Credeai ca Regulamentul General privind Protectia Datelor se aplica doar organizatiilor si pe tine nu te va afecta in nici un fel, deoarece ai “doar un site”?
Ei bine, te-ai inselat! Regulamentul European privind Protectia Datelor se aplica si in mediul online, astfel ca orice fel de informatie referitoare la o persoana (rezident a Uniunii Europene) va fi protejata de regulament!
Cu alte cuvinte, daca ai un site prin intermediul caruia prelucrezi date cu caracter personal, chiar daca discutam doar de adrese de e-mail prelucrate in scop de marketing, trebuie sa te asiguri ca ai implementat conformitatea GDPR a site-ului, pentru a nu risca sa fii amendat.
Noi iti venim in ajutor, oferindu-ti o varianta simplificata a celor 5 actiuni de baza, pe care chiar si tu poti sa le intreprinzi, nefiind necesar sa fi urmat cursuri de specializare pe tematica privind protectia datelor.
1. Certificarea SSL a site-ului. SSL este prescurtarea de la Secure Sockets Layer si reprezinta un standard/ protocol in materie de securitate. Certificatele SSL sau certificatele de securitate sunt protocoale criptografice ce au rolul de a securiza schimbul de informatii pe internet, motiv pentru care este obligatoriu atunci cand discutam despre conformitatea GDPR a site-ului.
Totodata, acel „lacatel” ii spune utilizatorului ca site-ul este unul sigur, iar acesta reprezinta un motiv in plus pentru care certificarea si validarea SSL reprezinta o parte necesara a securitatii web pentru orice site prin intermediul caruia se colecteaza date personale de la utilizatori.
2. Elaborarea Politicii de Confidentialitate si publicarea acesteia pe site, intr-un mod cat mai accesibil si vizil tuturor utilizatorilor (poti introduce un link catre Politica de Confidentialitate in footer-ul site-ului).
Politica de Confidentialitate are ca scop indeplinirea conformitatii cu art. 12 privind Transparenta informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate. In cadrul acesteia trebuie sa detaliezi cel putin urmatoarele aspecte:
– Identitatea operatorul de date (organizatia care proceseaza datele prin intermediul site-ului)
– Definirea conceptelor ce tin de protectia datelor (exemplu: operator de date sau persoana vizata);
– Declaratia de confidentialiatate a operatorului de date;
– Enumerarea tuturor scopurilor in care sunt prelucrate datele si categoriile de date (exemplu: nume si adresa de e-mail in scopul transmiterii campaniilor de marketing prin e-mail);
– Motivul pentru care este necesara colectarea, prelucrarea si stocarea datelor personale;
– Perioada de pastrare a datelor;
– Cine are acces la datele personale;
– Masurile organizatorice si tehnice luate in vederea asigurarii securitatii datelor;
– Enumerarea si explicarea drepturilor persoanelor carora li se prelucreaza datele (dreptul de acces/ de rectificare/ de stergere/ de restrictionare/ de portabilitate/ de opozitie/ de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, de a depune o plangere la Autoritatea de Supraveghere), dar si cum isi pot exercita utilizatorii aceste drepturi (exemplu: trimitand un e-mail la adresa de office a organizatiei).
doresc PACHETUL CONFORMITATEA GDPR A SITE-ULUI
3. Conformitatea cookie-urilor.
Plasarea cookie-urilor de urmarire a atitudinii comportamentale in mediul online poate fi realizata doar atunci cand temeiul legal folosit pentru prelucrarea datelor personale ale persoanei vizate este consimtamantul. Astfel ca, daca plasezi cookie-urilor prin intermediul site-ului, trebuie sa informezi utilizatorul si sa colectezi consimtamantul acestuia. Poti realiza toate acestea prin implementarea unui Widget Cookie prin intermediul caruia sa realizezi atat informarea (art. 12), cat si colectarea consimtamantului (art. 6 si 7). De retinut este faptul ca trebuie sa respecti conditiile privind consimtamantul (art. 7), astfel ca:
– trebuie sa fii in masura sa demonstrezi ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal, astfel ca trebuie ca widgetul sa iti permita stocarea si gestionarea consimtamantului;
– consimtamantul trebuie sa se colecteze individual, pentru fiecare categorie de cookie si nu trebuie sa fie prebifat, exceptie facand doar in cazul cookie-urilor esentiale, fara de care nu poate functiona corect site-ul;
– utilizatorul are dreptul sa isi retraga in orice moment consimtamantul, iar retragerea consimtamantului trebuie sa se faca la fel de simplu ca acordarea acestuia. Recomandat este ca widgetul sa se minimizeze dupa preluarea consimtamantului, in josul paginii sub forma unei pictograme, astfel ca in cazul in care utilizatorul doreste sa isi retraga consimtamantul, sa acceseze pictograma widgetului;
pentru respectarea articolului 12 privind transparenta informatiilor, widgetul trebuie sa aiba o sectiune distincta care sa poata fi accesata de utilizator si in cadrul careia sa se detalieze toate tipurile de cookie-uri colectate.
Daca Widget Cookie implementat nu iti permite configurarea unei astfel de sectiuni, trebuie sa elaborezi o Politicii de Cookies si sa o publici pe site, exact ca si in cazul Politicii de Confidentialitate, intr-un mod cat mai accesibil si vizil tuturor utilizatorilor. In cadrul acesteia trebuie sa detaliezi cel putin urmatoarele aspecte:
– Identitatea operatorul de date (organizatia care proceseaza datele prin intermediul site-ului);
– Explicatii privind terminologia (ca de exemplu: ce este un cookie);
– Scopul si utilizarea modulelor cookie;
– Detaliile esentiale privind cookie-urile plasate de terti;
– Un tabel cu denumirea fiecarui cookie-ului, categoria din care face parte (exemplu: statistic), scopul pentru care este utilizat (exemplu: inregistreaza un ID unic, care este utilizat pentru a genera date statistice cu privire la modul in care vizitatorul utilizeaza site-ul), valabilitatea (exemplu: 1 an) si tipul acestuia (exemplu: extern – plasat de catre tertul Facebook).
– Alte aspecte de securitate legate de cookie-uri;
– Ce trebuie sa faca utilizatorul daca nu doreste sa fie instalate module cookie pe computerul sau;
– Cum se poate realiza stergerea cookie-urilor pentru fiecare tip de browser.
Mai jos regasiti un exemplu de widget, care respecta toate criteriile enumerate anterior:
4. Colectarea consimtamantului.
Orice prelucrare a datelor trebuie sa se realizeze in conformitate cu art. 6 – Legalitatea prelucrarii. Pentru ai fi mai usor, realizeaza o centralizare a scopurilor in care prelucrezi datele cu caracter personal prin intermediul site-ului si identifica ce conditie privind legalitatea stau la baza prelucrarii. Mai exact, prelucrarea se realizeaza avand o baza legala/ un contract/ interes legitim/ este necesara protejarea intereselor vitale sau pentru indeplinirea unei sarcini care serveste unui interes public.
In ceea ce priveste scopurile pentru care nu ai putut identifica nici una dintre conditiile anterioare care sa stea la baza legalitatii prelucrarii, devine obligatorie colectarea consimtamantului utilizatorului. Chiar si in cazul in care datele sunt prelucrate prin intermediul formularului de contact trebuie sa colectezi consimtamantului utilizatorului.
5. Respectarea principiilor legate de prelucrarea datelor cu caracter personal
Orice prelucrare trebuie sa respecte cele 5 principii ale prelucrarii, in conformitate cu art. 5 din regulament:
– “legalitate, echitate si transparenta” – datele trebuie sa fie prelucrate in mod legal, echitabil si transparent fata de utilizator, oferindui-se toate informatiile necesare inainte;
– “limitari legate de scop” – datele trebuie sa fie prelucrate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
– “reducerea la minimum a datelor” – pentru fiecare scop se prelucreaza doar acele date care sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopul in cauza;
– “exactitate” – trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care actualizate periodic;
– “limitari legate de stocare” – datele trebuie pastrate intr-o forma care permite identificarea utilizatorului pe o perioada care nu depaseste perioada necesara indeplinirii scopului pentru care au fost prelucrate;
– “integritate si confidentialitate” – trebuie luate masuri tehnice sau organizatorice corespunzatoare pentru ca datele sa fie prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale.
doresc PACHETUL CONFORMITATEA GDPR A SITE-ULUI
V-am detaliat anterior cei 5 pasi de baza pe care trebuie sa ii urmezi pentru a demara demersurile privind conformitatea cu Regulamentul General privind Protectia Datelor.
Ce mai trebuie sa faci pe langa acestia, pentru a fi conform pe deplin? La aceasta intrebare ar putea sa iti raspunda doar un Specialist GDPR, in urma unui audit amanuntit a site-ului. Pentru asta, venim in sprijinul tau cu un pachet special conceput pentru a implementa conformitatea GDPR a site-ului, ce poate fi comandat la urmatorul link: https://gdprexpert.ro/servicii/gdpr-site-online-pack-conformitate-gdpr-pentru-website-uri/ .
De asemenea, venim in intampinarea nevoilor organizatiei dumneavoastra, cu pachete personalizate, disponibile in link-ul https://gdprexpert.ro/shop.
Urmareste-ne si afla noutatile din domeniul protectiei datelor in articolele urmatoare!
