Ce înseamnă noua GDPR pentru magazinele online din România?

by | Oct 13, 2017 | E-commerce

general data protection regulation GDPR

Noua legislație GDPR (General Data Protection Regulation) a fost aprobată în aprilie 2016 și publicată în European Official Journal în mai 2016. Ea a intrat deja în vigoare, însă sancțiunile pentru nerespectarea ei se vor aplica de la 25 mai 2018, ca toate entitățile vizate să aibă o perioadă de tranziție pentru implementare.

Penalitățile pentru companiile care nu respectă prevederile GDPR după 25 mai 2018 vor fi destul de severe (4% din cifra anuală de afaceri, sau până la 20 de milioane de EURO).

date online vulnerabile

De ce GDPR?

Cum în ultimii 20 de ani internetul s-a dezvoltat foarte mult și pe alocuri haotic, și cum nișa de servicii și tranzacții online a luat de asemenea amploare, era necesară o legislație cvasi-universală care să minimizeze riscurile aferente. Noul act normativ GDPR se va aplica practic aproape peste tot în lume, pentru că vizează nu doar companiile și utilizatorii din UE, ci și toate entitățile care au clienți în UE.

Atât consumatorii cât și companiile care operează în online își expun datele personale sensibile (inclusiv financiare) la diverse riscuri.

Asta se întâmplă pentru că traseul datelor este de multe ori necunoscut, și odată ce ele sunt oferite unei terțe părți, proprietarul lor pierde controlul asupra lor.

Consimțământul de folosire a datelor noastre este în prezent greu de retras odată oferit. De asemenea, în cazul unei scurgeri de informații sau atac cibernetic, este greu de găsit responsabilul principal.

În acest context, o legislație umbrelă (trans-națională), care să dea proprietarilor mai mult control asupra datelor lor online, este binevenită. Desigur, ea va presupune eforturi de adaptare din partea multor companii, însă totul va fi spre binele comun.

securizare date din cloud

Ce schimbări aduce GDPR?

Concret, oricine colectează datele personale ale altor utilizatori de internet trebuie să se asigure că îndeplinește următoarele condiții:

  • Că are consimțământul explicit al persoanelor ale căror date sunt colectate;
  • Că întrebarea privind consimțământul este pusă explicit și într-o formă ușor de înțeles;
  • Că se menține apoi o transparență totală față de utilizator în legătură cu modul în care sunt gestionate datele lui / ei;
  • Că se lasă utilizatorului opțiunea facilă de a modifica felul în care sunt folosite datele sale, adică de a retrage total sau parțial consimțământul pentru folosirea lor;
  • Că datele colecționate sunt criptate și protejate de măsuri cibernetice de siguranță;
  • Că nu sunt permise scurgerile de informații către entități terțe, decât atunci când este absolut necesar pentru buna desfășurare a activității; iar în acest caz trebuie obținut din nou consimțământul utilizatorului;
  • Că există o hartă a procesării datelor în organizație, care arată clar cine sunt persoanele responsabile și la ce fel de date au acces.

Entitățile vizate de aceste măsuri pot fi atât companii, cât și instituții publice, ONG-uri sau persoane fizice autorizate, dacă ele desfășoară o activitate de colectare a datelor cu caracter personal de la utilizatori ai internetului.

Până recent, companiile care procesau datele personale ale utilizatorilor de internet trebuiau să se înregistreze la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

De acum înainte, această înregistrare nu mai este necesară, fiecare companie fiind responsabilă pe cont propriu pentru respectarea măsurilor prevăzute de GDPR.

În schimb, în cazul unui atac cibernetic sau a oricărui alt tip de încălcare a securității datelor pe care o companie le stochează, ea trebuie să anunțe ANSPDCP-ul în termen de maximum 72 de ore de la producerea incidentului.

Pe lângă simpla respectare a prevederilor europene, orice entitate (persoană fizică autorizată, companie, ONG, etc.) care procesează date cu caracter personal trebuie să elaboreze o documentație formală prin care să arate cum anume sunt implementate aceste măsuri. Voi da exemple concrete în cadrul unui scurt ghid de bune practici mai jos.

cheia de acces la date informatice

Ce înseamnă GDPR pentru zona de e-commerce?

Dacă ești…

A. Un magazin online

…Atunci trebuie să te asiguri că:

  • Ai consimțământul explicit al utilizatorilor pentru toate comunicările tale de marketing, în urma unor formulări clare, pe înțelesul tuturor;
  • Ai un sistem de protecție a datelor lor (certificate SSL, encripție etc.)
  • Utilizatorii tăi știu ce alte entități mai sunt implicate în gestionarea datelor lor (procesatorul de plăți online, companiile de marketing precum Google Analytics, Facebook etc.);
  • Toate aceste terțe entități implicate pot pune la dispoziția utilizatorului sau a autorităților un comunicat prin care arată cum anume asigură protecția datelor și ei;
  • Asiguri transparență totală a procesului tău de gestiune a datelor personale, atât pentru utilizatori cât și pentru autoritățile naționale ale Uniunii Europene;
  • Este ușor pentru utilizator să își retragă consimțământul dat pentru modul în care sunt folosite datele lui, parțial (să se dezaboneze de la newsletter, de exemplu, dar nu și de la ofertele personalizate, sau fără să își șteargă contul de client de pe site-ul tău) sau total (să îi ștergi toate datele lui personale din sistemul tău sau al terților);
  • Datele personale stocate ale utilizatorilor sunt păstrate într-un format portabil (ușor de transferat online în alte sisteme), în eventualitatea în care clientul cere un transfer către un alt procesator, sau în cazul în care această cerere vine din partea autorităților;
  • În cazul unui atac cibernetic care afectează datele stocate ale utilizatorilor, nu doar iei toate măsurile necesare pentru documentarea incidentului și remedierea lui, dar și informezi utilizatorii în maximum 72 de ore de la producere.

B. O companie cu un serviciu software care procesează date pentru terți.

…Atunci trebuie nu doar să te asiguri că îndeplinești toate condițiile prescrise de GDPR, valabile pentru magazine (vezi mai sus), ci și că numești (sau angajezi) un Data Protection Officer (DPO) care să fie responsabil de toate măsurile de protecție a datelor gestionate.

Reține și că prevederile GDPR se aplică și companiilor cu o activitate B2B (business to business), și că asta nu se limitează doar la protejarea datelor personale ale cetățenilor UE, ci și a datelor sensibile ale altor companii.

C. Un utilizator de internet, client al magazinelor online

…Atunci trebuie să știi că ai dreptul la intimitate și securitate, și că poți cere oricând unei companii către care ți-ai dat datele personale să:

  • Nu îți mai trimită mesaje de marketing, solicitate în trecut sau nesolicitate (spam), sau să te dezaboneze doar de la o parte din comunicatele lor către clienți;
  • Îți șteargă datele personale cu totul (să te uite), însă trebuie să reții că asta vine și cu pierderea avantajelor de membru sau client;
  • Îți ofere informații despre modul în care sunt gestionate și protejate datele tale.

date online protejate

Ghid de bune practici GDPR pentru magazine, în 7 pași

1. Adaptează paginile de legalități a magazinului online și soft-ul de marketing automat

1.1. Paginile de legalități.

Verifică paginile de legalități ale magazinului tău și adu-le la o nouă formă. La final ar trebui să ai:

  • O pagină de Termeni și condiții
  • O pagină legată de Protecția datelor cu caracter personal
  • O pagină legată de Politica utilizării cookies (opțional).

Până recent, majoritatea magazinelor online aveau pe site doar primele două pagini, iar cea privind datele cu caracter personal era deseori numită Politica de confidențialitate.

Pentru mai multă transparență, este bine să numești pagina direct Protecția datelor cu caracter personal, sau Politica de protecție a datelor cu caracter personal.

De asemenea, tot privind transparența, e bine să reții că textul directivei GDPR menționează clar că aceste pagini trebuie să conțină informații simplu de înțeles, formulate pentru utilizatorul obișnuit. Cu alte cuvinte, s-a terminat cu paginile de termeni și condiții generate semi-automat, în jargon legal, pe care aproape nimeni nu le parcurgea cu atenție.

În aceste pagini, și mai ales în pagina legată de protecția datelor personale, trebuie să descrii pe scurt procesul prin care asiguri confidențialitatea datelor colectate, precum și orice altă informație relevantă.

De exemplu, tot aici trebuie să menționezi alte entități cărora le acorzi acces la datele colectate, și de ce acest lucru este necesar. Aceste terțe părți pot fi: Google pentru Analytics, Facebook și alte platforme de socializare pentru reclame, alte instrumente de marketing etc.

1.2. Soft-ul de marketing automat.

Dezactivează din software-ul de marketing folosit orice tip de opt-in by default pentru utilizatori.

La fel, revizuiește toate landing pages din site ca să te asiguri că nu rămâne nicio pagină unde căsuțele de abonare la newsletter sau vreun alt tip de captare a datelor personale să fie bifate automat. În termenii GDPR, acesta este principiul de privacy by design.

Principiul de bază trebuie să fie optarea conștientă și explicită a utilizatorilor pentru fiecare tip de procesare în parte. Cu alte cuvinte, acordul pentru orice tip de acțiune care privește datele personale ale utilizatorului (abonare la newsletter, abonare la alte mesaje de marketing, păstrarea datelor lor pentru statistici de utilizare a site-ului, păstrarea datelor pentru crearea contului de client în site etc.) trebuie obținut individual.

2. Cere terților cu care colaborezi să îți pună la dispoziție o documentație de protecție a datelor

Toți acești terți cu care colaborezi, precum și serviciul IT care protejează serverul pe care stochezi datele (anti-virusul, certificatul SSL cumpărat) trebuie să aibă proceduri clare de protecție a datelor personale.

În colaborarea ta cu ei, trebuie să te asiguri că aveți un contract de furnizare de servicii, și că în acest contract se face o referire clară la politica lor de protecție a datelor în conformitate cu noile reguli GDPR.

Dacă este vorba despre un serviciu temporar, poate fi suficientă și o factură în loc de contract, însă tot este necesar să te asiguri că politica lor de protecție a datelor este documentată și disponibilă oricui (inclusiv proprietarului datelor cu caracter personal).

post it cu desen lacat securitate online

3. Creează o platformă unică unde stochezi datele personale pe care le procesezi

În prezent, majoritatea magazinelor online colectează date personale (mai ales de contact pentru clienți existenți sau clienți potențiali) din surse multiple, și toate acestea sunt salvate de obicei separat.

Un magazin cu o prezență pe mai multe platforme are o listă de fani pe Facebook, una de urmăritori pe Instagram sau Pinterest, o listă de abonați la newsletter prin email marketing, o listă de date ale clienților înregistrați pe site și așa mai departe.

De multe ori, mesajele de marketing (pe email, de exemplu), sunt trimise în masă către toate contactele, fără să se mai țină o evidență clară asupra următoarelor aspecte:

  • De unde provine acest contact (este o adresă de mail folosită pentru contul de client sau strict pentru vreo platformă socială?)
  • Cum a fost recrutat / cum s-a abonat (platforma / mijlocul de opt-in folosit);
  • Pentru ce tipuri specifice de comunicații și-a dat consimțământul.

Odată ce prevederile GDPR vor intra în vigoare, va fi necesară, pe de o parte, o evidență precisă a acestor aspecte, și pe de altă parte și o bază centralizată de date, pentru a minimiza riscul scurgerilor de informații și pentru a arăta clar cum sunt datele protejate.

Sugestia DWP:
  • Creează pentru început un raport Excel în GDrive de pe un cont de email la care să aibă acces strict persoanele direct implicate în coordonarea marketing-ului. În acest raport poți ține o evidență multiplă a persoanelor de contact, cu adrese de email pentru corespondență, adrese pe care le folosesc pentru Facebook (dar care nu sunt potrivite pentru email marketing), precum și consimțământul explicit pe care și l-au dat pe fiecare tip de activitate de marketing în parte.
  • Plecând de la acest document, poți lua deciziile de marketing mai ușor și poți crea liste de contacte pentru fiecare comunicare pe care o planifici, fără să riști să încalci un acord.
  • Păstrează în drive-ul asociat aceluiași cont toate datele care pot proba consimțământul clienților pentru procesarea datelor lor.
  • Când un contact îți cere să nu îi mai trimiți un anumit tip de comunicări sau să îl uiți cu totul, actualizează urgent informațiile. Asigură-te că soft-ul de automatizare a marketing-ului își ia listele de contacte din baza ta de date în real time.
  • Pe măsură că business-ul tău crește, poți apela la o soluție profesională de management al datelor. Pe piață există numeroase soluții software specializate.

4. Asigură-te că datele sunt protejate corespunzător

Platforma unică unde stochezi datele personale și consimțământul dat trebuie să fie securizată. Asta presupune îndeplinirea următoarelor condiții:

  • Protecția bazei de date împotriva accesului neautorizat (malware, phishing), printr-o soluție de tip anti-virus și anti-malware;
  • Pseudonimizarea datelor personale stocate, în așa fel încât în relația cu unii dintre prestatorii de servicii care au acces la aceste date, să le puteți oferi doar acces la varianta pseudonimizată;
  • Capacitatea de a restabili disponibilitatea datelor în cazul unei breșe în securitatea lor, sau a unui accident informatic (prin back-up-uri programate automat);
  • Autorizarea unui număr limitat de operatori și prestatori de servicii pentru accesul la date, doar pe bază de contract și evidențe procedurale clare;
  • Păstrarea într-un dosar a documentației de protecție a datelor a acestor terțe părți care mai au acces la date.

5. Dezvoltă un mecanism intern de istoric și management al datelor

Prevederile noii GDRP cer fiecărei companii să poată pune la dispoziția autorităților, dacă este necesar, două tipuri de documentații:

  • Harta circulației datelor personale în companie;
  • Un istoric detaliat al procesării lor.

Primul document trebuie realizat prioritar, din momentul în care începi să te pregătești pentru implementarea GDPR. Nu poți vedea unde sunt punctele slabe ale securizării datelor pe care le procesezi, până când nu este clar cum sunt ele procesate, ce departamente și persoane au acces la ce date și unde sunt ele transmise mai departe, stocate, ș.a.m.d.

A doua parte a documentației necesită crearea unei proceduri interne de lucru care să fie apoi respectată de toate persoanele implicate în traseul datelor procesate. Prevederile GDPR lasă greutatea evidenței și a dovezilor de corectitudine în sarcina companiilor, deci trebuie să te asiguri că tot ceea ce se face (ștergeri la cererea utilizatorului, procesări, transmiteri, etc.) este documentat în mod detaliat și consistent.

6. Asigură o comunicare transparentă și deschisă cu proprietarii datelor (utilizatorii)

Legea europeană pentru protecția datelor cu caracter personal prevede o transparență totală față de utilizatori în privința modului în care datelor lor sunt folosite.

Poți aplica asta în doi pași:

  • Când un utilizator optează să fie de acord cu procesarea datelor lui personale, îi informezi întâi despre toate terțele părți care vor avea acces la ele și de ce asta este necesar, precum și despre cum vor fi datele protejate;
  • Când se schimbă ceva în traseul informației (închei un contract cu un nou provider de soluții IT sau terță entitate care va avea acces la date, de exemplu), îți informezi utilizatorii care ți-au acordat dreptul de a le procesa datele și ceri din nou acordul lor explicit pentru continuarea procesării.

7. Fii atent la reînnoirile de contracte și abonamente!

Ca ultimă notă, nu uita să verifici dacă totul rămâne la fel în cazul reînnoirilor de contracte și abonamente cu furnizorii de servicii care au și ei acces la datele utilizatorilor tăi. Orice schimbare care afectează modul în care datele sunt procesate trebuie anunțată, iar acordul explicit al utilizatorilor trebuie obținut din nou.

8. Fii pregătit pentru situații limită

În momentul în care securitatea datelor a fost compromisă, indiferent de cauză (adică indiferent dacă sursa a fost un atac cibernetic sau o scurgere de informații internă), trebuie să ai resursele de a detecta asta și de a raporta mai departe în maximum 72 de ore.

Trebuie să anunți atât Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și utilizatorii potențial afectați.

imagine cu client fericit smiley face emoticon

Pare stufos și prea complicat pentru UX?

Nu-ți face probleme. Implementarea noilor prevederi GDPR va fi, într-adevăr, o provocare.

Însă după ce te asiguri că procesul este implementat cum trebuie, te vei putea bucura de avantaje de imagine în fața clienților tăi.

Cererea frecventă a consimțământului lor și informarea la orice schimbare nu trebuie să fie sufocantă sau generatoare de neîncredere, dimpotrivă.

Cu un mesaj de branding potrivit, utilizatorii tăi vor vedea că spre deosebire de alte magazine online, tu depui toate eforturile pentru protecția lor. Imaginea ta va avea numai de câștigat.

Surse imagini: Depositphotos.com.

Miriam Cihodariu

Miriam Cihodariu

Ecommerce Strategy Director

Miriam a făcut parte din grupul inițial de 4 copywriteri care a pus bazele companiei noastre, după care ne-am dezvoltat împreună. Background-ul ei este unul academic, în cercetare socială și antropologie. O fascinează oamenii și ce îi motivează, precum și schimbările pe care le aduce spațiul digital. De aici îi vin creativitatea și rapiditatea cu care învață lucruri noi.