In numai cateva zile va intra in vigoare una dintre cele mai “controversate” hotarari legislative ale Uniunii Europene din ultimii ani. Mai exact la 25 Mai 2018 intra in vigoare Regulamentul General privind Protectia Datelor, pe scurt GDPR. Acesta se adreseaza tuturor entitatilor juridice din UNE si face referire la tot ceea ce tine de protectia datelor cu caracter personal.

GDPR (General Data Protection Regulation) a fost publicat si adoptat de Parlametul European in aprilie 2016 si va intra in vigoare la 25 Mai 2018 pentru ca toate statele sa aiba timpul necesar de informare, pregatire si aplicare a normelor de conformitate la aceste prevederi. Toate regulamentele europene nu au nevoie de directive in ceea ce priveste fiecare stat UE, ele intrand in vigoare direct si irevocabil.

Ce este GDPR?

GDPR- General Data Protection Regulation sau, in traducere, Regulamentul General pentru Protectia Datelor este noul cadru european pentru protectia datelor si este cel care inlocuieste directiva anterioara din 1995. Scopul implementarii este siguranta persoanelor fizice privind informatiile personale. Astfel, schimbarile intervin la nivelul publicului larg (clientilor, intermediarilor, intervievatilor), dar si la nivelul companiilor, organizatiilor si institutiilor publice existente, care prelucreaza date personale in interes propriu.

Un lucru informativ, dar foarte important este faptul ca cel care gestioneaza datele cu caracter personal nu este intotdeauna acelasi. Exista un controlor si un procesator.

Controlorul este cel care stabileste scopul si felul utilizarii datelor.

Procesatorul este cel care prelucreaza datele in numele controlorului. Datele sunt obtinute, inregistrare, adaptate sau pastrate, in functie de politica fiecarei companii.

Cine trebuie sa implementeze si sa se conformeze cu noua legislatie?

Nimeni nu face exceptie de la regula, nici macar marile companii si colectori de date personale, Facebook si Google, care au inceput de ceva timp demersul in ceea ce priveste schimbarea.

Toate companiile, institutiile, magazinele online, persoanele fizice, organizatiile vor fi nevoite sa ia masuri in ceea ce priveste datele clientilor lor, indiferent daca sunt ,,controlori” sau ,,procesatori” ale acestora. Datele personale sunt cele prin care se poate identifica o persoana: nume, adresa, CNP, iar datele personale sensibile sunt cele legate de orientare sexuala, opinii religioase sau politice. Toate acestea sunt vizate de GDPR.

Daca tu crezi ca nu te incadrezi aici si ca GDPR nu este valabil pentru compania ta, mai gandeste-te inca o data. Mai mult ca sigur te incadrezi la unul dintre punctele de mai jos:

  • Ai cel putin un angajat (ai datele lui: CNP, nume, adresa, numar de telefon etc.)
  • Ai un formular de contact pe site-ul tau
  • Ai un magazin online
  • Tii datele clientilor tai intr-un CRM, Excel etc.
  • Ai implementat pe site Google Analytics sau colectezi cookieuri pentru campanii de remarketing
  • Multe alte situatii care pleaca de la cele de mai sus

Ce sunt datele personale, asa cum sunt ele definite de legislatia UE:

Datele personale sunt reprezentate de orice tip de informatii, care pot permite identificarea directa sau indirecta a unei persoane vii. Acestea pot fi dar nu se limiteaza la nume, o adresa, numar de telefon, adresa de email,chiar o adresa IP.

Ce iti impune mai exact regulamentul GDPR:

  1. Sa ai un temei juridic si un scop legitim pentru care colectezi date cu caracter personal – aici recomandam sa ai grija sa colectezi doar datele de care ai strict nevoie si sa te inregistrezi ca operator de date cu caracter personal pe http://dataprotection.ro/ (dureaza 15 minute).
  2. Sa iti documentezi toate activitatile de prelucrare a datelor. Asta inseamna sa ai documente emise si care sa spuna negru pe alb toate procesele existente in firma prin intermediul carora colectezi astfel de date.
  3. Sa faci o evaluare a riscurilor care pot aparea si care pot duce la pierderea sau divulgarea datelor.
  4. Sa iei masuri organizatorice si tehnice pentru protejarea datelor > contracte de confidentialitate cu furnizorii si cu angajatii, parole bien definite, servere securizate, doar persoanele care au stricta nevoie sa aiba acces la date).
  5. Minimizarea cantitatii de date cu caracter personal prelucrate.
  6. Sa fii in masura sa probezi conformitatea cu GDPR. Asta inseamna ca trebuie sa demonstrezi organelor de control actiunile pe care le-ai facut ca sa fii in conformitate (trebuie sa demonstrezi macar intentia).
  7. Notificarea autoritatii de supraveghere cu privire la incalcarea datelor in cazul in care acestea au fost pierdute sau furate.
  8. Desemnarea unui responsabil cu protectia datelor (DPO).
  9. Actualizarea datelor personale inexacte.
  10. Sa notifici/instiintezi orice persoana careia ii culegi si ii prelucrezi datele cu caracter personal. Trebuie sa le spui ce colectezi, de ce si pentru ce, pana cand, pentru cine. Asta inseamna Termeni si Conditii, Politica de Confidentialitate, informare clare, la vedere, corecte.

Acestea sunt cerintele dupa care vei concretiza daca afacerea ta va fi in conformitate cu GDPR. Ce trebuie sa ai in vedere:

  • Angajarea unui DPO (Data Protection Officer). Responsabilul pentru protectia datelor va fi una dintre cele mai cautate functii pe piata. Aceasta persoana va fi angajata de catre institutiile publice, companii cu peste 200 de angajati, companii pentru care procesarea si prelucrarea datelor cu caracter personal este principala activitate, companii care prelucreaza date speciale sau cu referire la condamnari penale.
  • Crearea unor noi reguli pentru consimtamant. Consimtamantul prelucrarii este mult mai restrictiv, deoarece acesta trebuie sa fie accesibil tuturor, simplu, fara sa cuprinda termeni tehnici si fara sa fie scopul unei conditii (de livrare sau de prestare de servicii).
  • Drepturi noi pentru persoanele vizate. Acestea vor avea dreptul de a primi datele lor stocate intr-un singur format, la care au acces rapid si automat. Aceasta este si cea mai mare provocare impusa de GDPR- portabilitatea datelor personale.
  • Transparenta. Daca pana acum nici nu era vorba de asa ceva, din momentul implemetarii GDPR, toata lumea va avea acces la informatii precum: cine este DPO, motivul prelucrarii, durate retinerii sau profilarea datelor.

 

De ce sa iti pese de GDPR: amenzile sunt usturatoare. Cea mai mare amenda este in jur de 20 de milioane de euro sau 4% din cifra de afaceri globala. In schimb, persoanele vizate sunt despagubite semnificativ, in cazul unui prejudiciu.

Ce ai de facut daca ai un magazin online?

Prin Regulamentul General pentru Protectia Datelor toti comerciantii magazinelor online au obligatia sa creeze o relatie transparenta intre magazin si client, transparenta care il obliga pe comerciant sa ofere clientului toate informatiile necesare cu privire la protectia datelor lui.

Astfel, securitatea datelor presupune noi abordari organizatorice si tehnice ale companiei. Pentru cei care detin platforme si aplicatii trebuie sa stie ca de acum vor trebui sa introduca campuri de Privacy by design si by defoult. Pentru ambele situatii se introduc tehnici care asigura utilizatorul ca datele lui sunt protejate la cel mai inalt nivel si ca se prelucreaza doar datele necesare operatiunii in fapt (de exemplu, pentru facturare, completarea CNP-ului nu mai este necesara, deoarece legal nu este justificata in ceea ce priveste emiterea facturii).

Incepand cu 25 mai, sintagma ,,Acces nerestrictionat si irevocabil” nu va mai exista, deoarece Regulamentul General pentru Protectia Datelor nu permite acest lucru. Momentan, unele magazine online folosesc aceasta sintagma, ba mai mult, transmit si partenerilor aceste date. Daca aceste magazine continua procesul de preluare a datelor in acest mod, sunt expuse amenzilor usturatoare sau chiar interzicerii premanente de preluare.

Dovada protejarii datelor pentru marile magazine din Romania se rezuma la informarea confidentialitatii datelor utilizatorilor. Regulamentul cere, pe langa asta, si dovada practica a acesteia.

Pe scurt, ce ar trebui sa implementezi:

  • Sa colectezi in procesul de cumparare doar datele de care ai nevoie;
  • Daca vrei sa folosesti datele pentru comunicari publicitare ulterioare sa ii instiintezi pe clienti despre asta si ei sa isi dea consintamantul (un checkbox la final care sa nu fie “checked by default” prin care clientul declara ca este de acord cu prelucrarea datelor pentru transmiterea de oferte);
  • Sa ai o pagina de Termeni si Conditii si una de Politici de Confidentialitate bine puse la punct in care sa spui ce colectezi, pentru ce, pana cand, cine are acces, etc.
  • In aceste pagini sa spui cine este (datele companiei care sa apara si pe pagina de contact), care alte terte parti au acces la datele de contact (mailchimp, google, agentia de marketing etc.);
  • Sa ii instiintezi pe oameni ca siteul se foloseste de cookieurile stocate pe dispozitivul lor, pentru ce le foloseste (analiza, publicitate comportamentala) si sa le ceri acordul pentru asta;
  • Sa aveti intotdeauna datele de contact la vedere si posibilitatea ca persoana sa aiba acces la datele stocate si drept la stergerea lor ;
  • Sa nu transmiti emailuri automate de recuperare a cosului de cumparaturi si a checkout-ului fara a avea consimtamantul explicit pentru a face asta (doar catre clienti care au cont de utilizator si au acceptat prelucrarea datelor cu caracter personal);
  • Asigura-te ca formularele de feedback, de recenzie includ consimtamantul pentru datele personale pe care le soliciti;
  • Elimina toate modalitatile automate de colectare a datelor de contact.

Ce ai de facut daca ai un site de prezentare?

Impactul este diferit pentru fiecare site in parte, in functie de activitatile desfasurate. Daca activitatea de baza a companiei tale consta in procesul de prelucrare a datelor cu caracter personal sau daca esti agent comercial, dezvoltator sau furnizor de aplicatii, oferi servicii de salarizare sau de facturare, atunci Regulamentul General pentru Protectia datelor te vizeaza in mod direct.

In cazul in care sediul afacerii tale nu este in Romania sau Uniunea Europeana, insa livrezi produse in intreaga Europa, atunci indeplinesti aceleasi obligatii, deoarece ai consumatori pe care acest regulament ii vizeaza in mod direct.

Daca compania ta nu poate functiona fara prelucrarea datelor cu caracter personal si, implicit, analiza acestor date, chiar daca colectarea si analiza acestor date se realizeaza in alta tara din afara UE, esti vizat privind GDPR.

Pe scurt, daca ai un site de prezentare, trebuie sa tii cont de cele de mai jos:

  • Elimina toate modalitatile automate de colectare a datelor de contact;
  • Sa ai o pagina de Termeni si Conditii si una de Politici de Confidentialitate bine puse la punct in care sa spui ce colectezi, pentru ce, pana cand, cine are acces etc.;
  • In aceste pagini sa spui cine este (datele companiei care sa apara si pe pagina de contact), care alte terte parti au acces la datele de contact (mailchimp, google, agentia de marketing etc.);
  • Sa ii instiintezi pe oameni ca siteul se foloseste de cookieurile stocate pe dispozitivul lor, pentru ce le foloseste (analiza, publicitate comportamentala) si sa le ceri acordul pentru asta;
  • Sa ai intotdeauna datele de contact (si de identificare ale companiei) la vedere si posibilitatea ca persoana sa aiba acces la datele stocate si drept la stergerea lor;
  • Sa colectezi prin formularul de contact doar datele de care ai nevoie;
  • La formularul de contact persoana sa isi exprime acordul (prin checkbox care nu este “checked” by default) de a ii folosi datele (in ce scop, de catre cine, pana cand);
  • Sa te asiguri ca furnizorii tai/partenerii tai sunt compatibil GDPR;
  • Daca folositi CRM o aplicatie de suport client etc., sa ii instiitezi pe clienti ca datele lor sunt stocate si/sau prelucrate, de ce, unde si pana cand.

 

 

Pentru a citi mai multe te invitam sa accesezi documentatiile pregatite de IAB Europe, organizatie din care The Markers face parte.

Acest articol te poate ajuta sa intelegi despre ce este vorba in ceea ce tine de GDPR, sa implementezi actiunile necesare dar nu este o consiliere profesionala, juridica, asadar nu poate fi folosit ca model de consiliere juridica in fata autoritatilor sau a terte persoane.

Pentru consultanta in domeniu iti recomandam sa iei legatura cu partenerii nostri de la Decalex sau de la Murar&Asociatii.

 

 

Tu pentru ce ai nevoie de servicii de marketing online?

Generare de lead-uri


Marketing 4 Ecommerce

Branding si vizibilitate

 

Sharing is caring!