Categorii
whistleblowing

Ghid de prelucrare a datelor personale in relatie cu implementarea Directivei Whistleblowing

Implementarea Whistleblowing servește la dezvăluirea incalcarilor ale legilor europene sau a corupției. O provocare cheie in contextul prevenirii corupției in interiorul Uniunii Europene este să detecteze și să dezvăluie mita, frauda, furtul și alte incalcari ale legii la locul de muncă. Avertizorul de integritate dezvăluie un astfel de comportament neetic.

Deoarece avertizorii se pot confrunta cu represalii sub formă de hărțuire, concedieri, înscriere pe lista neagră, amenințări și/sau dezvăluirile lor sunt ignorate, legea îi protejează pe avertizori împotriva represaliilor. Prin urmare, confidențialitatea, inclusiv protecția identității, este esențială și o modalitate eficientă de a încuraja personalul să raporteze incalcari ale legii la locul de munca.

Lista de recomandari de Implementare a Directivei Whistleblowing, cu respectarea principiilor GDPR:

  1. Implementați canale bine definite pentru raportarea internă și externă și reguli specifice unde

scopul este clar precizat;

  1. Asigurați confidențialitatea informațiilor primite și protejați identitatea avertizorilor

și toate celelalte persoane implicate;

  1. Aplicați principiul minimizării datelor: procesați doar informațiile personale, adică

adecvate, relevante și necesare, pentru cazul particular raportat;

  1. Identificați ce înseamnă informațiile personale în acest context și care sunt cei afectați. Acestora trebuie sa le fie asigurat dreptul la informare, acces și rectificare asupra datelor personale. Restricțiile la aceste drepturi sunt permise, atâta timp cât exista reguli interne în vigoare, și sunt în măsură să se furnizeze motive documentate înainte de a lua o astfel de decizie;
  2. Aplicați procedure pentru a informa fiecare categorie de indivizi interesați despre cum

datele acestora vor fi prelucrate;

  1. Asigurați-vă, atunci când răspundeți la solicitările de drept de acces, că informațiile personale ale altor părți nu sunt dezvăluite;
  2. Evaluați cine este indrituit sa primeasca si sa proceseze avertizarile (persoana desemnata intern sau externă) și apoi limitați transferul de informații personale numai atunci când este necesar pentru efectuarea legitimă a unei sarcini acoperite de competența destinatarului;
  3. Definiți perioade de stocare a datelor personale proporționale pentru informațiile personale procesate în cadrul domeniul de aplicare al procedurii de avertizare în funcție de rezultatul fiecărui caz;
  4. Implementați măsuri de securitate atât organizaționale, cât și tehnice pe baza unei evaluări a riscurilor a procedurii de avertizare, în vederea garantării unei proceduri legale și sigure pentru prelucrarea informațiilor personale.

Procedurile de avertizare de integritate sunt menite să ofere canale sigure pentru oricine devine conștient și raportează potențialele fraude, corupție sau alte incalcari grave și nereguli. Procedurile de avertizare îi protejează pe avertizori și dezvăluirile facute de acestia, care sunt de interes public. Procedurile de avertizare nu sunt destinate reclamatiilor sau plângerilor.

Procedurile de avertizare cuprind prelucrarea unor categorii speciale de date. Companiile sau autoritatile publice sunt obligate să gestioneze rapoartele de avertizare și să asigure protecția persoanelor, informarea avertizorilor, a presupusilor infractori, a martorilor și a celorlalte persoane care apar în raport. Principiile de protecție a datelor personale pot să fie utilizate pentru a consolida procedurile de avertizare. Prin urmare, aplicarea principiilor de protecție a datelor personale vor ajuta la crearea unor canale de încredere prin consolidarea securității si confidentialitatii.

Categorii
whistleblowing

Asigurarea de canale sigure pentru Implementarea directivei pentru avertizari de integritate

Confidentilitatea in procedurile de avertizare Whistleblowing

 

Cea mai eficientă modalitate de a încuraja personalul să raporteze incalcarile, este să vă asigurați că acestea identitatea acestora va fi protejată. Prin urmare, ar trebui să existe canale clar definite pentru raportari interne și externe și protecția informațiilor primite.

Identitatea avertizorului care semnalează cu bună-credință, abateri grave sau nereguli, ar trebui tratata cu cea mai mare confidențialitate, deoarece ar trebui să fie protejata împotriva oricăror

represalii. Identitatea avertizorilor nu ar trebui niciodată dezvăluită decât în anumite cazuri excepționale, circumstanțe în cazul în care avertizorul autorizează o astfel de dezvăluire, sau dacă acest lucru este cerut de vreo procedura penala ulterioara, sau, în cazul în care avertizorul face cu rea vointa un acuzatii false. În acest din urmă caz, aceste date cu caracter personal pot fi dezvăluite doar autorităţilor judiciare.

O declarație este făcută cu rea vointa dacă avertizorul raportează activități despre care ei știu că sunt neadevărate. Dacă o institutie sau companie descopera că un avertizor a făcut o acuzație neîntemeiată, cu rea vointa, responsabilitatea revine instituției de a dovedi ca acuzațiile au fost facute cu rea vointa.

Persoana/personele împotriva căreia s-a făcut o acuzație ar trebui să fie protejată în aceeași masura ca si avertizorul, deoarece există riscul de stigmatizare și victimizare în cadrul organizației lor. Ei vor fi expuși unor astfel de riscuri chiar înainte de a-și da seama că au fost incriminaţi şi faptele pretinse au fost analizate pentru a se stabili dacă pot fi susţinute sau nu.

Rapoartele de avertizare pot include, de asemenea, informații personale despre terțe persoane, cum ar fi martorii sau colegii. Informațiile lor personale ar trebui, de asemenea, protejate in toate etapele procedurii.

Prin urmare, accesul intern la informațiile prelucrate în cadrul anchetei acuzațiilor, trebuie să fie acordate strict pe baza necesității de a cunoaște, cu alte cuvinte, sub rezerva necesitatii. Cei care se ocupă de gestionarea rapoartelor ar trebui, de exemplu, să fie obligati la a pastra secretul si confidentialitatea informatiilor pe care le primesc. De asemenea, informațiile personale trebuie stocate în siguranță.

Orice informație cu caracter personal legată de avetizari si păstrata în scopuri statistice ar trebui

fie anonimizata. Operatorii ar trebui să fie deosebit de precauți cu orice informație care poate duce la identificarea indirectă a avertizorului. De exemplu, reținând atât tipul de caz de avertizare, împreună cu naționalitatea avertizorului ar putea conduce la identificarea indirectă și, prin urmare, ar trebui evitată.

 

Evitarea abuzului procedurilor de avertizare Whistleblowing

 

Sfera de aplicare a procedurii trebuie limitată pentru a evita abuzul acesteia. Scopul procedurii de avertizare trebuie specificat în mod clar în interiorul organizatiei.

Regulile interne sau o politică Whistleblowing ar trebui să descrie în mod explicit în ce circumstanțe trebuie utilizate canalele de avertizare si cand nu ar trebui. În general, canalele de avertizare nu ar trebui folosite atunci când personalul dorește de a-și exercita drepturile statutare, adică prin depunerea unei cereri sau plângeri la numire, sau pentru reclamații de hărțuire și neînțelegeri personale atunci când personalul se poate adresa HR, serviciului de mediere, etc.

Normele interne sau o politică ar trebui, în plus, să descrie acele informații sensibile, cum ar fi originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența la sindicate și datele privind sănătatea sau viața sexuala, care nu sunt relevante pentru caz, nu ar trebui să fie colectate. Acest lucru va ajuta la evitarea colectării excesive de informații personal.

În principiu, denunțarea nu ar trebui să fie anonimă. Avertizorii ar trebui să fie invitați să se identifice, nu numai pentru a evita abuzul de procedură, ci și pentru a permite protecția lor efectivă împotriva oricăror represalii. Acest lucru va permite, de asemenea, un management mai bun al dosarului dacă este necesar să se colecteze informații suplimentare.

sursa: whistleblow.ro

Categorii
whistleblowing

Directiva Whistleblowing si procesarea datelor personale conform GDPR

Identificarea datelor personale colectate intr-o sesizare de integritate (Whistleblowing)

 

Datele personale sunt definite ca orice informație care se referă la o persoană identificată sau persoana fizica identificabila. Datele personale nu includ doar informații despre viața privată și viața de familie a individului, dar și informații referitoare la activități, cum ar fi relațiile sale de muncă și comportamentul economic sau social. Aceste aspecte trebuie luate în considerare, de exemplu, atunci când se determină sfera de aplicare a datelor personale ale subiectului si dreptul de acces/rectificare la aceste date personale. În cele mai multe cazuri, in cazul unei sesizari de integritate, datele personale colectate includ date de identificare (de exemplu, detalii de contact), dar și informații care se referă la comportamentul unui individ.

Spre exemplu, sesizarea unui avertizor de integritate include informații care îl identifică pe presupusul acuzat in sezizare și martori. Sesizarea în sine cuprinde de asemenea, informații personale ale avertizorului deoarece se referă la comportamentul său (ca avertizor).

Pe de altă parte, simplul fapt că un nume este menționat într-un document nu face obligatoriu ca toate informațiile conținute în acel document sa fie „date personale referitoare la acea persoană”. În multe situații, informațiile pot fi considerate ca se referă la un individ, doar când este vorba despre acel individ in sesizare (ca martor sau acuzat).

Dreptul la informare al subiectilor unei sesizari de integritate

 

Informațiile privind procedurile de avertizare ar trebui furnizate persoanelor intr-un mod foarte clar, care va implica o procedură în două etape. SE consideră informarea printr-o nota de confidentialitate plasata pe un site web, nu este suficienta, deoarece informațiile ar putea fi trecute cu vederea.

Toate persoanele afectate direct sau indirect de o sesizare de avertizare, ar trebui să fie informate direct, cat mai repede posibil, spre exemplu prin email, printr-o notificare specifica privind protectia datelor personale. Persoanele afectate sunt de obicei avertizori, martori, terți (membri ai personalului organizatiei sau alții care sunt doar citați). și persoana (persoanele) împotriva căruia i s-au făcut acuzaţiile.

Informarea avertizorului de integritate I (cf. art 16)

 

În acest context, este important să fie informati toți cei implicați în avertizare (avertizorii), ca informațiile lor personale vor fi partajate cu potențiali destinatari sau categorii de destinatari. În plus, notificarea privind protecția datelor ar trebui să îi informeze și despre consecințele abuzului procedurii de avertizare (dacă denuntatorul face cu rea vointa o declarație falsă, de exemplu), cum ar fi măsuri disciplinare, amenzi prevazute de lege, sau alte consecinte.

Informarea celui acuzat intr-o sesizare de avertizare Whistleblowing

 

În anumite cazuri, informarea persoanei împotriva căreia s-a făcut o acuzație, intr-un stadiu incipient, poate fi dăunător cazului. În aceste cazuri, informațiile ar putea fi restricționate. Amânarea informarii celui acuzat intr-o procedura Whistleblowing ar trebui să fie hotărâta de la caz la caz. Motivele oricăror restricții asupra dreptului la informare ar trebui să fie documentate. Aceste motive ar trebui să demonstreze, de exemplu, că există un risc mare ca oferirea dreptului de acces ar împiedica procedura de ancheta sau ar submina drepturile și libertatea altora. Motivele ar trebui documentate înainte de decizia de a aplica orice restricție sau amânare a dreptului de acces si informare.

Informarea martorilor intr-o sesizare de avertizare Whistleblowing

Informații specifice despre avertizare ar trebui furnizate cât mai curând posibil practic martorilor, spre exemplu înainte de a fi intervievați de către organizatie.

Informarea tertilor implicati intr-o procedura de avertizare de integritate

 

În funcție de caz, informarea tuturor terților menționați într-o avertizare de integritate, ar putea implica un efort disproporționat. Evaluarea dacă este un effort disproporționat, sau neinformarea terților trebuie efectuată de la caz la caz. Mai mult, în anumite cazuri, informarea persoanelor ar fi in plus, o operație de procesare care ar putea fi mai intruzivă decât cea originală.

Exemplu: Un avertizor atașează raportului de avertizare o listă cu clienții (200 de persoane) ai unui hotel pentru a dovedi că presupusul acuzat se afla în hotel la o anumită dată. Ceilalți 199 de clienți nu au nici o legătura cu cazul, și informațiile acestora nu sunt prelucrate în continuare de către instituție. Ei nu trebuie informati.

Categorii
whistleblowing

Conformitatea GDPR intr-o procedura de avertizare de integritate

Principiul responsabilitatii înseamnă că o oragnizatie trebuie să își respecte obligațiile de protecție a datelor personale și să poată demonstra că o face. (Articolul 4 alineatul (2) și articolul 26 din regulamentul GDPR). Responsabilitatea nu este specifică informațiilor personale în cadrul unei proceduri de avertizare Whistleblowing, ci se aplică tuturor operațiunilor care prelucrează informații personale.

Orice organizatie care colectează, utilizează și stochează (cunoscute în mod colectiv ca procesare) informații personale este responsabilă și răspunzătoare pentru respectarea regulilor de protecție a datelor personale.

În general, oragnizatiile trebuie să fie transparente și explicite cu privire la modul în care prelucrează informațiile personale legate de procedurile de avertizare Whistleblowing. Ele trebuie să-și documenteze politicile și să îi informeze pe utilizatori. Dreptul la confidențialitate și la protecția datelor există și la locul de muncă și oamenii trebuie să fie informați cu privire la procedură. Organizatia nu poate presupune că personalul trebuie sa știe. (Articolul 14 din regulament).

Cel mai bun mod pentru ca o organizatie să fie responsabila, este ca acesta să ia în considerare implicațiile noilor procese în materie de protecție a datelor personale în etapa de proiectare (privacy by design, articolul 27 din regulament). Operațiunile de prelucrare diferite și tehnologiile diferite necesită garanții diferite. Prin implicarea responsabilului cu protecția datelor (DPO) la începutul procesului, aceștia vor putea oferi sfaturi și îndrumări valoroase.

Întrebările enumerate mai jos subliniază principalele probleme de luat în considerare:

  1. Confidențialitate: Cum protejezi persoanele implicate?
  2. Precizați scopul: Când să utilizați canalul de avertizare?
  3. Evitați sa colectati informații excesive: Ce informații sunt necesare în contextual acuzatiilor facute?
  4. Identificați sensul informațiilor personale: Care sunt informațiile personale continute in raportul de avertizare?
  5. Informați fiecare categorie de subiecti: Cine este afectat de avertizarea de integritate?
  6. Ar trebui să se aplice diferite perioade de pastrare a datelor: Cât timp trebuie să păstrez raportul de avertizare si informatiile colectate?
  7. Efectuați o evaluare a riscului de securitate a informațiilor: care sunt potențialele riscuri de securitate pentru informațiile personale conținute în sesizarile de avertizare și cum vei trata aceste riscuri?

Pentru a demonstra responsabilitatea, trebuie intocmite proceduri și implementarea acestora trebuie să fie documentate. Sunt necesare următoarele documente:

  1. o politică sau reguli interne, sau o decizie privind avertizarile de integritate;
  2. limitări ale anumitor drepturi ale persoanelor vizate, motivele pe care se întemeiază limitările și raționamentul in aplicarea unor astfel de restricții;
  3. orice amânare a accesului la informații a subiectilor (în conformitate cu regulile interne);
  4. evaluarea riscurilor efectuată pentru această procedură specifica Whistleblowing.

sursa: www.whistleblow.ro

Categorii
whistleblowing

Evaluarea dreptului de acces la datele personale intr-o procedura Whistleblowing

Atunci când iau în considerare drepturile de acces la datele personale procesate intr-o procedura de avertizare de integritate, ar trebui să ia în considerare statutul solicitantului și etapa anchetei, nivelul și sensibilitatea informațiilor deținute (și orice risc asociat de dezvăluire). Drepturile de acces vor varia în funcție de si dacă cererea este făcută de:

– persoana împotriva căreia s-a făcut o acuzație

– avertizorul de integritate

– un martor

– terți

 

Inainte de aplicarea unei restricții la dreptul la informare si acces (conform GDPR), într-un caz specific, trebuie să fie un faca un test de necesitate și proporționalitate și organizatia trebuie să documenteze motivele care stau la baza deciziei, pentru a fi tinuta responsabila.

Exemplu: Un denunțător (A) raportează o fraudă suspectată de către un coleg și superior (B). După încheierea anchetei, B solicită accesul la datele sale personale prelucrate în acest scop. Părți din afirmațiile făcute de A se califică drept date personale ale lui B. Organizatia ar putea justifica o restricție în temeiul articolului 25 alineatul (1) litera (h) cu privire la faptul că A a furnizat datele și dacă s-ar putea presupune că A a furnizat aceste informații, A ar putea face obiectul represaliilor din partea B. Acest lucru ar trebui să fie documentat intern. În mod evident, lui B nu ar trebui să i se spună că motivul restricției este că A ar putea suferi represalii, deoarece ar anula efectul restricției în conformitate cu articolul 25 alineatul (8). Prin urmare, informațiile comunicate lui B în temeiul articolului 25 alineatul (6) ar trebui formulate într-un mod mai general.

Atunci când se acordă drept de acces la informațiile personale ale oricărei persoane în cauză, informațiile personale ale terților, cum ar fi informatorii, avertizorii sau martorii, ar trebui eliminate din documente, cu excepția unor circumstanțe excepționale, dacă avertizorul autorizează o astfel de dezvăluire, dacă acest lucru este cerut de vreo procedurila penale ulterioara, sau în cazul în care avertizorul face cu rea vointa o declarație falsă.

Dacă exista un risc de identificare al terților, accesul la date ar trebui amânat. Directiva prevede o obligație de confidențialitate (articolul 16 alineatul (1)) cu obligația statelor membre de a se asigura că identitatea persoanei raportoare (avertizorul de integritate) nu este dezvăluită nimănui în afara membrilor personalului autorizat al organizatiei, fără consimțământul explicit al persoanei respective. Acest lucru este deosebit de important pentru a garanta că persoanele sunt protejate de orice riscuri potențiale implicate în dezvăluirea informațiilor lor personale.

Exemplu: Un angajat al UE acuzat de infracțiuni grave solicită instituției toate informațiile personale deținute despre el în legătură cu acuzațiile. O mare parte din aceste informații sunt incluse în mărturiile date de avertizor. Chiar dacă numele avertizorului este șters din aceste documente, identitatea acestora ar putea fi deconspirata prin referire la evenimentele, situațiile și contextele specifice descrise. Astfel, instituția ar trebui să refuze divulgarea acestor informații, justificat de protecția persoanei vizate (Whistleblower) sau a drepturilor și libertăților altora (articolul 25 alineatul (1) litera (h)).

sursa: www.whistleblow.ro

Categorii
gdpr

Poți solicita acum în mod GRATUIT, conținutul Politicii de confidențialitate

În ultimii 20 de ani domeniul online a cunoscut și la noi în țară o dezvoltare extraordinară. Cu atât mai mult în ultimii doi ani! Forțați de împrejurări, foarte multe locuri de muncă precum și toate programele de pregătire școlară au trecut în mediul online pentru a asigura o bună protecție a tuturor persoanelor pe perioada pandemiei.

În zilele noastre, aproape orice companie comercială alege să își deschidă și un magazin online! Cumpărăturile online sunt preferate de clienți deoarece oferă o gamă mult mai variată de produse, se fac mult mai simplu, există posibilitatea de a returna produsele dacă nu sunt mulțumiți de ceea ce au cumpărat, etc.

De asemenea, avantaje importante există și pentru firmele care comercializează diferite categorii de produse. Practic, produsele pe care le dețin pot fi cumpărate de orice persoană de pe teritoriul țării, nu numai de cele din localitatea proprie unde există magazinul sau magazinele clasice!

Așadar, dacă sunteți interesat de mediul online și, mai ales, dacă doriți să vă deschideți un magazin online, implicit va trebui să interacționați cu foarte multe persoane fizice și juridice și să prelucrați date importante cu caracter personal.

Datorită acestui lucru este necesar să respectați anumite reguli care vizează în primul rând securitatea datelor personale prelucrate de firma dumneavoastră în ceea ce privește clienții magazinului.

 

De ce aveți nevoie de o bună Politică de confidențialitate a datelor?

            Există reglementări legale în vigoare potrivit cărora, persoanele juridice sau fizice care colectează date cu caracter personal sunt obligate să le asigure securitatea lor. De asemenea, există și o autoritate centrală de stat, Agenția Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, care are drept scop organizarea, monitorizarea și controlul modului în care sunt utilizate și securizate datele cu caracter personal prelucrate de operatorii online și offline.

Mai mult ca sigur că ați aflat deja că amenzile pentru neregulile descoperite în acest domeniu sunt destul de mari și pot varia între 1500 și 5000 de lei!!

Așadar, pentru a respecta prevederile legale și pentru a evita sancțiuni mari, este recomandat ca toate obligațiile prevăzute în legile aflate în vigoare să fie ….îndeplinite…cu strictețe.

De asemenea, este recomandat să vă luați și dumneavoastră măsurile necesare de precauție deoarece incidente neplăcute pot apare oricând. O foarte bună Politică de confidențialitate vă pune la adăpost oricând de persoanele rău intenționate sau de către persoanele care profită de cele mai multe ori de anumite lipsuri pe care acestea le descoperă întâmplător sau …. chiar intenționat.

 

Ce tip de informații sunt furnizate, de obicei, despre confidențialitatea datelor?

            Potrivit procedurilor existente, atunci când prelucrați date cu caracter personal, este recomandat să informați utilizatorii site-ului despre tipul de date pe care îl colectați. De asemenea, va trebui să precizați scopul pentru care colectați aceste date, cum și când vor fi folosite (Exemplu: când se procesează o livrare, când se întocmește factura, pentru activități de promovare și marketing, etc.).

De asemenea, legea ne obligă ca, în acest caz, să specificăm felul în care protejăm datele de colectare, stocarea precum și gestionarea acestora. Este recomandat să precizăm și ce tehnologii folosim precum și eficiența lor, implicit.

Un alt lucru important în ceea ce privește procedura de confidențialitate este specificarea următorului lucru: dacă datele vor fi sau nu transmise către terți!

În concluzie, dacă sunteți în situația de a a avea nevoie de o bună Politică de confidențialitate pentru activitatea site-ului dumneavoastră și dacă aveți nevoie de ajutor, vă recomandăm să studiați oferta site-ului hackeradvisor.com! Această firma vă oferă un generator de politica de confidentialitate care este complet GRATUIT!

SUCCES și ….afaceri cât mai profitabile!

Categorii
gdpr

Ai un magazin online și nu știi dacă ai înțeles bine ce trebuie din GDPR ?

Uite 10 pași să verifici. Hai să vedem ce implicații are GDPR pentru un magazin online sau o firmă mică sau mijlocie.

  1. Dacă prelucrează date personale pe scară largă, așa cum face un magazin online firma va trebui să aibă un registru al operațiunilor de prelucrare adică un document unde să scrie ce date prelucrează, spre exemplu: e-mail, telefon, adresă, cnp, în ce scop: marketing, derulare contract, etc., în baza cărui temei legal din cele 6 definite, si pentru ce perioadă, dacă le prelucrează direct sau prin intermediar și ce măsuri de securitate s-au luat pentru protectia datelor.
  2. Deși toți ne gândim la CNP, adresă, serie card credit, telefon și e-mail ca fiind date personale conform GDPR orice informație care poate identifica o persoană fizică este o dată personală. Adică inclusiv ziua de naștere, date de localizare, sau de acces cum ar fi ai PIN-ul, sau date cu care se intră în site.

O poză cu o persoană, postările de pe rețelele sociale și orice alt identificator online, cum ar fi unul din baza de date, care să identifice persoana pe viitor sau chiar și informații mai generice dacă este bărbat sau femeie, ce etnie sau ce culoare are.

  1. Dacă prelucrezi date personale pe scară largă așa cum face un magazin online, trebuie să ai asigurat un Data Protection officer (DPO). Acesta nu poate fi concediat sau sancționat pentru activitatea lui. Mai mult el trebuie să aibă acces la toate acele date personale să aibă acces la conducerea instituției și nu poate fi în conflict de interese, adică nu poate să fie și responsabil de marketing în același timp și să prelucreze datele.
  2. O atenție deosebită trebuie dată faptului că toți angajații din firmă trebuie învățați să recunoască cererile persoanelor fizice vizavi de drepturile lor. Uzual, acestea sunt: interogarea, ștergerea sau modificarea datelor personale, și în mod ideal ar trebui să le trimită persoanei abilitate, nu să dea un răspuns direct dacă nu au fost instruiți în acest scop. De știut este că în maxim 30 de zile trebuie să se dea un răspuns cererii, iar această cerere poate fi o amânare de încă maxim 60 de zile deci până una alta ai un răgaz de maxim trei luni să răspunzi la orice cerere.
  3. Dacă tu lucrezi cu o agenție de marketing care are acces la datele personale culese de tine atunci acea agenție se cheamă împuternicit și tu te numești operator și din punct de vedere legal tu operatorul răspunzi pentru tot inclusiv pentru instructajul dat împuternicitul lui. Ce date are voie să prelucreze în acest scop și pentru cât timp. Deci trebuie să existe o anexă la contract care să specifice aceste lucruri.
  4. A treia entitate din GDPR este autoritatea de supraveghere și apropo de asta, ar trebui să știi că GDPR este un regulament european nu o directivă.

Adică intră în vigoare direct fără nicio altă formalitate în toate statele Uniunii Europene fără să aibă nevoie de o lege națională. Mai mult și până acum existau legi naționale de protecție a datelor, ce se schimbă însă de acum încolo este că persoanele fizice afectate pot da în judecată direct operatorii nu doar să-i reclame la Autoritatea de Supraveghere așa cum era până acum.

  1. Persoanele fizice au o suită de drepturi. Unul din cele mai importante fiind cel de opoziție. Adică dacă nu vrea să îi prelucrezi datele personale nu ai voie să îl dai afară din magazin, dacă cumpără.

îi poți cere strict datele necesare efectuării contractului, fără alt consimțământ pentru Google Analytics Google marketing sau de Facebook pixel.

  1. Orice pierdere a datelor, de exemplu, un hard disk scăpat pe jos un laptop furat sau un site spart trebuie raportat la autoritate în maxim 72 de ore ca incident de securitate și trebuie făcută o analiză scrisă cu ce măsuri se iau pentru prevenirea pe venit în viitor.
  2. Apropo de incidente. Una din cele mai importante informații din Registrul operațiunilor de prelucrare este cea cu metodele de securitate luate pentru protecția datelor adică.

Ce face firma pentru a proteja datele, dacă le cripteaza sau nu, dacă le stochează în siguranță unde le face backup și destul de important dacă are un audit de securitate pentru site.

  1. Te vei întreba dacă să dai sau nu e-mail de confirmare abonaților existenți la newsletter. Răspunsul este oarecum simplu: dacă ai obținut deja consimțământul pentru abonare nu trebuie să mai faci încă o dată acest lucru. Dacă îl poți proba dacă nu l ai obținut atunci în principiu nu ai prea avea voie să îl cer pentru că teoretic tu nu ai adresa respectivului de e-mail.

Dacă insa il ai, dar nu îl pot proba, sau dacă cumva acea persoană a cumpărat deja din magazin dar nu și-a dat consimțământul explicit până acum ca ar vrea să-i trimiți de acum încolo newsletter, atunci ai putea să îl ceri ca să îl pot proba pentru viitor.

Acestea au fost minimul de informații pe care trebuie să le știi pentru a-ti alinia site-ul sau magazinul online la cerintele GDPR.

sursa: www.hackeradvisor.com

Categorii
gdpr

Masuri tehnico organizatorice pentru alinere GDPR site, GDPR magazin online

GDPR Checklist – Masuri tehnico organizatorice implementate

 

 

 

 

Categorii
gdpr

Securitatea Site-ului din perspectiva GDPR

Pentru a fi compliant cu cerintele GDPR trebuie sa te asiguri ca aspectele de mai jos sunt respectate si implementate pe site-ul tau, astfel incat datele colectate de tine prin intermediul site-ului sa fie in siguranta.

  • Asigura-te ca ai back-up la site si la date. Asigura-te ca arhivele sunt criptate si salvate intr-un loc sigur.
  • Datele colectate in baza de date (SQL) aferenta site-ului tau, sunt criptate.
  • Asigura-te ca informezi utilizatorul la Signup, cu privire la Politica de securitate implementata pe site.
  • Asigura-te ca ai implementat HSTS (HTTP Strict transport security) la SSL/TLS implementat pe site.
  • Asigura-te ca ai adaugat Javascript-urile externe, pe care le ai implementate pe site, ca si colectori de date in calitate de procesatori externi.
  • Asigura-te ca ai un firewall instalat pentru site.
  • Asigura-te ca ai un sistem de detectare a intruziunilor (monitorizare fisiere site permanent pentru detectare modificari, detectare inserare a unor Javascript-uri malicioase).
  • Inregistreaza-ti domeniul la HaveIbeenPwned pentru a fi notificat daca ti-au fost compromise email-urile.
  • Informeaza-ti utilizatorii ca ai o Politica de confidentialitate si cere-le acordul.
  • Implementeaza SSL /TLS pentru a securiza conexiunea utilizatorului cu site-ul.
  • Asigura-te ca toti angajatii si sub-contractorii cu care lucrezi au fost informati cu privire la prelucrarea datelor personale si a politicii de confidentialitate si semneaza acorduri cu ei.
  • Asigura-te ca ai loguri cu toate operatiile, accesarile care se fac pe site.

sursa: hackeradvisor.com

Categorii
gdpr

Scurt ghid despre protecția datelor în magazinele online

În ultima vreme, magazinele online au devenit din ce în ce mai populare, iar majoritatea afacerilor s-au mutat în mediul virtual, cu real succes. Chiar și tu ai decis să faci acest pas, deși obiectul tău de activitate este unul care presupune un contact vizual intens: arta. Din fericire, dacă știi cum să împaci partea legată de artă cu cea mai abstractă, a tuturor detaliilor care țin de organizarea unui site și nu numai, vei reuși să ai o afacere de succes. Vrem să te ajutăm și noi un pic și să îți oferim câteva informații de care ai nevoie.

Ce știi despre protecția datelor

Chiar dacă te preocupă mai mult partea artistică, trebuie să respecți și să implementezi un ghid GDPR  magazin online, mai exact să ai o politică de confidențialitate și o politică a cookie-urilor. Cel mai probabil știi despre ce este vorba, pentru că ai urmărit pe site-urile de știri informațiile legate de acest subiect. Pentru a fi mai bine lămurit despre ce este vorba, avem un mic ghid despre regulamentul GDPR, ce presupune el și mai ales, cum se aplică acesta în cazul tău.

Colectarea datelor trebuie făcută cu prudență!

Chiar dacă pontențialii clienți care îți vizitează magazinul tău online pentru a achiziționa, de exemplu, reproduceri după tablouri celebre sau tablouri cameră copii, tot trebuie să te achiți de o sarcină, respectiv colectarea datelor personale. Atenție însă: nu exagera! Nu te interesează informații privind sănătatea lor, cu ce formațiune politică simpatizează sau alte informații de acest gen. Tu trebuie să te limitezi strict la datele de care ai nevoie pentru a putea alcătui o factură și a le trimite apoi produsele dorite!

Marketing online!

Ai auzit desigur de termenul marketing online, și ai înțeles cum poate fi acesta aplicat și în cazul tău, care deții un magazin virtual care poate fi asemănat oarecum cu o galerie de artă online. Un pas important pe care trebuie să îl respecți, și care are legătură atât cu marketing-ul online, dar și cu regulamentul GDPR se referă la cererea consimțământului utilizatorilor pentru prelucrarea datelor lor. Apoi, dacă totul este în regulă, un newsletter, de două ori pe lună, sau lunar, este suficient, pentru a nu fi considerat prea ”agresiv” de către potențialii cumpărători ai produselor tale!

Stocarea datelor

Potrivit normelor legale aflate în vigoare, nu contează foarte mult locul în care stochezi aceste informații pe care le colectezi, dar trebuie să fii atent să fie respectate cele mai bune condiții de securitate. Poți apela la o firmă specializată care va face toate aceste operațiuni pentru tine, iar tu să te ocupi de ceea ce îți face cu adevărat plăcere: arta și modul în care reușești să-i faci și pe ceilalți să o aprecieze mai mult.

Sancțiuni și amenzi usturătoare

În cazul în care toate reglementările politicilor GDPR nu sunt respectate așa cum trebuie, riști niște sancțiuni sau amenzi destul de usturătoare. Așa că, deși ne repetăm, recomandarea noastră este să lași implementarea politicilor GDPR în magazinul tău online în seama unor specialiști, care știu exact ce trebuie făcut în acest sens!