Acest articol este continuarea primei parti ce are acelasi titlu. Va rugam sa o cititi pe aceea inainte.
Ce este de facut
1. Politica de cookie-uri
Website-ul dumneavoastra trebuie sa contina o pagina care sa specifice ce cookie-uri sunt folosite, atat ale site-ului cat si ale sistemelor third-party (google, facebook etc.), ce informatii stocheaza si pentru cat timp.
2. Notificare cookies si politica de confidentialitate
Website-ul dumneavoastra trebuie sa ofere informatii despre cookie-urile folosite si sa furnizeze un link pentru pagina pe care se pot gasi informatii detaliate despre acest lucru.
Nu este suficient sa existe acea notificare despre cookie-uri prin care, odata cu navigarea pe site, utilizatorii accepta implicit cookie-urile folosite de acesta. Fiecare utilizator trebuie sa stie ce cookie-uri sunt inregistrate, pentru cat timp si in ce scop. De asemenea, trebuie sa poata opta daca vrea sa se inregistreze informatiile sale in acele cookie-uri sau nu. ATENTIE! Conform GDPR, accesul la site nu trebuie ingradit, de aceea trebuie sa existe o notificare si o caseta de selectie si, in cazul in cazul in care utilizatorul nu accepta inregistrarile din cookie-uri, site-ul trebuie sa poata functiona in continuare, exceptie facand cookie-urile care sunt strict necesare site-ului.
Trebuie sa existe si o pagina de informare pe larg si detaliat in ceea ce priveste politica de cookie-uri (ce sunt, la ce folosesc, lista lor detaliata, data la care a fost actualizat continutul acestei pagini).
Trebuie ca fiecare utilizator sa isi poata modifica in orice moment optiunile in ceea ce priveste lista de cookie-uri pe care le accepta.
3. Politica de confidentialitate
Este recomandat sa aveti o pagina ce contine toate informatiile privind datele ce sunt colectate de la utilizator, prin cookie-uri, formulare de contact etc., motivele pentru care acestea sunt colectate, modul prin care un utilizator poate cere detalii despre informatiile personale stocate, modul prin care un utilizator poate cere sa i se stearga toate datele din website.
4. Dreptul de a fi uitat
Fiecare utilizator poate solicita ca informatiile despre el care au fost colectate si stocate prin intermediul site-ului sau pe alte canale de comunicare sa fie sterse permanent. In acest sens, trebuie sa oferiti aceasta posibilitate, fie printr-o functionalitate a site-ului, fie prin furnizarea unei adrese de e-mail la care sa poata fi solicitat acest lucru. Imediat dupa primirea acestei solicitari, aveti obligatia de a sterge toate informatiile colectate, indiferent de modul de colectare si de stocare.
5. Stergerea informatiilor colectate inainte de 25 mai 2018
In cazul in care ati colectat informatii despre utilizatori inainte de 25 mai 2018 si acestia nu si-au dat in mod explicit acordul pentru ele, sunteti obligat sa le stergeti.
6. Certificat SSL
Acesta este un proces de criptare ce sta pe serverul de hosting al serverului dumneavoastra si care trebuie achizitionat pentru fiecare site in parte si instalat pe server. Instalarea se face, de obicei, de catre cei care ofera gazduirea site-ului. De cele mai multe ori, tot ei pot achizitiona pentru dumneavoastra acest certificat. Exista si vertificate SSL gratuite insa ele nu ofera nicio garantie si trebuie innoite des. Achizitionarea unui certificat SSL se face, de obicei, pentru minim un an.
7. Pseudonimizare sau anonimizare
Acesta este cel mai complicat aspect. Majoritatea website-urilor care folosesc conturi de utilizator stocheaza aceste informatii intr-o baza de date. In afara aplicatiilor de online banking, aceste informatii sunt stocate fara criptare. Este foarte greu sa reusesti in acelasi timp sa stochezi si sa apelezi informatii odata ce ele au fost criptate si, din acest motiv, cele mai multe site-uri nu fac asta. Cu toate acestea, regulamentul privind protectia datelor cere ca utilizatorii sa fie identificati in mod direct doar printr-un nume de utilizator, restul datelor de identificare fiind criptate. Acest lucru poate fi realizat numai cu o dezvoltare suplimentara a acestei functionalitati, dezvoltare ce va fi estimata de catre echipa de programatori doar la cererea clientului, in functie de platforma pe care se afla site-ul, datele ce trebuie criptate etc.
8. Inscrierea la newsletter
Daca aveti aceasta facilitate pe site, este important ca utilizatorul sa isi dea acordul in mod explicit pentru a primit newslettere. Acordul explicit se refera la faptul ca utilizatorul trebuie sa bifeze un camp pentru a se inscrie la lista de newsletter, acest camp nefiind bifat in prealabil. Daca folositi informatiile utilizatorului pentru a face campanii promotionale pe mai multe cai (adresa de e-mail pentru newsletter, numarul de telefon pentru SMS etc.), atunci trebuie sa obtineti acordul utilizatorului pentru fiecare dintre aceste cai de comunicare. Toate canalele de promovare trebuie sa ofere optiunea de a te dezabona. De exemplu, un newsletter trebuie sa contina obligatoriu link de dezabonare functional.
9. Crearea conturilor de utilizator
Daca site-ul dumneavoastra este unul de comert electronic ce permite utilizatorilor sa isi creeze conturi de acces la servicii in spatele unui formular de autentificare, trebuie sa va asigurati atat de faptul ca aveti certificat SSL instalat si valabil, cat si de pseudonimizarea informatiilor.
10. Modalitati de plata
Daca aveti un magazin online si folositi una sau mai multe metode de plata online, trebuie sa va asigurati ca aceste modalitati intrunesc conditiile de prelucrare a datelor cu caracter personal. Solicitati aceste informatii de la procesatorii de plata online.
11. Completarea formularelor din site
- Daca site-ul contine formulare de contact sau de orice alta natura care colecteaza date de la utilizator, este necesar sa va asigurati ca:
- Aveti certificat SSL instalat si valabil
- Informatiile nu sunt stocate in baza de date pentru o perioada indelungata fara a fi criptate
- Daca informatiile sunt folosite pentru a trimite un mesaj pe e-mail, serviciul de e-mail este conform GDPR.
- Daca imprimati pe hartie informatiile primite de la utilizator, nimeni in afara de cei autorizati nu au acces la acel material.
- Nu aveti campuri de tip bifa selectate in prealabil, ci toate aceste actiuni sunt lasate la latitudinea utilizatorului.
- Nu folositi sub nicio forma informatiile obtinute de la utilizator in alt scop decat cel declarat (informatiile obtinute dintr-un formular de contact vor fi folosite doar pentru a raspunde utilizatorului).
12. Live chat
Daca aveti pe site un serviciu de live chat, trebuie sa va asigurati de faptul ca acest serviciu, de obicei independent de website-ul dumneavoastra, este in conformitate cu GDPR. Ati putea crede ca informatiile despre client nu sunt stocate nicaieri intr-un astfel de live chat insa multe servicii de acest gen trimit, dupa discutie, e-mail cu transcriptul acestora ambelor parti participante.
13. Adresele de e-mail conectate la website
Chiar daca nu este strict legat de website, serviciul de e-mail si stocarea e-mail-urilor trebuie sa corespunda GDPR. Pe scurt, asigurati-va ca stocati parola intr-un mod sigur, ca aveti instalate pe calculator programe de tip antivirus functionale si actualizate, ca veti curata casuta de e-mail periodic astfel incat sa stocati doar informatiile strict necesare.
14. Conturile de pe platformele de socializare
Conturile de pe platformele de socilizare cad si ele sub incidenta GDPR. Astfel, daca ati avut o discutie cu un utilizator pe una dintre aceste platforme, privind un serviciu oferit de dumneavoastra, acea discutie trebuie stearsa definitiv dupa terminarea ei. Convingeti utilizatorul sa continuati discutiile printr-un alt canal de comunicare, in afara platformelor de socializare.
15. Google analytics (si alte platforme de monitorizare a traficului)
Daca website-ul dumneavoastra are instalate coduri de monitorizare a traficului, trebuie sa va asigurati de faptul ca faceti referire la acest lucru in politica de confidentialitate si in politica cookie-urilor si ca aceste sisteme sunt in conformitate cu GDPR.
Trebuie sa activati optiunea de anonimizare in Google Analytics. Google Analytics inregistreaza IP-ul calculatorului folosit de utilizator, iar aceasta informatie este marcata ca fiind “informatie identificabila”. O puteti anonimiza pentru ca nu este cu adevarat necesara. Deocamdata nu este foarte clar daca anonimizarea adresei IP schimba in vreun fel rapoartele geografice.