Acest articol este pur informativ. Nu constituie nicio obligatie nici pentru destinatar, nici pentru expeditor. Pentru informatiile complete, va rugam sa cititi Regulamentul General privind Protectia Datelor (GDPR) aici.
Preambul
Aceasta informare este o lista de aspecte importante ce trebuie urmate inainte de data de 25 mai 2018, data la care intra in vigoare regulamentul de protectia datelor (GDPR). Nu este un ghid complet, ci contine doar aspectele privitoare la site-urile dumneavoastra.
Din punct de vedere administrativ si logistic, va fi putin mai greu pentru firmele mici si mijlocii sa tina pasul cu aceste solicitari, atat in ceea ce priveste timpul alocat cat si resursele financiare. Cu toate acestea, adaptarea site-urilor la cerintele din regulamentul privind protectia datelor este obligatorie. In caz contrar, amenda este de pana la 4% din cifra de afaceri a firmei sau pana la 20 de milioane de euro.
Totul incepe cu o analiza a riscului. Aceasta nu este doar despre datele care sunt colectate din website, ci la toate datele pe care le colecteaza firma dumneavoastra, indiferent de canalul de colectare. Cu toate astea, vom vorbi doar despre cele legate de website.
Intrebarile la care trebuie sa aveti un raspuns clar sunt:
- Ce informatii sunt colectate si stocate?
- Cand si cum sunt aceste informatii colectate si stocate?
- Pentru cat timp sunt aceste informatii stocate?
- Cum sunt informatiile folosite ulterior?
- Aveti consimtamantul explicit al utilizatorului sa colectati acele informatii si sa le folositi ulterior?
- Oferiti utilizatorului dreptul de a fi uitat (a.k.a. “The right to be forgotten”)?
Obligatii
Consimtamant explicit
Trebuie sa puteti demonstra ca ati obtinut consimtamantul explicit al utilizatorului sa colectati informatiile acestuia si sa le folositi ulterior.
Exemplu: Cineva contacteaza firma dumneavoastra printr-un formular de contact, fara a isi da acordul sa ii folositi adresa de e-mail in scopuri publicitare (ex: newslettere). In acest caz, nu aveti dreptul de a folosi informatiile in acest sens. Puteti insa folosi informatiile pentru a contacta utilizatorul in legatura cu subiectul specificat de el in formularul de contact. Este singurul motiv pentru care il puteti contacta.
Daca formularul de contact contine o bifa prin selectarea careia utilizatorul isi da acordul, atunci puteti folosi acele informatii (daca bifa a fost selectata). Cu toate acestea, trebuie sa fie foarte clar scopul in care sunt folosite acele informatii si sa nu va abateti de la ceea ce ati declarat. Ulterior, in cazul in care utilizatorul sau organismele de control va solicita detalii despre o astfel de abonare, puteti sa furnizati chiar si datele la care a fost selectata acea bifa.
Anuntarea unei vulnerabilitati in ceea ce priveste datele cu caracter personal
Regulamentul GDPR solicita ca, in cazul unei astfel de vulnerabilitati, sa raporteze acest fapt in maxim 72 de ore de la sesizarea acesteia. Informatii suplimentare despre acest lucru se gasesc aici.
Dreptul de a fi uitat
Fiecare site trebuie sa contina o pagina cu politica de confidentialitate. Aceasta declaratie trebuie, printre altele, sa includa lista informatiilor care sunt colectate de la utilizator, motivul pentru care sunt colectate, durata de stocare, daca sunt sau nu impartasite altora (daca da, trebuie sa se dea toate detaliile – cui, in ce mod, pentru ce anume etc.), dar si un mod prin care un utilizator poate solicita si primi informatiile care au fost stocate despre el, intr-un mod detaliat. Tot in declaratia privind politica de confidentialitate trebuie specificat si modul in care utilizatorul poate solicita sa fie sterse toate informatiile care au fost colectate de la el sau despre el.
Colectarea informatiilor strict necesare
Este important sa nu solicitati, colectati si stocati informatii care nu sunt strict necesare obiectivului urmarit. De exemplu, daca un utilizator se inregistreaza la o lista de newsletter, nu este necesar sa ii solicitati adresa postala sau numarul de telefon. Daca nu este necesar, este obligatoriu sa nu i le solicitati.
Criptarea datelor si stocarea acestora sub forma de pseudonime
Daca stocati date personale ce pot identifica o persoana (combinatii de nume, adrese de e-mail, adrese postale etc.), este bine ca acestea sa fie stocate criptat. Pseudonimele sunt o alta varianta de lucru ce ar trebui luata in calcul. Acest lucru inseamna ca este bine sa folositi, de exemplu, nume de utilizator ce nu pot identifica o persoana.
Primul pas pentru aceasta siguranta este certificatul SSL instalat pe site-ul dumneavoastra, certificat care cripteaza toate informatiile colectate de website prin intermediul formularelor, astfel incat nimeni in afara de serverul pe care este gazduit site-ul dumneavoastra nu le va putea citi corect. Cu toate acestea, informatiile vor fi stocate in baza de date tot fara a fi criptate in prealabil. Majoritatea platformelor de management de continut nu ofera aceasta functionalitate ci trebuie dezvoltata ulterior. Cel mai la indemana este sa folositi informatiile in scopul destinat si, imediat dupa aceea, sa le stergeti sau, daca aveti acordul utilizatorului pentru folosirea lor pe termen lung, sa le stocati intr-un alt mediu, independent de website, inainte de stergere.
Alte sisteme conectate la website
Aceste sisteme sunt numite de GDPR “procesatoare de date third-party”. Ele proceseaza datele din site independent de functionalitatile de baza ale siteului dumneavoastra. Majoritatea acestor sisteme sunt din SUA si, cu toate ca au obligatia de a se alinia GDPR pentru utilizatorii din UE, sunt, pentru moment, in conformitate cu echivalentul american, numit “Privacy Shield”.
Trebuie sa va asigurati ca declaratia privind politica de confidentialitate de pe site-ul dumneavoastra specifica ce informatii sunt furnizate acestor procesatoare si in ce scop.