Deja probabil ai auzit de GDPR (General Data Protection Regulation) si ai intrebari despre efectele pe care o sa le aiba asupra business-ului si mai ales site-ului tau.

Sper ca prin acest mail sa iti mai clarific cateva lucruri, dar retine ca el nu inlocuieste consultarea unui specialist (fie el avocat, consilier specializat in GDPR sau trainer). Chiar iti recomand sa verifici mai departe, daca ai acces la un astfel de specialist, cum se aplica regulile GDPR asupra business-ului si site-ului tau (eu o sa vorbesc la modul general).

Incepand cu data de 25 mai 2018, acest set nou de legi ale UE se vor aplica asupra oricarei firme care foloseste date personale apartinand cetatenilor Uniunii Europene. Prin data personale intelegem orice fel de date prin care o persoana poate fi identificata:

  • Nume, prenume
  • Adresa de email
  • Date din buletin (cnp, serie numar, adresa)
  • Telefon
  • Imagine (avatar)
  • Adresa ip/mac
  • Date medicale, date biometrice, orientare sexuala, religie, convingeri politice, rasa, etc

Daca site-ul tau preia in orice fel astfel de date personale de la cetatenii UE, atunci trebuie sa respecti GDPR.

Principii

Sunt cateva principii pe care trebuie sa le respectam aici:

  • Legalitate si transparenta – sa preluam datele intr-un mod legal si utilizatorul sa stie intodeauna ca acest lucru se intampla.
  • Limitare la scop – folosim datele doar in scopurile in care ne-au fost trimise (nu ne apucam sa ii inscriem la newsletter pe cei care au participat la un curs, daca nu am specificat clar acest lucru in formular).
  • Reducerea la minim a datelor colectate – foarte probabil sa nu avem nevoie de nr. de telefon daca scopul nostru este sa ii trimitem newslettere
  • Exactitate – datele trebuie sa fie corecte, iar daca nu sunt, persoanele au dreptul sa le schimbe
  • Limitari de stocare – nu pastram datele mai mult decat este necesar
  • Securitate si confidentialitate – sa incercam sa protejam cat mai bine datele stocate. Aici intra si responsabilitatea ta de a anunta autoritatile in cazul in care cineva iti fura sau copiaza baza de date.

Daca acestea nu sunt respectate, se ajung si la amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri. La amenda se adauga si un audit complet!

In plus, avem voie sa prelucram date personale doar daca acestea se se folosesc la:

  • Incheierea unui contract intre parti
  • Persoana si-a dat consimtamantul (mai multe detalii in pagina care urmeaza)
  • Indeplinirea unei obligatii legale
  • Atingerea intereselor legitime urmărite de operator sau de un terţ
  • Îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul
  • Pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice

Trebuie sa bifam cel putin unul din punctele de mai sus.

Consimtamantul

Consimtamantul este punctul cel mai important pentru noi cand vorbim de interactiunea online (intre business-ul tau si vizitatorul site-ului). Acesta trebuie sa fie:

  • Dat in mod liber si lipsit de ambiguitate – deci nu mai avem voie sa avem casute pre-bifate in formulare
  • Specific si informat – trebuie sa le spunem exact pentru ce se inscriu, chiar daca formularul are mai multe scopuri – trebuie sa detaliem
  • Verificabil – daca trimitem newslettere prin Mailchimp, softul lor preia automat data la care formularul a fost completat. Iar daca folosim formulare simple (sa spunem pentru cerere de oferta) trebuie sa pastram dovada inscrierii (mailul care se trimite ar putea fi un exemplu)

Inca un lucru important: inainte de a obtine consimtamantul, trebuie sa le detaliem intr-un limbaj cat mai simplu: cine suntem, care sunt scopurile prelucrarii, tipurile de date colectate, existenta dreptului de retragere si, daca e cazul, informatii despre profilare si decizii automate.

Drepturi

Tot prin GDPR, utilizatorul are ceva mai multe drepturi ca pana acum:

  • Dreptul de a modifica, muta sau sterge datele din listele noastre – Astfel de cereri trebuie sa poata fi facute usor si simplu de catre utilizatori.
  • Dreptul de acces la datele sale – la cere utilizatorul trebuie sa isi poata vedea datele pe care le-am colectat despre el.

Ce trebuie sa faci?

Incepe prin a raspunde la urmatoarele intrebari:

  • Ce fel de date cu caracter personal culege site-ul?
  • Unde se stocheaza toate aceste informatii?
  • Pentru ce se folosesc datele?
  • Cine are acces la aceste date?

Dupa ce gasim raspunsurile, putem incepe sa modificam anumite zone ale site-ului pentru a aplica termenii GDPR.

Cookies

In situatia cookies, nu o sa mai fie suficienta notificarea (“Accesand acest site este de acord…..”) ci trebuie o optiune de tipul Accept/Resping.

In plus, trebuie sa listam exact ce cookies folosim, cu nume, durata de viata si scop.

Termeni si conditii

Updateaza paginile deja existente, cu mare atentie la punctele de mai sus.

Iata niste exemple pentru o adaptare mai clara a termenilor si conditiilor de pe site:

Google si alte aplicatii integrate (third-party apps)

In cazul aplicatiilor externe care proceseaza date (google analytics, adwords, mailchimp, etc), cu acestea trebuie sa avem verificate si acceptate suplimentele (sau noutatile) de la termeni si conditii. Acestea in general apar sub forma de notificari in conturile respective.

Mailchimp

Daca folosesti Mailchimp, recomandarea mea este sa trecem toate formularele la two-step verification (dupa inscriere, primesc pe mail un mesaj prin care trebuie sa confirme inscrierea). In felul acesta suntem siguri de intentia lor.

In plus, o practica din ce in ce mai intalnita este trimiterea unui newsletter in care sa ii pui sa confirme dorinta de a continua.

Poti sa citesti mai multe aici – https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf

Concluzie

Stiu ca nu e chiar asa de scurt articolul,dar sper ca a mai clarificat niste lucruri despre GDPR. Retine totusi ca el nu inlocuieste consultarea unui specialist GDPR (fie el avocat, consilier specializat in GDPR sau trainer). Chiar iti recomand sa verifici mai departe, daca ai acces la un astfel de specialist, cum se aplica regulile GDPR asupra business-ului si site-ului tau. In momentul in care te hotarasti sa incepi modificarile, sunt aici pentru tine 🙂

Alte resurse

PS: Stiu ca nici site-ul meu nu este la zi cu aceste prevederi, dar urmeaza sa ma ocup. Tu ai mai adauga ceva la acest ghid?