De cand se aplica aceasta lege?

Regulamentul european privind protecția datelor cu caracter personal (GDPR) se va aplica de la 25 mai 2018 în țara noastră și în toată Uniunea Europeană. Începând cu 25 mai 2018, business-urile în e-commerce vor fi obligate să țină evidența activităților de prelucrare a datelor personale, să le șteargă la cererea persoanelor fizice

Care sunt noutatile acestei legi? Invata rapid cum sa te conformezi.


a. Sa le comunicati utilizatorilor despre afacerea dvs:

  • ce date colectati?
  • de ce colectati datele?
  • cat timp planificati sa le pastrati?

b. Sa le comunicati care parti terte le primesc (daca exista)
c. Sa obtineti un consimtamant clar inainte de colectarea datelor
d. Sa permiteti utilizatorilor accesul, descarcarea, actualizarea si stergerea datelor
e. Sa permiteti utilizatorilor sa afle daca a avut loc o incalcare a datelor

Ce sunt datele cu caracter personal?

Numele, domiciliul, adresa, resedinta, adresa de e-mail, numarul de buletin, seria buletinului, datele care permit localizarea noastra la un moment dat, adresa IP a unui calculator sau terminal mobil, telefon, tableta, numarul de inmatriculare a unei masini, un diagnostic, date genetice, etc.

În ceea ce privește magazinele online, principalele date personale pe care le colectează sunt datele clienților care cumpără un produs sau serviciu  (folosite în scop de executare a contractului, dar uneori și pentru marketing), dar pot fi și datele personale ale angajaților.

11 pasi pentru respectarea legislatiei GDPR privind magazinele online

1. Termeni & Conditii

Termenii si conditiile reprezinta termenii si regulile legale care formeaza relatia dintre client si compania dvs.

Daca nu ai o pagina de Termeni si conditii, trebuie sa creezi una. De asemenea, pe pagina de checkout adauga casuta pe care utilizatorii trebuie sa o bifeze (nu poate fi “bifata” in mod implicit).

Concluzii

  • Creaza o pagina T&C daca nu ai una
  • Adauga un paragraf cu un link catre Politica de Confidentialitate revizuita
  • Asigura-te ca exista un checkbox pentru bifare in pagina de Checkout, nebifat

2. Politica de Confidentialitate

Scopul Politicii de Confidentialitate este de a informa utilizatorul despre datele pe care le colectezi, despre modul in care sunt stocate si despre cum le folosesti. Cele mai mari schimbari se vor face aici, in Politica de Confidentialitate, precum si adaugarea link-ului catre aceasta pagina peste tot in site.

Va trebui sa acoperi urmatoarele:

  • cine esti (companie, adresa, etc)
  • ce date colectezi (adrese IP, nume, e-mail, telefon, adresa etc.)
  • motivele pentru colectezi datele (facturare, urmarire, comunicare prin e-mail, marketing etc.)
  • pentru cat timp pastrezi datele (de exemplu, pastrezi facturile timp de 5 ani in scopuri contabile, pastrezi adrese de e-mail timp de 1 an)
  • care terte parti primesc (MailChimp, Google, InboxTarget, etc)
  • modul de descarcare a datelor (fie in mod automat, fie prin trimiterea de e-mail catre responsabilul cu protectia datelor sau prin contactarea ta)
  • cum sa stergi datele (fie in mod automat, fie prin e-mail catre responsabilul cu protectia datelor sau contactandu-te pe tine.)
  • cum sa te contacteze pentru probleme legate de date (datele de contact ale responsabilului cu protectia datelor sau, probabil ale tale.)

Dupa ce ai toate aceste informatii intr-o pagina de Politica de Confidentialitate, trebuie sa adaugi link catre aceasta pe fiecare pagina a site-ului web (link in sectiunea de subsol este suficient).

Pe langa adaugarea de linkuri catre aceasta pagina, trebuie sa ai checkbox pentru bifare pentru fiecare optiune de inscriere: inregistrarea contului de utilizator, colectorul de e-mailuri, formularele de checkout. Atentie! Nu bifa aceasta casuta in mod prestabilit.

Pe pagina de Checkout, unde ai deja o casuta de bifare a Termenilor si Conditiilor, vei avea nevoie de una similara cu link catre pagina de Politica de Confidentialitate.

Apasa aici pentru a descarca un model pentru pagina cu Politica de Confidentialitate

Concluzii

  • Creaza o pagina privind Politica de Confidentialitate (daca nu ai una)
  • Afiseaza linkul pentru Politica de Confidentialitate in subsolul fiecarei pagini
  • Afiseaza checkbox de bifare a paginii de Politica de Confidentialitate pe pagina de checkout

3. Inregistrarea contului de utilizator

Daca site-ul tau solicita inregistrarea utilizatorilor pentru a efectua o cumparatura (sau o simpla logare pe site-ul web), va trebui sa ai si o casuta de bifare in apropierea formularului.

De asemenea, nu cere mai multe informatii decat e nevoie, deci asigura-te ca ai nevoie de toate datele respective sau elimina campurile de input de care nu ai nevoie.

Concluzii

  • Asigura-te ca ai cu adevarat nevoie de toate datele personale pe care le soliciti
  • Daca da, adauga o caseta de bifare cu link catre Politica de Confidentialitate (nebifata, da) la formularul de inregistrare

4. Cosuri abandonate si checkout

Acest lucru este mai mult in domeniul marketingului, dar este foarte important. Deoarece majoritatea solutiilor de recuperare a cosurilor si a checkout-ului colecteaza e-mailuri fara consimtamant. Deci, nu vei putea sa trimiti e-mail acelui utilizator daca nu a fost de acord sa se aboneze.

Aceasta este in contradictie cu regulile GDPR, care necesita consimtamantul explicit (adica bifand o casuta). Pentru a face acest lucru corect, va trebui sa ai o casuta de bifare chiar langa campul de introducere a adresei de e-mail.

Alternativa este de a dezactiva checkout fara cont, astfel incat oamenii vor trebui sa inregistreze un cont (unde vor trebui sa fie de acord cu Politica  de Confidentialitate prin click pe casuta de bifare).

Concluzie

  • Asigura-te ca nu rulezi e-mailuri de recuperare a cosului de cumparaturi si a checkout-ului fara a avea consimtamantul explicit pentru acestea.

5. Review-uri de Produs, Intrebari legate de produs sau Comentarii

Multi dintre clientii nostri trimit e-mailuri dupa cumparare pentru a obtine recenzii despre comenzile si produsele lor. Si, desigur, recenziile pot contine date personale (e-mail / nume / oras)

O buna solutie pentru consimtamantul in formularul de recenzii este sa ai aceeasi casuta langa formular, care trebuie sa fie debifata inainte de a trimite recenzia.

O alta alternativa este sa permiti accesul la recenzii numai utilizatorilor conectati.

Aceleasi reguli se aplica formularelor de comentarii.

Concluzii

  • asigura-te ca formularele tale de recenzii includ consimtamantul pentru datele personale pe care le soliciti.
  • permite acceptarea recenziilor de la utilizatorii conectati

6. Formulare de abonare (Colectoare de email, Magneti de Lead-uri)

Aceste formulare colecteaza toate informatiile personale, deci trebuie sa respectati regulile GDPR.

Mai intai, trebuie sa elimini toate optiunile de inscriere automate de pe site-ul tau. Toate casutele trebuie sa nu fie bifate in mod implicit (o casuta “bifata” in mod implicit nu poate implica acceptarea).

In plus, daca utilizezi un serviciu terta parte pentru a obtine aceste e-mailuri, asigura-te ca este compatibil cu GDPR.

Asigura-te ca actualizezi formularele inainte de data de 25 mai 2018.

Deci, pentru a continua sa utilizezi aceste formulare de colectare a datelor, utilizatorii trebuie:

  • sa dea acordul explicit
  • sa iti ofere doar informatiile solicitate. Nu cere mai multe date decat ai nevoie, doar pentru ca crezi ca vor fi utile in viitor
  • sa stie cum pot sterge / actualiza / accesa informatiile lor

Concluzii

  • verifica toate formularele de inscriere si pastreaza-le doar pe cele care respecta regulile
  • daca utilizezi un furnizor de solutii tert, asigura-te ca este compatibil cu GDPR
  • afiseaza casutele de consimtamant privind Politica de Confidentialitate

7. Formularele de contact

Toate formularele de contact trebuie sa fie compatibile cu GDPR. De asemenea, nu trebuie sa utilizezi informatiile personale din aceste formulare pentru a adauga abonati la baza ta de date de marketing.

Aceste formulare vor necesita, de asemenea, consimtamantul explicit pentru Politica de Confidentialitate. Daca stochezi datele intr-o baza de date sau intr-un sistem CRM, trebuie sa le spui utilizatorilor de ce, unde si pentru cat timp stochezi datele.

Concluzii

  • Adauga casuta de bifare pentru Politica de Confidentialitate la toate formularele de contact de pe site
  • Daca stochezi date cu caracter personal intr-o baza de date si / sau un software CRM sau pentru o solutie de suport, trebuie sa spui utilizatorilor tai de ce, unde si pentru cat timp stochezi date

8. Google Analytics

Indiferent de solutia de analiza pe care o utilizezi (Google Analytics, HotJar, Piwik) colectezi date de utilizator si utilizezi cookie-uri fara consimtamant. Acelasi lucru este valabil si pentru Google AdWords, pixeli Facebook si alte solutii similare.

Trebuie sa te asiguri ca fiecare solutie este compatibila cu GDPR si verifica, de asemenea, Politica de Confidentialitate a fiecarei solutii. Motivul este pentru ca ei colecteaza datele si nu tu, dar fac asta pentru tine.

Oricare dintre aceste solutii se numesc procesatoare de date. Potrivit Google Analytics (au trimis un e-mail in aprilie):

  • GDPR necesita atentia si actiunea ta, chiar daca utilizatorii tai nu sunt din Spatiul Economic European (SEE)
  • Acestia au introdus controale de retentie a datelor granulare care iti permit sa gestionezi cat timp datele si evenimentele utilizatorilor sunt tinute pe serverele lor. Google Analytics va sterge automat datele despre utilizatori si  evenimente care sunt mai vechi decat perioada de pastrare pe care o selectezi
  • Inainte de 25 mai, Google Analytics va introduce, de asemenea, un nou instrument de stergere a utilizatorilor, care iti permite sa stergi toate datele asociate unui anumit utilizator (de exemplu, vizitator de site) din proprietatile tale Google Analytics
  • GA se angajeaza sa furnizeze functii pentru setarile personalizabile pentru cookie-uri, controalele de confidentialitate, setarile de partajare a datelor, stergerea datelor la stergerea contului si anonimizarea adreselor IP
  • De asemenea, isi actualizeaza politicile ca procesator de date

Poti gasi aceste informatii in Setari de cont. Pentru toate solutiile pe care le utilizezi, asigura-te ca au o politica de procesare a datelor.

Concluzii

  • Utilizeaza numai software de urmarire de incredere, compatibil cu GDPR
  • Intreaba furnizorii de software despre modul in care gestioneaza respectarea standardelor GDPR
  • Adauga la politica ta de confidentialitate cine si cum gestioneaza datele personale colectate de pe site-ul tau, daca este cazul
  • Daca ai activat Google Analytics Advertising (Demographics, Interest Reports, Remarketing cu integrare GA si DCM) aveti nevoie de consimtamantul explicit al vizitatorilor site-ului inainte de a le inregistra informatiile

9. Serviciile tertilor (Facebook, Whatsapp, Instagram, etc.)

Serviciile Google Analytics sunt similare cu orice solutie terta parte. De obicei, comerciantii testeaza astfel de solutii iar acelea pe care le incearca trebuie sa fie compatibile si cu GDPR.

Pur si simplu intrebati pe oricine implicat in deciziile de a implementa astfel de solutii (comercianti, dezvoltatori de site-uri web) urmatoarele. Raspunsul ar trebui sa fie „da” la toate aceste intrebari:

  • Daca sunt un serviciu de incredere, cu detalii de contact si informatii comerciale afisate la vedere
  • Daca ca sunt pregatite pentru GDPR
  • Asigura-te ca adaugi serviciul lor la lista “tertilor” care primesc acces la datele utilizatorului in Politica de Confidentialitate

Exista cazuri in care astfel de informatii sunt transmise prin intermediul serverului prin API. Din punct de vedere tehnic, urmarirea este diferita, dar din perspectiva GDPR, aceleasi reguli se aplica: transferi datele catre un serviciu extern, Procesator de date care trebuie sa respecte regulile.

Concluzii

  • Intreaba despre compatibilitatea GDPR la fiecare serviciu terta parte
  • Selecteaza numai pluginurile compatibile cu GDPR
  • Adauga-i numele pe pagina ta de Politica de Confidentialitate
  • Ai nevoie de consimtamantul explicita al vizitatorilor site-ului inainte de a le inregistra informatiile daca site-ul tau are tehnologii de tracking in pagini (cookie-uri, plugin-uri sau icon-uri de share-uit pe social media, care trimit pixeli de tracking unor parti terte cu voia sau fara voia ta

10. Abonati existenti

Trebuie sa obtii din nou consimtamantul pentru a te asigura ca nu ai alte probleme in viitor. Dupa cum stim cu totii, astfel de liste sunt construite din diverse surse:

  • ai adaugat automat toti clientii, indiferent de optiunea lor de a fi abonati sau nu la lista de marketing
  • e-mailurile provenite de la formulare de contact, recenzii de produse sau formulare offline
  • noi utilizatori, care incercau doar sa vada produsele, etc.

Trebuie sa obtii un consimtamant clar din partea tuturor acestor utilizatori si apoi poti continua sa le trimiti emailuri incepand cu data de 25 mai, asa cum faci acum. Declaratia de declinare a raspunderii in subsolul e-mailului: “Ati primit acest e-mail deoarece ati introdusi adresa dvs. de e-mail intr-unul din formularele noastre sau a fost gasita pe un site public” au 0 valoare ACUM!

Concluzie

  • cere consimtamant intregii baze de date. Trimite un e-mail cu un buton de abonare: cei care dau click pe acesta vor deveni noii abonati, iar ceilalti care nu fac nimic vor fi eliminati.

11. Notificari de vulnerabilitate

In conformitate cu noile reguli, in cazul in care sistemul tau inregistreaza o incalcare a datelor, trebuie comunicat imediat acelor utilizatori afectati de incalcare. O notificare trebuie trimisa in termen de 72 de ore.

O incalcare este o diseminare a datelor tale colectate catre orice parte, fara consimtamantul tau:

  • un procesator de date sau un subcontractant neautorizat
  • un organism necompatibil cu GDPR
  • o terta parte fara cunostinta persoanei vizate
  • un hacker

Pe langa aceasta, trebuie sa ai pregatit un plan de raspuns si un proces de urgenta la incalcarea datelor. Fa lucrurile publice pe blogul tau, site-ul web, profilurile de pe retele sociale si, de asemenea, informeaza despre modul in care intentionezi sa recuperezi datele pierdute, sa le securizezi si sa nu se mai repete in viitor.

Concluzii

  • Asigura-ti magazinul de comert electronic. Foloseste parole puternice, da acces la servere numai anumitor persoane
  • Aboneaza-te la toti furnizorii de software / furnizori de aplicatii terta parte, astfel incat sa poti afla de indata ce apare o incalcare a datelor care afecteaza utilizatorii;
  • Redu cantitatea de date stocate.
  • Creaza un plan de urgenta in caz de incalcare a datelor.

Concluzii generale. Care sunt aspectele pe care trebuie sa le implementati?

  • Termeni si conditii (pagina de checkout)
  • Politica de confidentialitate (pagina de checkout)
  • Inregistrarea contului de utilizator (pagina Contul meu)
  • Abandonarea cosurilor (pagina de checkout)
  • Review-uri de produs / intrebari despre produse sau comentarii (pagina de produs)
  • Formulare de abonare (Newsletter, magneti de leads, etc)
  • Formulare de contact (pagina de Contact, widget-uri etc.)
  • Google Analytics (Google Analytics, urmarirea ecranului etc.)
  • Servicii terte (plati, marketing prin e-mail, remarketing, retargetare, notificari push, LiveChat etc.)
  • Obligatia operatorilor de date cu caracter personal de a notifica prelucrarile de date efectuate va fi eliminata din data de 25.05.2018 – link oficial
  • În cazul unei firme care deține două magazine online diferite, datele colectate nu pot fi folosite „la comun” deoarece scopul colectării a fost diferit. Cumpărarea de la MagazinX.ro este diferită de cumpărarea de la MagazinY.ro. La fel de diferit este și marketing-ul celor două magazine online;

Important!

Unele functionalitati nu vor putea fi implementate cu usurinta si necesita implementarea unui modul dedicat GDPR:

  • Camp de verificare pentru acceptarea politicii de confidentialitatein formularul de contact.
  • Camp de verificare pentru acceptarea inscrierii la newsletter
  • Bara de notificare cookie, afiseaza un buton de acceptare sau refuz precum si un buton pentru selectarea preferintelor cookie: cookies strict necesare, google analytics/servicii, statistica, remarketing – publicitate
  • Modificarea datelor personale din cont
  • Portabilitatea datelor, utilizatorii descarca datele personale, adrese, comenzi si solicitari GDPR.
  • Acces la datele personale, solicitarea printr-un singur click a tuturor datelor pastrate de magazine, inclusive serviciile terte
  • Dreptul de a fi uitat, utilizatorii pot elimina singuri toate datele personale din magazinul dumneavoastra
  • Timestamp politica de confidentialitate –Pastreaza informatii despre politica de confidentialitate acceptate de catre utilizatori
  • Solicitari GDPR, pastreaza o lista a tuturor cererilor GDPR.
  • Politica de confidentialitate acceptata – pastreaza o lista cu toti clientii care au acceptat politica de confidentialitate

Pentru implementarea acestui modul va rugam sa solicitati o oferta de pret.

Nota finala

1. Colectarea si utilizarea datelor prin intermendiul site-urilor web (inclusiv magazine online) sunt si reprezinta raspunderea fiecarui proprietar de site. Doar firma detinatoare sau entitatea imputernicita este cel care opereaza si raspunde pentru datele colectate prin intermediul site-ului detinut.

2. Pentru a va proteja cat mai bine cu putinta va recomandam sa discutati cu juristul sau avocatul firmei dvs. si sa realizati un audit intern al procesarilor si stocarilor de date personale. Fiecare firma (GDPR nu se refera doar la magazine online) are procese nevoi specifice privind prelucrarea datelor.

3. Implementarea optiunilor mai sus prezentate reprezinta un factor in plus de protectie, dar nu va garanteaza ca GDPR este corect implementat.

4. CostiDesign nu presteaza servicii de consultanta juridica, dar facem tot ce ne sta in putinta pentru a va ajuta sa depasiti aceasta etapa. Este foarte important ca in eventualitatea unui control sa puteti demonstra ca ati luat toate masurile  necesare pentru protectia datelor in compania dumnevoastra.