel de Declaraţie de confidenţialitate din altă parte. Declaraţia trebuie să explice propriile tale proceduri.

4. Identifică o bază legală pentru toate activităţile de procesare a datelor

Toate activităţile de procesare a datelor trebuie să aibă o justificare legală. Detalii mai jos.

5. Desemnează un DPO (persoană responsabilă cu protecţia datelor)

Data Protection Officer (DPO – persoana responsabilă cu protecţia datelor) supraveghează toate activităţile de procesare a datelor. Această persoană poate fi desemnată din interiorul firmei (unul dintre angajaţi) sau din afară (colaborator extern). Dacă firma ta nu procesează volume mari de date în mod constant, n-ai neapărată nevoie să desemnezi un DPO.

 

Auditul: ce date personale colectează firma ta?

Trebuie să stabileşti răspunsurile la următoarele întrebări:

  1. Datele cui le deţii deja?
  2. Ce date personale colectezi? Sunt din categoria celor sensibile?
  3. Ce tip de fişiere utilizezi pentru stocarea datelor?
  4. Unde stochezi datele: local (pe calculatoarele sau serverele din firmă), pe un server web, în cloud?
  5. Permiţi accesul la date personale unei terţe persoane? Care? Unde se află?
  6. Dacă datele personale au fost iniţial obţinute şi stocate pe teritoriul UE, sunt în orice moment transferate pe teritorii non-UE? (aceste transferuri sunt permise doar dacă datlee personale sunt protejate după regulamentele din ţara în care sunt transferate)
  7. Cât timp sunt stocate datele?
  8. Stocarea e securizată în vreun fel (criptare, securizare fizică etc)?
  9. Indivizii ale căror date sunt colectate sunt notificaţi asupra colectării şi utilizării datelor?

Atenţie: datele personale se pot găsi într-o grămadă de locuri; asigură-te că le ai sub control pe toate. De exemplu:

  • Site-urile companiei, fie online, în lucru sau în stadii intermediare:
    • Pluginuri de WordPress care colectează şi stochează informaţii personale
    • Utilizatori de WordPress – în special forumurile de tip BuddyPress sau bbPress
    • Comentarii pe platformă WordPress (native sau din alte pluginuri)
    • Soluţii de ecommerce (de exemplu WooCommerce)
  • Fişiere – documente, tabele, baze de date, PDF-uri
  • Dispozitive de stocare şi backup: computere, hard disk-uri portabile, stickuri USB, CD-uri, DVD-uri, BluRay-uri, online
  • Stocare în conturile din cloud: Dropbox, Google Drive, Amazon S3, Orange etc
  • Reţele interne (NAS, Intranet)
  • Email şi ataşamente din email
  • Sisteme CRM
  • Platforme de email marketing: MailChimp sau asemănător
  • Social media: verifică-ţi lista de contacte pe telefoanele / calculatoarele firmei
  • Aplicaţii de instant messaging ca Facebook Messenger, Slack etc
  • Aplicaţii pentru productivitate ca Zapier, Trello etc
  • Platforme de programări ca Eventbrite, Calendly
  • Nu uita de date personale ţinute pe hârtii, registre, caiete etc. Au acelaşi regim ca cele din mediul electronic.

Procesarea de către o terţă parte

Verifică cu atenţie contractele, termenii colaborărilor şi politicile de confidenţialitate şi securitate ale tuturor partenerilor care vor avea acces la datele personale pe care le colectează firma ta (de exemplu, firma de curierat cu care ai contract de livrări). Află de la ei dacă au de gând să se conformeze GDPR; dacă nu o vor face, e cazul să-ţi găseşti alţi parteneri pentru direcţia respectivă de colaborare. E important să ştii că în relaţia cu clienţii tăi persoane fizice, firma ta este responsabilă de datele personale transmise către partenerii tăi, indiferent care sunt ei.

 

Pluginuri care colectează date personale

Folosirea de pluginuri (extensii sau add-on-uri) în platformele CMS de tip WordPress, Joomla, Drupal etc îmbunătăţesc funcţionalitatea site-urilor şi oferă o experienţă mai bună de navigare pentru vizitatori, însă, de multe ori, aceste pluginuri colectează şi stochează datele personale ale vizitatorilor. Penru site-uri web există încă din anii ’90 un principiu numit “Privacy by Design”; regula de bază e de a minimiza volumul de date personale colectate prin intermediul site-ului.

Formulare de contact

Evită utilizarea de formulare de contact care necesită completarea cu multe date personale, atâta timp cât nu ai niciun motiv pentru a le colecta; iar dacă ai totuşi nevoie de ele, înştiinţează-ţi utilizatorii de ce le colectezi, unde şi cât le stochezi şi cum pot avea acces la informaţiile pe care le deţii despre ei.

Un plugin construit corect va oferi proprietarului site-ului opţiunea de a alege ce anume date colectează şi stochează, precum şi opţiunea de a şterge datele. De asemenea, la dezinstalarea pluginului, toate datele colectate vor fi şterse.

Atenţie la formularele de contact care stochează datele în baza de date a instanţei de WordPress: pentru că nu trebuie să păstrezi aceste date mai mult decât e necesar, situaţia ideală e să le ştergi imediat ce nu-ţi mai sunt de folos (de exemplu, odată ce clientul a efectuat o comandă şi ai făcut livrarea, nu mai ai voie să-i păstrezi datele, decât dacă şi-a dat acceptul pentru păstrarea lor).

De asemenea, atenţie la căsuţele pre-bifate care îl înscriu pe client la newsletter: acestea trebuie să dispară. Acordul unui vizitator pentru înscrierea la newsletter trebuie obţinut separat, prin intermediul unui formular de sine stătător, cu înştiinţare separată de accept sau refuz şi cu prezentarea condiţiilor de acces la date.

Cookie-urile

Cookie-urile sunt mici fişiere de tip text care sunt descărcate în computerul (browser-ul) vizitatorului, cu scopul de a-i îmbunătăţi experienţa sau de a-i urmări traseul în site (cele mai renumite astfel de cookie-uri sunt cele de la Google Analytics).

Politica de cookie-uri va fi reglementată de regulamentul „ePrivacy”, separat de noul GDPR. Implementarea sa trebuia să aibă loc odată cu GDPR, dar s-ar putea să se amâne, de vreme ce deocamdată există doar un draft ce datează din 10 ianuarie 2017. Rămâne de văzut ce noutăţi vor aduce aceste noi reglementări.

 

Dacă există orice tip de date personale de care nu ai nevoie, şterge-le.

Fă o evaluare de risc a datelor personale pe care le stochezi, identifică datele sensibile (dacă e cazul) şi ia măsuri active pentru protecţia lor

Fă periodic evaluări privind impactul GDPR asupra oricăror proiecte trecute, prezente sau viitoare care presupun procesarea de date personale.

 

Site-ul tău nu e pregătit pentru GDPR? Te putem ajuta!


Ai un site de prezentare sau un magazin online construit pe platformă WordPress? trebuie să-l pregăteşti pentru intrarea în vigoare a GDPR.

Toate companiile ce procesează şi stochează date personale ale cetăţenilor din ţările membre ale UE trebuie să se conformeze regulilor GDPR (Regulamentul General de Protecţie a Datelor Personale)

VREAU SĂ-MI CONFORMEZ SITE-UL
Edgar Andrei Olaru
Salut. Sunt Edgar Andrei Olaru, designer grafic si specialist în marketing online. De 18 ani fac comunicare publicitară: copywriting, graphic design (pentru web şi tipar), creare site şi optimizare site (SEO). Vrei un site eficient, care să-ţi crească afacerea? ia legătura cu mine.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Time limit is exhausted. Please reload CAPTCHA.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.