Introducere in obligatiile de prelucrare a datelor personale dupa intrarea in vigoare a Regulamentului General privind protectia Datelor Personale (GDPR) pentru magazinele online - 5 intrebari esentiale.
Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online
1. Regulamentul General privind protec iaț
Datelor Personale (GDPR)
Noută i i obliga ii pentru magazinele onlineț ș ț
5 întrebări esen ialeț
20 iulie 2017, Webinar Trusted.ro & Silkweb
Bogdan Manolea
Trusted.ro
Legi-internet.ro
2. Cine Suntem: Trusted.ro
- Marca de Incredere pt.
magazine online
- 24 de criterii verificate de
un tert (Noi :-)
- De peste 6 ani pe pia ăț
- 159 magazine certificate
azi
- Sistem de feedback
independent –
OpiniideIncredere.ro
3. GDPR
GDPR – General Data Protection Regulation –
Regulamentul general privind protec ia datelor –ț
Regulamentul UE 2016/679
Directă aplicare în legisla ia internă (va înlocui legea 677/2001)ț
din 25 mai 2018
Sanc iuni impresionanteț
− Până la 10 milioane euro sau 2% din cifra de
afaceri
− Până la 20 milioane euro sau 4% din cifra de
afaceri
4. Câteva noută i pentru Româniaț
Fără notificare/înregistrare
Responsabilitate i conformare (ș compliance)
Principiul “one stop shop”
Notificarea pentru încălcarea securită iiț
Responsabilul pentru protec ia datelorț
Coduri de conduită i certificareș
5. Responsabilitatea operatorului
Art 24. inând seama de natura, domeniul deȚ
aplicare, contextul i scopurile prelucrării,ș
precum i de riscurile cu grade diferite deș
probabilitate i gravitate pentru drepturile iș ș
libertă ile persoanelor fiziceț , operatorul pune
în aplicare măsuri tehnice i organizatoriceș
adecvate pentru a garanta iș a fi în măsură să
demonstreze că prelucrarea se efectuează în
conformitate cu prezentul regulament.
6. Adică cum?
Art 5 (2) Operatorul este responsabil de respectarea
alineatului (1) i poate demonstra această respectareș
(„responsabilitate”):
Principii:
prelucrate în mod legal, echitabil, transparent
colectate în scopuri determinate, explicite i legitimeș
adecvate, relevante i limitateș
exacte, actualizate
stocate pe o perioadă determinată
în condi ii de iț ntegritate i confiden ialitateș ț
7. Ca să fim clari...
Până în 25 mai 2018 NU se aplică GDPR,
obliga iile actuale din legea română (inclusivț
notificarea – în anumite cazuri) fiind obligatorie;
Cele 5 întrebări nu reprezinta un test complet
de a demonstra responsabilitatea pentru
prelucrarea datelor cu caracter personale
pentru un magazin online.
9. Domeniu de aplicare
date cu caracter personal - orice informa iiț
privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană
fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de
localizare, un identificator online, sau la unul sau
mai multe elemente specifice, proprii identită iiț
sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale
10. Pentru magazine online ar putea fi:
Datele consumatorilor ob inute ca urmare aț
unei comenzi
Datele persoanelor înscrise la newsletter
Datele vizitatorilor paginii web
Datele vizitatorilor paginii de Facebook
Datele angaja ilorț
Datele clien ilor dintr-un CRMț
Datele candida ilor la joburile voastreț
Etc?
12. GDPR – Art 6 (1)
Consim ământ Art 6 (1) a)ț
Executarea unui contract la care persoana
vizată este parte sau pentru a face demersuri la
cererea persoanei vizate înainte de încheierea
unui contract Art 6 (1) (b)
Prelucrarea este necesară în vederea
îndeplinirii unei obliga ii legale care îi revineț
operatorului Art 6 (1) (c)
Interesele legitime ale Operatorului - Art 6 (1)
(f) (poate include marketing – vezi Considerent
47) – Dar mare aten ie!ț
13. La un magazin online ar putea fi:
Datele pentru comandă - art 6 (1) b)
Datele pentru factură – art 6 (1) c)
Datele pentru marketing:
− Fie bazate pe consim ământț
Ac iune fără echivoc (ex. bifă, nu căsu ă bifată) – Art 4ț ț
pct.11
Prezentată într-o formă care o diferen iază în mod clar deț
celelalte aspecte(ex. NU parte din Termeni i Condi ii) art 7ș ț
(2)
− Fie bazate pe interes legitim (dar atunci nu trebuie
să prevaleze în fa a interesului persoanei vizate)ț
Interes legitim – comunicari comerciale prin email către
clien i deja existen i? (legea 506/2004, Art 12 (2)ț ț
15. GDPR – Art 4 Pct 7&8
Operator - înseamnă persoana fizică sau
juridică, (...) care, singur sau împreună cu
altele, stabile te scopurile i mijloacele deș ș
prelucrare a datelor cu caracter personal; (eng
– data controller)
Persoană împuternicită de operator -
înseamnă persoana fizică sau juridică (...) care
prelucrează datele cu caracter personal în
numele operatorului; (eng – data processor)
16. La un magazin online ar putea fi:
Operator – Firma care administrează magazinul
Împuternici i:ț
− Platforma magazinului (Hello Gomag.ro!)
− Găzduirea sau Programatorii
− Curierii
− Procesatorii de plă iț
− Furnizori de marketing (integrali sau specializa i – de ex.ț
Newsletter, Retargeting, etc.)
− Ter i care sunt integra i în site – Google Analytics, Facebookț ț
Login, Zopim Chat, etc.
17. Obliga iiț
Contract scris între operator i împuternicit (artș
28 (3))
− Prelucrează datele cu caracter personal numai pe
baza unor instruc iuni documentate din parteaț
operatorului
− Obliga ii de confiden ialitateț ț
− Etc.
Nu pot delega opera iunile unui alt împuternicitț
(sub-processor) fără acordul operatorului.
18. 4. Ce măsuri lua i pentru a asigura securitateaț
datelor?
19. GDPR
Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării,
costurile implementării i natura,ș domeniul de aplicare,
contextul iș scopurile prelucrării, precum iș riscul cu
diferite grade de probabilitate i gravitate pentruș
drepturile i libertă ile persoanelor fizice,ș ț operatorul
i persoana împuternicită de acestaș implementează
măsuri tehnice i organizatorice adecvateș în
vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele,
după caz:
20. GDPR - securitate
Deci poate include (art 32)
(a) pseudonimizarea iș criptarea datelor cu
caracter personal;
(b) capacitatea de a asigura confiden ialitatea,ț
integritatea, disponibilitatea i rezisten aș ț
(resilience) continue ale sistemelor i serviciilorș
de prelucrare;
(c) capacitatea de a restabili disponibilitatea
datelor cu caracter personal i accesul laș
acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică;
21. GDPR – securitate (2)
Aderarea la un cod de conduită aprobat (Art
40), sau la un mecanism de certificare aprobat
(Art 42) poate fi utilizată ca element prin care
să se demonstreze îndeplinirea cerin elor deț
securitate
22. La un magazin online ar putea fi:
Securitatea datelor folosite de către magazin
− Inclusiv păstrarea de către angaja i a securită iiț ț
prelucrărilor (clauze contractuale)
Securitatea datelor de către împuternici iț
− Contract
− “oferă garan ii suficiente pentru punerea în aplicareț
a unor măsuri tehnice i organizatorice adecvate”ș
23. 5. Pute i să informa i autoritatea în cazulț ț
încălcării securită ii datelor?ț
24. GDPR – art 33
Notificarea privind încălcarea securită ii datelorț
personale
În cazul în care are loc o încălcare a securită iiț
datelor cu caracter personal, operatorul notifică
acest lucru (...), fără întârzieri nejustificate i, dacăș
este posibil, în termen de cel mult 72 de ore de la
data la care a luat cuno tin ă de aceasta (…)ș ț
„încălcarea securită ii datelor cu caracter personal”ț
înseamnă o încălcare a securită ii care duce, în modț
accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea (...), sau la accesul
neautorizat la acestea;
25. GDPR – Notificarea (2)
Notificarea privind încălcarea securită ii datelorț
personale:
Către Autoritate (ANSPDCP)
Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru
drepturile i libertă ile persoanelor fizice”ș ț
− Excep ie: criptarea (sau alte măsuri tehniceț
similare) sau riscul ridicat nu mai este susceptibil să
se materializeze;
26. La un magazin online ar putea fi:
O procedură pentru
− A detecta incălcările de securitate la date personale
− A stabili cum i ce notifici către Autoritateș
− A primi informări similare de la împuternici iț
Obliga ia de a impune obliga ii similare pentruț ț
împuternici iț