Ce inseamna GDPR si ce trebuie sa stim despre noul regulament pentru protectia datelor

Subiectul protectiei datelor cu caracter personal devine tot mai actual pentru firmele care vand online. Domeniul e-commerce a fost supus in 2017 unui prim test prin implementarea obligativitatii certificatului SSL iar din mai 2018 sunt anuntate schimbari drastice in ceea ce priveste modul in care colectam adresele de email sau datele despre clientii nostri.

Pe 25 mai 2018 va intra in vigoare Regulamentul General privind Protectia Datelor (GDPR) care aduce cu sine reglementari foarte stricte privind utilizarea datelor clientilor dar si amenzi record pentru legislatia europeana. Mai precis, nerespectarea noului regulament va duce la amenzi de pana la 20 de milioane de euro sau 4 % din cifra de afaceri globala anuala a companiei.

Iata care sunt cele mai importante aspecte ale noului regulament, pe care orice firma care colecteaza date sau trimite un newsletter ar trebui sa le cunoasca si sa le aplice in 2018:

1.  Companiile trebuie sa le ceara persoanelor acordul de fiecare data cand vor sa le utilizeze adresa de e-mai pentru un alt scop decat cel initial. In acest fel, comercializarea de baze de date va fi un proces care va trebui sa suporte corectii majore.

2. Oamenii au dreptul de a solicita ca informatiile despre ei sa fie sterse daca nu mai sunt absolut necesare pentru scopul cu care au fost colectate. Ai cumparat un frigider si nu mai vrei altul? Ai dreptul de a cere ca adresa ta sa fie stearsa din baza de date a magazinului.

3.  Oamenii pot apela si la dreptul de a fi uitati, adica pot solicita sa fie sterse informatii si postari pe care companiile le-au postat pe retelele de socializare.

4. Clientii vor avea dreptul la portabilitate. Adica, noua legislatie le permite oamenilor sa ceara ca dalele sa le fie transmise unui alt opreator pentru a le prelucra

5.  Toate contractele care presupun prelucrarea unor date personale vor trebui actualizate in conformitate cu noile cerinte.

Trainerii Creative Business Management vor detalia in cursurile de marketing digital si social media optimization care sunt modurile in care trebuie sa integram noile reglementari in activitatea de comunicare si marketing a organizatiilor romanesti. Pentru a intelege mai bine cum functioneaza GDRP am detaliat, in continuare, informatiile.

Regulamentul se aplica tuturor celor care prelucreaza date cu caracter personal care fac parte sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor. GDPR este valabil atat pentru date electronice, cat si pentru date fizice. Acest regulament nu se aplica pentru autoritatile competente care utilizeaza datele in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor.

GDPR va presupune un singur set de reguli pentru toate companiile care activeaza in cadrul Uniunii Europene sau opereaza cu date ale cetatenilor din tarile membre ale acesteia. Cei care prelucreaza date sunt obligati sa demonstreze ca indeplinesc cerintele GDPR, dar si ca beneficiaza de proceduri prin care se respecta protectia datelor personale pe durata activitatii.

Nu exista o solutie generala care sa poata fi aplicata tuturor companiilor, aceasta depinde in primul rand de tipul datelor pe care firma le colecteaza. Aproape toate companiile care desfasoara o activitate in mediul digital se incadreaza in categoria data controller”. Fie ca este vorba despre o platforma de stocare in cloud, o aplicatie care iti cere sa iti acceseze camera, un ONG care iti cere sa te loghezi pentru a face o donatie sau subcontractori ai unor businessuri. Cei care prelucreaza date vor fi nevoiti sa ia masuri suplimentare pentru a garanta securiatea datelor si a impiedica pierderea lor accidentala. Companiile vor trebui sa verifice cui i se trimit informatiile si prin ce programe: email, server.

Incepand cu momentul in care legislatia intra in vigoare cei care controleaza date personale trebuie sa se asigure ca procesul se desfasoara conform legii, transparent si avand un scop precis. In momentul in care scopul este indeplinit datele nu sunt necesare si compania trebuie sa le stearga. Prelucrarea datelor trebuie sa se realizeze in mod gratuit, cu exceptia cererilor abuzive. Responsabilitatea securitatii si confidentialitatii revine celor care le prelucreaza, iar acestia trebuie sa se supuna noilor reglementari.

Conform noului regulament pentru ca o companie sa poata intra in posesia datelor unei persoane si sa le poata prelucra trebuie sa aiba acordul clar al acesteia. Acest lucru este numit „licence and agreement”. Alternativ se poate semna un contract sau o obligatie legala pentru a proteja un interes care este ”esential pentru viata” subiectului, daca procesarea datelor este in interes public sau daca cel care le utilizeaza are un interes legitim. Ceea ce aduce nou GDPR este ca toate companiile care vor cere informatii sunt obligate sa o faca intr-un mod cat mai simplu si mai clar mentionand scopul de la inceput.

De asemenea, companiile trebuie sa le ceara persoanelor acordul de fiecare data cand vor sa le utilizeze adresa de e-mail pentru un alt scop decat cel initial. Un alt lucru pe care acestea vor trebui sa il aiba este un raport clar al activitatii si felului in care au fost folosite si stocate datele.

Ce inseamna date personale? Uniunea Europeana a extins definitia datelor personale, acestea incluzand pe langa nume, adresa, fotografii, amprenta si identitatile online precum adresele IP, adresele de e-mail, profilele de pe retelele de socializare si informatiile economice, culturale sau legate de sanatatea mentala a persoanelor.

Pseudonimele sunt considerate date personale daca persoana respectiva poate fi identificata dupa acestea. Orice care poate fi considerat date personale intra sub inflenta Protectei Datelor si GDPR.

GDPR ii obliga pe cei care utilizeaza date personale sa fie transparenti in ceea ce priveste modul in care au intrat in posesia lor si a modului in care le vor utiliza. Intregul proces trebuie sa fie clar si sa le fie explicat oamenilor. Persoanele vizate le pot cere companiilor sa le furnizezi informatii despre datele pe care acestea le detin in legatura cu ei si pot cere ca informatiile incorecte sa fie modificate sau sterse oricand vor. Persoanele pot avea acces la toate datele pe care o retea de socializare le detine despre ei si au dreptul sa solicite o copie a acestora sau stergerea permanenta.

De asemenea, oamenii au dreptul de a solicita ca informatiile despre ei sa fie sterse daca nu mai sunt absolut necesare pentru scopul cu care au fost colectate. Noul regulament le permite sa ceara ca datele lor sa fie sterse daca isi retrag acordul sau nu agreeaza modul in care sunt utilizate. Oamenii pot apela si la dreptul de a fi uitati, adica pot solicita sa fie sterse informatii si postari pe care companiile le-au postat pe retelele de socializare in timpul copilariei.

Compania care utilizeaza datele este responsabila pentru a le cere altor organizatii (de exemplu Google) sa stearga orice link care contine datele respective.

Cei care utilizeaza datele trebuie sa le detina intr-un format usor de folosit pentru a putea fi transferate altei companii, daca persoanele vizate solicita aceasta. Procesul trebuie sa se realizeze in cel mult o luna de la data solicitarii. Acest nou drept, denumit dreptul la portabilitate le permite oamenilor sa ceara ca datele sa le fie transmise unui alt operator pentru a le prelucra.

Este responsabilitatea companiei sa informeze autoritatea pentru protectia datelor despre orice violare a datelor, slabiciuni are sistemului sau posibile atacuri care risca drepturile si libertatile oamenilor, in maxim 72 de ore din momentul in care au sesizat acest lucru. De asemenea, trebuie sa informeze persoanele afectate despre incident. Companiile care nu respecta regulamentul risca sa fie sanctionate cu 2 % din profitul lor anual sau 10 milioane de euro.

Cei care prelucreaza date cu caracter personal trebuie sa evalueze sistemele detinute si modurile de prelucrarea a datelor prin prisma principiului asigurarii protectiei datelor. Printre acestea fac parte sistemele actuale care detin date personale precum cele ale clientilor si angajatilor, site-urile web, managementul relatiilor cu cilentii, sistemele de HR, servicii de stocare in cloud, cele de sincronizare a datelor, sisteme de e-mail, baze de date, servere, sisteme SharePoint si aplicatiile interne personalizate.

Companiile vor fi nevoite sa determine categoriile de date care le-ar putea aduce o notificare privind incalcarea securitatii datelor: baze de date, servere de fisiere, e-mailuri, medii de testare si dezvoltare care au copii ale sistemelor de productie, dispozitive de tip endpoint. De asemenea, este necesar sa stabileasca o baza legitima pentru fiecare prelucrare a datelor: consimtamantul persoanelor, precum si metode de stocare al acestuia sau de retragere.

Cei care prelucreaza date sunt nevoiti sa aiba un proces bine pus la punct de evaluare a riscurilor asupra drepturilor si libertatilor persoanelor vizate si sa ia masuri organizatorice si tehnice pentru protectia datelor. Limitarea accesului la datele personale, criptarea si pseudonimizarea sunt solutii pentru care se poate opta.

Revizuirea contractelor cu partenerii si adaugarea unor paragrafe in legatura cu protectia datelor personale este inca un lucru necesar prentru companii.

Pe langa documentarea tuturor activitatilor de prelucrarea a datelor, inca un aspect care nu va trebui ignorat este cel al distrugerii datelor. Deoarece informatiile nu vor mai putea fi stocate dupa ce scopul cu care au fost colectate a fost indeplinit, acestea trebuie distruse sau sterse. Fie ca este vorba de cele fizice sau cele electronice, modul in care acestea sunt eliminate trebuie sa fie sigur.

Incepand cu 25 mai 2018, companiile vor fi nevoite sa minimizeze cantitatea de date cu caracter personal prelucrate si sa poata proba conformitatea cu GDPR precum si scopul legitim pentru colectarea si prelucrarea datelor.