Uite 10 pași să verifici. Hai să vedem ce implicații are GDPR pentru un magazin online sau o firmă mică sau mijlocie.
- Dacă prelucrează date personale pe scară largă, așa cum face un magazin online firma va trebui să aibă un registru al operațiunilor de prelucrare adică un document unde să scrie ce date prelucrează, spre exemplu: e-mail, telefon, adresă, cnp, în ce scop: marketing, derulare contract, etc., în baza cărui temei legal din cele 6 definite, si pentru ce perioadă, dacă le prelucrează direct sau prin intermediar și ce măsuri de securitate s-au luat pentru protectia datelor.
- Deși toți ne gândim la CNP, adresă, serie card credit, telefon și e-mail ca fiind date personale conform GDPR orice informație care poate identifica o persoană fizică este o dată personală. Adică inclusiv ziua de naștere, date de localizare, sau de acces cum ar fi ai PIN-ul, sau date cu care se intră în site.
O poză cu o persoană, postările de pe rețelele sociale și orice alt identificator online, cum ar fi unul din baza de date, care să identifice persoana pe viitor sau chiar și informații mai generice dacă este bărbat sau femeie, ce etnie sau ce culoare are.
- Dacă prelucrezi date personale pe scară largă așa cum face un magazin online, trebuie să ai asigurat un Data Protection officer (DPO). Acesta nu poate fi concediat sau sancționat pentru activitatea lui. Mai mult el trebuie să aibă acces la toate acele date personale să aibă acces la conducerea instituției și nu poate fi în conflict de interese, adică nu poate să fie și responsabil de marketing în același timp și să prelucreze datele.
- O atenție deosebită trebuie dată faptului că toți angajații din firmă trebuie învățați să recunoască cererile persoanelor fizice vizavi de drepturile lor. Uzual, acestea sunt: interogarea, ștergerea sau modificarea datelor personale, și în mod ideal ar trebui să le trimită persoanei abilitate, nu să dea un răspuns direct dacă nu au fost instruiți în acest scop. De știut este că în maxim 30 de zile trebuie să se dea un răspuns cererii, iar această cerere poate fi o amânare de încă maxim 60 de zile deci până una alta ai un răgaz de maxim trei luni să răspunzi la orice cerere.
- Dacă tu lucrezi cu o agenție de marketing care are acces la datele personale culese de tine atunci acea agenție se cheamă împuternicit și tu te numești operator și din punct de vedere legal tu operatorul răspunzi pentru tot inclusiv pentru instructajul dat împuternicitul lui. Ce date are voie să prelucreze în acest scop și pentru cât timp. Deci trebuie să existe o anexă la contract care să specifice aceste lucruri.
- A treia entitate din GDPR este autoritatea de supraveghere și apropo de asta, ar trebui să știi că GDPR este un regulament european nu o directivă.
Adică intră în vigoare direct fără nicio altă formalitate în toate statele Uniunii Europene fără să aibă nevoie de o lege națională. Mai mult și până acum existau legi naționale de protecție a datelor, ce se schimbă însă de acum încolo este că persoanele fizice afectate pot da în judecată direct operatorii nu doar să-i reclame la Autoritatea de Supraveghere așa cum era până acum.
- Persoanele fizice au o suită de drepturi. Unul din cele mai importante fiind cel de opoziție. Adică dacă nu vrea să îi prelucrezi datele personale nu ai voie să îl dai afară din magazin, dacă cumpără.
îi poți cere strict datele necesare efectuării contractului, fără alt consimțământ pentru Google Analytics Google marketing sau de Facebook pixel.
- Orice pierdere a datelor, de exemplu, un hard disk scăpat pe jos un laptop furat sau un site spart trebuie raportat la autoritate în maxim 72 de ore ca incident de securitate și trebuie făcută o analiză scrisă cu ce măsuri se iau pentru prevenirea pe venit în viitor.
- Apropo de incidente. Una din cele mai importante informații din Registrul operațiunilor de prelucrare este cea cu metodele de securitate luate pentru protecția datelor adică.
Ce face firma pentru a proteja datele, dacă le cripteaza sau nu, dacă le stochează în siguranță unde le face backup și destul de important dacă are un audit de securitate pentru site.
- Te vei întreba dacă să dai sau nu e-mail de confirmare abonaților existenți la newsletter. Răspunsul este oarecum simplu: dacă ai obținut deja consimțământul pentru abonare nu trebuie să mai faci încă o dată acest lucru. Dacă îl poți proba dacă nu l ai obținut atunci în principiu nu ai prea avea voie să îl cer pentru că teoretic tu nu ai adresa respectivului de e-mail.
Dacă insa il ai, dar nu îl pot proba, sau dacă cumva acea persoană a cumpărat deja din magazin dar nu și-a dat consimțământul explicit până acum ca ar vrea să-i trimiți de acum încolo newsletter, atunci ai putea să îl ceri ca să îl pot proba pentru viitor.
Acestea au fost minimul de informații pe care trebuie să le știi pentru a-ti alinia site-ul sau magazinul online la cerintele GDPR.