Scopul acestui articol
Nu sunt jurist sau avocat si nu reproduc parerea sau parerile unor juristi sau avocati. Acest articol reprezinta doar o sinteza a informatiilor pe care le-am adunat eu legat de GDPR si opiniile mele legate de acest subiect. Va rog sa va informati direct si sa semnalati orice eroare pe care o descoperiti in articol utilizand sectiunea de comentarii.
Ce este GDPR?
GDPR (Regulamentul General privind protectia Datelor Personale) este un regulament al Uniunii Europene intrat in vigoare pe 25 mai 2018 care defineste drepturile cetatenilor europeni in legatura cu datele personale. Regulamentele sunt diferite de directivele UE prin faptul ca intra in vigoare in intreaga uniune fara a mai fi necesara adoptarea unei legi la nivel national. Din acest motiv, incepand cu 25 mai 2018, prevederile GDPR produc efecte in toate statele membre UE. GDPR nu este un set de documente sau o certificare necesara, ci un set de principii care trebuiesc incorporate in toate procesele in care este implicata organizatia si in care se interactioneaza cu date cu caracter personal.
Principiul de la care consider ca porneste GDPR este dreptul cetateanului asupra datelor sale cu caracter personal indiferent daca acestea au fost adunate direct sau prin terti. Astfel, cetateanul are dreptul sa:
- cunoasca ce date sunt retinute, daca sunt transferate si in alte sisteme precum si o lista a tertilor care au acces la datele sale
- sa i se solicite in mod explicit acordul pentru procesarea datelor sale
- sa poata solicita stergerea datelor sale din sistem in situatia in care nu exista motive temeinice pentru a refuza acest lucru (de exemplu in relatia cu o banca, clientul nu poate solicita stergerea datelor sale personale daca a contractat un credit de la banca respectiva pana la incheierea acestui contract)
- sa poata dezactiva contul sau pentru anumite perioade de timp
Referitor la modul de implementare al cerintelor GDPR, legislatia permite detinatorului sistemului informatic sa aplice propriile solutii si cuprinde o serie de sanctiuni in cazul refuzului de a respecta prevederile GDPR. Amenzile foarte mari care au tot fost folosite ca sperietoare in ultimul timp, in opinia mea, nu se vor aplica in cazul celor mai multe magazine online.
Am un magazin online. Ma afecteaza GDPR?
In principiu orice site trebuie sa implementeze GDPR in functionarea sa. Daca site-ul dumneavoastra solicita numele persoanelor, adrese de e-mail, adrese, numere de telefon si lista cuprinde mult mai multe tipuri de date, atunci este necesar sa respectati GDPR. In principiu orice site are cel putin un formular de contact, ceea ce inseamna ca trebuie sa respecte GDPR. Nu este suficient sa introduceti o sectiune generala de termeni si conditii de utilizare cu are utilizatorii dumneavoastra sa fie de acord. In functie de tipurile de informatii solicitate si retinute si sistemele care apartin tertilor in care aceste date ajung este necesar sa prezentati clar ce informatii sunt solicitate, cu ce scop, pentru ce perioada vor fi pastrate si o lista completa cu terti care vor avea acces la aceste date. Utilizatorii vor trebui sa-si dea acordul in mod explicit in legatura cu aceste stocari si procesari de date.
Concret, ce trebuie sa fac pentru a ma asigura ca magazinul meu respecta GDPR?
Este necesar sa va asigurati ca faceti, respectiv nu faceti, urmatoarele:
- Afisati link-uri vizibile catre politicile de confidentialitate, politica privind datele personale si politica privind utilizarea cookie-urilor
- Afisati clar lista tertilor care au acces la datele colectate
- Transmiteti clar scopul stocarii datelor si tipurile de prelucrari si utilizari pentru care au fost stocate
- Solicitati clar consimtamantul utilizatorului atunci cand sunt stocate date personale
- Oferiti posibilitatea stergerii datelor din sistem
- Oferiti posibilitatea descarcarii datelor detinute de site despre persoana care solicita aceasta descarcare
- Oferiti posibilitatea dezactivarii contului si apoi reactivarii contului
- Oferiti posibilitatea retragerii consimtamantului - probabil asociat cu stergerea datelor asociate cu consimtamantul respectiv
Un exemplu de implementare gresita este conditionarea plasarii comenzii pe site de acordul privind comunicarile comerciale prin e-mail sau SMS. Daca site-ul dumneavoastra conditioneaza astfel plasarea unei comenzi ar trebui sa separati procesul de comanda de abonarea la newslettere sau inscrierea in liste de marketing direct de alta natura. Pentru aceste inregistrari trebuie sa precizati clar in ce situatii se vor trimite informari si oferte si daca sa utilizeaza terti (de exemplu MailChimp) ce date vor fi transmise catre acestia.
Utilizand tot exemplul de mai sus se observa ca la retragerea consimtamantului pentru comunicari comerciale nu este suficienta stergerea adresei de e-mail din sistemul propiu, fiind necesar sa se actualizeze si lista destinatarilor din Mail Chimp. Aceasta procedura se repeta de cate ori se interactioneaza cu API-urile tertilor.
Desi nu este obligatoriu din perspectiva GDPR, va recomand sa achizitionati si un certificat SSL, atat pentru a creste nivelul de incredere al utilizatorilor in site-ul dumneavoastra cat si pentru a imbunatati securitatea generala a acestuia si din ratiuni ce tin de SEO.
Fara sa am pretentia ca am atins toate punctele de interes legate de GDPR, va invit sa-mi spuneti ce parere aveti dumneavoastra si daca v-a fost util acest articol utilizand formularul de comentarii de mai jos.
O intrebare ce tine de prelucrarea datelor: Cand magazinele online doresc sa produca analize statistice sau simple agregari de baza de tip data mining, este nevoie ca inregistrile, pe baza carora s-au calculat anumiti indicatori din categoriile acestea, sa fie sterse si statisticile refacute? Modul in care multi vendori de software aleg sa rezolve problema este prin criptarea datelor personale (criptare ireversibila prin diverse functii hash). Astfel, se considera ca datele respective au o valoare cantitativa, istorica, desi nu se mai poate merge pe fir si vedea ce utilizator a contribuit si in ce fel la acele statistici. Considerati legala aceasta pracrica?
Din cate stiu eu regulamentul cere sa fie anonimizate inregistrarile conexe prin eliminarea datelor cu caracter personal care se solicita sa fie sterse (fie la solicitarea express a utilizatorului, procedura normala la o perioada de timp sau ca urmare a retragerii consimtamantului). Daca legaturile dintre entitatile care contin datele personale si cele necesare statisticilor sunt facute prin intermediul ID-urilor (cum recomanda cam toate ghidurile de bune practici) atunci procesul de anonimizare este destul de simplu si se poate realiza prin eliminarea efectiva a datelor respective. Pentru utilizarea criptarii one-way problema la care ma gandesc este va trebui demonstrat ca este utilizata criptare one-way si datele nu pot fi recuperate cumva. Deci recomandarea mea este sa stergeti in loc sa criptati.