Regulamentul General de Protecţie a Datelor (GDPR – General Data Protection Regulation) este o modificare legislativă majoră în protecţia datelor personale, ce va intra în vigoare în toate ţările membre ale Uniunii Europene de la 25 mai 2018. Propus de Comisia Europeană, acest Regulament are rolul de a întări drepturile persoanelor fizice în ce priveşte colectarea, utilizarea şi stocarea datelor personale.
Deşi este o lege a Uniunii Europene, GDPR va avea un impact global: orice firmă sau instituţie din afara UE care procesează datele personale ale unui cetăţean al Uniunii Europene va trebui să se conformeze acestui regulament. GDPR face multe referiri la „data processing”; „procesarea datelor” înseamnă orice operaţiune efectuată cu date personale: colectare, stocare, modificare, ştergere etc.
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal va fi coordonată de la Bruxelles şi va monitoriza modul în care companiile din România vor implementa noul GDPR. Amenzile în cazul nerespectării regulilor GDPR sunt:
– avertisment
– mustrare
– suspendarea dreptului de a procesa date personale
– amendă de 2% din media cifrei de afaceri globală sau 10 milioane EUR (care e mai mare)
– amendă de 4% din media cifrei de afaceri globală sau 20 milioane EUR (care e mai mare).
GDPR va deveni, pe scurt, standardul mondial în protecţia datelor personale.
Ce sunt „datele personale”?
Orice informaţie care poate fi utilizată la identificarea, direct sau indirect, a unei persoane reale, este socotită „dată personală”. De exemplu:
- Nume
- Adresă
- Adresă de email
- Cod Numeric Personal (sau Numărul Social etc, în funcţie de ţară)
- Localizare
- Adresa electronică (IP)
Care sunt datele personale sensibile?
Există o categorie specială de date personale care trebuie gestionată cu o mult mai mare atenţie. Această categorie include informaţii ca:
- Rasa
- Starea de sănătate
- Orientarea sexuală
- Credinţa religioasă
- Orientarea politică
Cum defineşte GDPR drepturile persoanele fizice?
În ce priveşte datele personale, indivizii au următoarele drepturi:
- Dreptul la informare
- Dreptul de acces
- Dreptul de rectificare
- Dreptul de ştergere
- Dreptul de restricţionare a procesării
- Portabilitatea datelor
- Dreptul la obiecţie
- Dreptul de a consulta deciziile automate sau acţiunile de profiling.
Ce trebuie să faci ca firma ta ca să se conformeze GDPR?
1. Auditează datele personale
Fă un centralizator al tuturor datelor personale pe care compania ta le procesează. Detalii mai jos.
2. Documentează totul
Crearea unui document intern cu proceduri e necesară pentru a demonstra autorităţilor că te conformezi Regulamentului. Pune pe hârtie toate procedurile pe care le vei folosi în gestiunea datelor personale. Vei avea nevoie să stabileşti ce faci atunci când:
– o persoană fizică, client de-al tău, cere acces la datele personale
Indivizii pot solicita accesul, modificarea sau ştergerea datelor personale. Implementează o procedură pentru a le verifica identitatea şi pentru a le îndeplini cererea.
– securizezi datele
Detaliază ce faci pentru a stoca în siguranţă datele personale. Asta ar putea presupune procedee de criptare, anonimizare, pseudonimizare sau controlul accesului.
– are loc un incident de securitate
Orice incident de securitate (accesul neautorizat la datele personale) trebuie raportat în termen de 72 de ore către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro). Dacă incidentul este serios, trebuie înştiinţate şi persoanele fizice ale căror date au fost afectate.
3. Informează-ţi publicul
Creează (dacă nu ai deja) sau actualizează-ţi Declaraţia de confidenţialitate, în care explici ce date personale colectezi şi de ce. Atenţie: aceste explicaţii trebuie să fie extrem de clare, scurte, pe înţelesul oricui; sub nicio formă nu folosi un limbaj tehnic juridic sau vag. Ba chiar poţi folosi icon-uri sau imagini pentru a uşura lectura şi înţelegerea explicaţiilor.
Nu copia o astfel de Declaraţie de confidenţialitate din altă parte. Declaraţia trebuie să explice propriile tale proceduri.
4. Identifică o bază legală pentru toate activităţile de procesare a datelor
Toate activităţile de procesare a datelor trebuie să aibă o justificare legală. Detalii mai jos.
5. Desemnează un DPO (persoană responsabilă cu protecţia datelor)
Data Protection Officer (DPO – persoana responsabilă cu protecţia datelor) supraveghează toate activităţile de procesare a datelor. Această persoană poate fi desemnată din interiorul firmei (unul dintre angajaţi) sau din afară (colaborator extern). Dacă firma ta nu procesează volume mari de date în mod constant, n-ai neapărată nevoie să desemnezi un DPO.
Auditul: ce date personale colectează firma ta?
Trebuie să stabileşti răspunsurile la următoarele întrebări:
- Datele cui le deţii deja?
- Ce date personale colectezi? Sunt din categoria celor sensibile?
- Ce tip de fişiere utilizezi pentru stocarea datelor?
- Unde stochezi datele: local (pe calculatoarele sau serverele din firmă), pe un server web, în cloud?
- Permiţi accesul la date personale unei terţe persoane? Care? Unde se află?
- Dacă datele personale au fost iniţial obţinute şi stocate pe teritoriul UE, sunt în orice moment transferate pe teritorii non-UE? (aceste transferuri sunt permise doar dacă datlee personale sunt protejate după regulamentele din ţara în care sunt transferate)
- Cât timp sunt stocate datele?
- Stocarea e securizată în vreun fel (criptare, securizare fizică etc)?
- Indivizii ale căror date sunt colectate sunt notificaţi asupra colectării şi utilizării datelor?
Atenţie: datele personale se pot găsi într-o grămadă de locuri; asigură-te că le ai sub control pe toate. De exemplu:
- Site-urile companiei, fie online, în lucru sau în stadii intermediare:
- Pluginuri de WordPress care colectează şi stochează informaţii personale
- Utilizatori de WordPress – în special forumurile de tip BuddyPress sau bbPress
- Comentarii pe platformă WordPress (native sau din alte pluginuri)
- Soluţii de ecommerce (de exemplu WooCommerce)
- Fişiere – documente, tabele, baze de date, PDF-uri
- Dispozitive de stocare şi backup: computere, hard disk-uri portabile, stickuri USB, CD-uri, DVD-uri, BluRay-uri, online
- Stocare în conturile din cloud: Dropbox, Google Drive, Amazon S3, Orange etc
- Reţele interne (NAS, Intranet)
- Email şi ataşamente din email
- Sisteme CRM
- Platforme de email marketing: MailChimp sau asemănător
- Social media: verifică-ţi lista de contacte pe telefoanele / calculatoarele firmei
- Aplicaţii de instant messaging ca Facebook Messenger, Slack etc
- Aplicaţii pentru productivitate ca Zapier, Trello etc
- Platforme de programări ca Eventbrite, Calendly
- Nu uita de date personale ţinute pe hârtii, registre, caiete etc. Au acelaşi regim ca cele din mediul electronic.
Procesarea de către o terţă parte
Verifică cu atenţie contractele, termenii colaborărilor şi politicile de confidenţialitate şi securitate ale tuturor partenerilor care vor avea acces la datele personale pe care le colectează firma ta (de exemplu, firma de curierat cu care ai contract de livrări). Află de la ei dacă au de gând să se conformeze GDPR; dacă nu o vor face, e cazul să-ţi găseşti alţi parteneri pentru direcţia respectivă de colaborare. E important să ştii că în relaţia cu clienţii tăi persoane fizice, firma ta este responsabilă de datele personale transmise către partenerii tăi, indiferent care sunt ei.
Pluginuri care colectează date personale
Folosirea de pluginuri (extensii sau add-on-uri) în platformele CMS de tip WordPress, Joomla, Drupal etc îmbunătăţesc funcţionalitatea site-urilor şi oferă o experienţă mai bună de navigare pentru vizitatori, însă, de multe ori, aceste pluginuri colectează şi stochează datele personale ale vizitatorilor. Penru site-uri web există încă din anii ’90 un principiu numit “Privacy by Design”; regula de bază e de a minimiza volumul de date personale colectate prin intermediul site-ului.
Formulare de contact
Evită utilizarea de formulare de contact care necesită completarea cu multe date personale, atâta timp cât nu ai niciun motiv pentru a le colecta; iar dacă ai totuşi nevoie de ele, înştiinţează-ţi utilizatorii de ce le colectezi, unde şi cât le stochezi şi cum pot avea acces la informaţiile pe care le deţii despre ei.
Un plugin construit corect va oferi proprietarului site-ului opţiunea de a alege ce anume date colectează şi stochează, precum şi opţiunea de a şterge datele. De asemenea, la dezinstalarea pluginului, toate datele colectate vor fi şterse.
Atenţie la formularele de contact care stochează datele în baza de date a instanţei de WordPress: pentru că nu trebuie să păstrezi aceste date mai mult decât e necesar, situaţia ideală e să le ştergi imediat ce nu-ţi mai sunt de folos (de exemplu, odată ce clientul a efectuat o comandă şi ai făcut livrarea, nu mai ai voie să-i păstrezi datele, decât dacă şi-a dat acceptul pentru păstrarea lor).
De asemenea, atenţie la căsuţele pre-bifate care îl înscriu pe client la newsletter: acestea trebuie să dispară. Acordul unui vizitator pentru înscrierea la newsletter trebuie obţinut separat, prin intermediul unui formular de sine stătător, cu înştiinţare separată de accept sau refuz şi cu prezentarea condiţiilor de acces la date.
Cookie-urile
Cookie-urile sunt mici fişiere de tip text care sunt descărcate în computerul (browser-ul) vizitatorului, cu scopul de a-i îmbunătăţi experienţa sau de a-i urmări traseul în site (cele mai renumite astfel de cookie-uri sunt cele de la Google Analytics).
Politica de cookie-uri va fi reglementată de regulamentul „ePrivacy”, separat de noul GDPR. Implementarea sa trebuia să aibă loc odată cu GDPR, dar s-ar putea să se amâne, de vreme ce deocamdată există doar un draft ce datează din 10 ianuarie 2017. Rămâne de văzut ce noutăţi vor aduce aceste noi reglementări.
Baza legală pentru procesarea datelor personale
GDPR defineşte şase fundamente pentru procesarea legală a datelor personale. Cel puţin unul dintre aceste fundamente trebuie îndeplinit.
Două dintre ele nu prea se pot aplica în online – interesul vital şi funcţia publică. Rămân următoarele:
1. Procesarea datelor e necesară pentru îndeplinirea unui Contract
Activităţi precum plăţile într-un magazin online sunt acoperite de această condiţie.
2. Obligaţia legală
De exemplu, în România registrele de contabilitate şi documentele justificative care stau la baza înregistrărilor în contabilitatea financiară se păstrează în arhiva firmelor timp de zece ani, cu începere de la data încheierii exerciţiului financiar în cursul căruia au fost întocmite.
3. Acceptul dat liber
Acesta este unul din principiile cheie pentru cele mai multe firme, mai ales în scopuri de marketing. Când nu există nicio altă bază legală, poate fi invocat acceptul dat de utilizator pentru procesarea datelor sale personale.
Acceptul trebuie să fie:
Liber exprimat – nimeni nu poate fi păcălit sau forţat să-şi dezvăluie datele personale.
Explicit – va trebui să obţii acceptul scris (în format electronic, prin intermediul unei bife) al posesorului pentru a-i procesa datele personale, explicându-i de ce ai nevoie de acele date.
Specific şi separat – dacă există mai multe socpuri pentru colectarea datelor personale, acceptul trebuie obţinut pentru fiecare în parte.
Nominal – când ceri acceptul unui utilizator, trebuie să specifici numele firmei tale şi a oricărei terţe părţi care va avea acces şi va procesa acele date.
Posibil să fie retras în orice moment – dacă vreun utilizator vrea să se retragă la un moment dat din relaţia cu firma ta, trebuie să-i oferi posibilitatea s-o facă, iar acest proces să fie cât mai simplu.
Trebuie să înregistrezi în scris (să păstrezi evidenţa):
- La ce anume (scopul colectării) ai primit acceptul din partea cuiva.
- Când ai primit acceptul.
- În ce constă acceptul.
- Ce explicaţii le-ai dat în momentul acceptului, privitoare la motivele solicitării colectării datelor.
Acceptul dat are o perioadă de valabilitate?
Nu există o perioadă minimă de acţiune a acceptului primit – depionde de context.
Ce se întâmplă cu accepturile primite anterior intrării în vigoare a GDPR?
Multe firme (inclusiv noi) au deja liste cu mii şi zeci de mii de adrese de email care au acceptat să primească noutăţi sau informări comerciale, de marketing. Aceste liste pot fi păstrate doar dacă poţi demonstra că ai obţinut acceptul în aceleaşi condiţii stipulate de actualul GDPR. Ceea ce nu se va întâmpla decât în cazuri absolut izolate. Aşadar, începe să îţi refaci listele de emailuri, cerând din nou acceptul destinatarilor.
Interesul legitim
Procesarea datelor e permisă şi în baza interesului legitim al companiei, atâta timp cât nu încalcă drepturile individuale ale utilizatorului.
Dacă ai de gând să apelezi la acest ultim fundament pentru colectarea datelor, trebuie să:
- documentezi în scris (într-un document intern) de ce interesul firmei tale este legitim şi primează în faţa interesului personal al utilizatorului
- stipulezi în Politica de confidenţialitate că utilizezi interesul legitim al firmei pentru a procesa date personale
- permiţi personaleor fizice ale căror date intenţionezi să le procesezi să obiecteze împotriva acestui tip de interes
De exemplu, să zicem că site-ul tău utilizează un script de securitate ce loghează IP-urile vizitatorilor. După o evaluare a intereselor, decizi că logarea IP-urilor e justificată pe baza interesului legitim. Iar ultimul pas e să înştiinţezi utilizatorii în Politica de confidenţialitate că vei loga adresele lor IP cu scopul de a-ţi proteja site-ul împotriva acţiunilor rău-voitoare.
În concluzie, pe scurt
Primul pas: fă un audit care să identifice ce tip de date personale procesezi şi ce bază legală ai pentru a le procesa
Dacă există orice tip de date personale de care nu ai nevoie, şterge-le.
Fă o evaluare de risc a datelor personale pe care le stochezi, identifică datele sensibile (dacă e cazul) şi ia măsuri active pentru protecţia lor
Fă periodic evaluări privind impactul GDPR asupra oricăror proiecte trecute, prezente sau viitoare care presupun procesarea de date personale.
Site-ul tău nu e pregătit pentru GDPR? Te putem ajuta!
Ai un site de prezentare sau un magazin online construit pe platformă WordPress? trebuie să-l pregăteşti pentru intrarea în vigoare a GDPR.
Toate companiile ce procesează şi stochează date personale ale cetăţenilor din ţările membre ale UE trebuie să se conformeze regulilor GDPR (Regulamentul General de Protecţie a Datelor Personale)