Înapoi
E-commerce

GDPR Pregătire: Un Rezumat al Informațiilor Esențiale pentru Proprietarii de Magazine Online

Ce este GDPR (GDPR)?

Noul Regulament de Protecție a Datelor va înlocui pachetul legislativ și liniile directoare ale UE care sunt în vigoare din 1995. Directivele care sunt deasupra legii naționale a fiecărei țări și sunt obligatorii pentru fiecare operator de date care procesează datele cetățenilor UE au intrat în vigoare pe 25 mai 2018.

Regulamentul General privind Protecția Datelor (GDPR) este relevant pentru toate companiile care au baze de date cu clienți și se angajează în marketing direct, precum și pentru entitățile care procesează sau gestionează datele cetățenilor UE. Înainte ca regulamentul să intre în vigoare, companiile trebuie să se pregătească adecvat, motiv pentru care am selectat punctele relevante ale regulamentului pentru proprietarii de magazine online.

Merită subliniat că majoritatea legilor sau obligațiilor, cum ar fi necesitatea de a fi înregistrat în registrul operatorilor de date, încetează să fie valabile din aceeași zi, astfel încât întreprinderile mici și mijlocii din Lituania se pregătesc inadecvat pentru implementarea acestor legi din cauza zvonurilor care circulă și a altor informații inexacte. Scopul acestei intrări și descrieri este de a familiariza proprietarii de comerț electronic cu practicile corecte și necesare și de a oferi informații concise și specifice.

De ce este necesar să te pregătești pentru GDPR?

Încălcările sunt categorisite în încălcări minore și majore. Pentru încălcările minore, se impun amenzi administrative de până la 10.000.000 Eur sau, în cazul unei companii, până la 2% din cifra de afaceri anuală, în funcție de care sumă este mai mare. Pentru încălcările majore, se impun amenzi duble: până la 20.000.000 Eur sau până la 4% din cifra de afaceri anuală (din nou, aceasta se referă la suma care este mai mare).

Încălcări minore:

Încălcarea procedurii de exercitare a drepturilor subiecților de date

Necooperarea cu autoritatea de supraveghere

Angajarea necorespunzătoare a procesatorilor de date sau formalizarea necorespunzătoare a relațiilor cu aceștia

Procesarea datelor efectuată de procesatorul de date fără instrucțiunile operatorului de date

Nefurnizarea de informații despre încălcările securității datelor

Încălcări majore:

Încălcări ale principiului limitării scopului și toate celelalte încălcări ale principiilor fundamentale (acuratețe, durata stocării, etc.)

Procesarea categoriilor speciale fără o excepție care să o permită

Implementarea drepturilor subiecților de date

Transfer ilegal de date către un destinatar de date într-o țară terță

Până în prezent, există zvonuri teoretice că companiile vor fi mai întâi consultate la identificarea încălcărilor; cu toate acestea, merită menționat că regulamentul în sine nu prevede niciun avertisment și stipulează imediat aplicarea sancțiunilor și penalităților administrative.

Ești interesat de integrarea PrestaShop? Vei găsi mai multe informații făcând clic pe acest link.

Concepte cheie

Date personale – orice informație legată de o persoană fizică identificată sau identificabilă, adică informații despre o persoană a cărei identitate este clară sau poate fi stabilită cel puțin prin obținerea de date suplimentare.

În acest caz, trebuie menționat că protecția datelor se aplică persoanelor fizice, în timp ce toate noile reguli și legi GDPR nu se aplică entităților juridice. Cu toate acestea, adresa de email a unui angajat al unei entități juridice, care include prenumele și numele de familie, este deja protejată de legea GDPR menționată anterior. De exemplu, richard.smaizys@prestarock.com este considerată informație protejată, în timp ce info@prestarock.com nu este.

Proprietarii de comerț electronic ar trebui să fie preocupați și de detalii precum mărimea pantofilor sau mărimea rochiei, care, atunci când sunt legate de un individ specific și identitatea acestuia, sunt deja considerate informații private care sunt protejate și reglementate. Același lucru se aplică adreselor IP, prenumelor, numelor de familie, informațiilor despre adresă și altor elemente evidente.

Un alt exemplu fundamental interesant: stocarea unui număr de telefon împreună cu un prenume și un nume de familie într-un telefon atunci când se pregătește, de exemplu, o ofertă. În principiu, aceasta constituie, de asemenea, date care sunt reglementate în exemplele descrise ulterior. Practic, fără a continua să lucrați cu clientul (după ce ați trimis o propunere, dar nu ați câștigat-o), ar trebui să ștergeți acele date. Cu alte cuvinte, acest exemplu a avut scopul de a arăta că datele reglementate teoretic includ chiar și cele pe care le introduceți în agenda telefonului mobil (prenumele, numele de familie, numărul de telefon al angajatului clientului).

Procesarea datelor personale înseamnă ‘orice operațiune sau set de operațiuni efectuate asupra datelor personale, fie prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, regăsirea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau punerea la dispoziție în alt mod, alinierea, combinarea, blocarea, ștergerea sau distrugerea.’ Merită menționat, de asemenea, că termenul ‘procesare’ cuprinde acțiuni prin care datele personale ale unui operator de date sunt transferate în responsabilitatea altui operator de date.

Operatorul de date este, în esență, cel care obține prima dată permisiunea de a colecta și procesa acele date și le stochează.

Procesatorul de date este cel care are permisiunea operatorului de date, iar individul este informat că acest procesator specific poate procesa datele, ceea ce fac conform conceptului descris anterior.

Într-un caz specific de comerț electronic, operatorul de date ar fi proprietarul magazinului online, în timp ce procesatorul ar fi compania care furnizează serviciul, care colectează adresele indivizilor și ulterior le stochează, procesează și le folosește în alt mod pentru a efectua serviciul. În înțelegerea noastră, un procesator de date include, de asemenea, compania de găzduire care furnizează găzduirea fizică a serverului, programatorii care au capacitatea de a accesa, gestiona, filtra, procesa, colecta și gestiona în alt mod datele personale, etc.

Ofițerul de protecție a datelor (un concept relevant doar pentru companiile mari cu mulți angajați și care colectează cantități mari de date) este un intermediar între autoritățile de supraveghere și departamentele de resurse umane ale companiei, diviziile, indivizii ale căror date sunt colectate (utilizatori, clienți, parteneri, vizitatori ai site-urilor web și informații capturate de camerele de supraveghere video, etc.).

În companiile a căror activitate principală este procesarea datelor, unde se efectuează operațiuni continue cu date (de exemplu, o firmă de contabilitate) datorită dimensiunii sau impactului lor mare, precum și în companiile din categoriile speciale (sănătate, etc.), un ofițer de protecție a datelor trebuie să fie numit de autorități.

Un astfel de ofițer în companie trebuie să fie implicat în toate procesele de procesare a datelor, independent de alte poziții și angajați, trebuie să fie furnizat cu resursele necesare, trebuie să fie accesibil constant (în special în cazul unei încălcări, pentru a reacționa teoretic imediat sau în termen de 24 de ore), și este practic coordonatorul conformității cu regulamentul de date.

O încălcare a securității datelor – o încălcare a securității care rezultă în distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea neautorizată a sau accesul la date. Recomandăm ca companiile să aibă o procedură predefinită de încălcare a securității datelor, care să vă permită să evaluați amploarea și extinderea riscului emergent, deoarece acest lucru va determina dacă trebuie să informați suplimentar autoritățile de supraveghere și subiectul datelor în termen de 72 de ore de la apariția încălcării. În orice caz, fiecare companie trebuie să mențină un registru al încălcărilor securității datelor, indiferent de dimensiunea vulnerabilității.

Evaluarea impactului asupra protecției datelor personale (o nouă evaluare necesară doar pentru noi sisteme sau procese, nu se aplică proceselor existente aprobate ale companiei sau operaționale) – este un proces conceput pentru a descrie, evalua necesitatea și proporționalitatea, și a ajuta la gestionarea riscurilor care pot apărea din drepturile și libertățile indivizilor atunci când se procesează date personale. O evaluare corect efectuată poate ajuta mai ușor să vă dovediți cazul în cazul unui incident sau conformității cu cerințele GDPR. O evaluare trebuie efectuată atunci când se referă la categorii specializate (sectorul sănătății, etc.), monitorizare și colectare de date la scară largă, operațiuni specificate la nivel național care necesită evaluare, etc.

Principiile protecției datelor discutate în GDPR

Principiul legalității, corectitudinii și transparenței – clientul este informat despre datele colectate pe baza unui acord explicit, mai degrabă decât implicit

Principiul limitării scopului – fiecare set de date sau procesare a datelor personale necesită un scop clar definit. Aceleași date colectate nu pot fi utilizate pentru un alt scop dacă individul ale cărui date sunt procesate nu a oferit consimțământul pentru acel scop.

Principiul minimizării datelor – datele inutile și neutilizate ar trebui teoretic să fie șterse imediat și să nu fie reținute. Un exemplu interesant descris anterior: stocarea unui număr de telefon împreună cu un prenume și un nume de familie într-un telefon atunci când se pregătește, de exemplu, o ofertă. În principiu, acestea sunt, de asemenea, date care sunt reglementate și descrise în exemple. Practic, fără a continua să lucrați cu clientul (după ce ați trimis o propunere, dar nu ați câștigat-o), ar trebui să ștergeți acele date.

Principiul acurateței – datele sunt utilizate doar pentru scopurile pentru care a fost permis să fie utilizate.

Principiul limitării stocării – operatorul de date definește clar și informează individul cât timp va reține datele în sistemele lor și, ulterior – cum și când le va șterge.

Principiul integrității și confidențialității

Baze legale pentru procesarea datelor (când datele pot fi procesate)

Executarea contractului – se recomandă să se bazeze pe aceasta atunci când este necesar să se proceseze date pentru a îndeplini obligațiile contractuale.

Consimțământ – se recomandă să se bazeze pe aceasta atunci când subiectul datelor a dat consimțământul pentru ca datele lor personale să fie procesate pentru unul sau mai multe scopuri specifice. Consimțământul trebuie să fie demonstrabil (acord explicit, nu implicit), trebuie să fie revocabil de către utilizatorul însuși, și acest lucru trebuie să fie făcut nu mai complicat decât este convenit, iar consimțământul trebuie să fie voluntar și separat de scop.

Interese legitime – se recomandă să se bazeze pe aceasta atunci când procesarea datelor este necesară pentru interesele legitime ale operatorului de date sau ale unei terțe părți, cu excepția cazului în care aceste interese, drepturi și libertăți ale subiectului datelor, care necesită protecția datelor personale, sunt depășite, de exemplu, în cazul minorilor, etc.

Temeiurile pentru procesarea categoriilor speciale de date sunt, de asemenea, identificate specific: consimțământ, obligație legală, interese de apărare, procesarea datelor disponibile public, dosare medicale, etc.

Ce trebuie să știți dacă transferați date în afara SEE?

Dacă transferați date în afara SEE, este necesar cel puțin unul dintre temeiurile speciale:

Decizie de adecvare a CE

Reguli obligatorii pentru companii

Clauze standard de protecție a datelor

Cod de conduită aprobat

Mecanism de certificare aprobat