Cel mai "fierbinte" subiect al momentului privind colectarea datelor personale de la clienți de către magazinele online și nu numai. Mai exact, este vorba despre regulamentul impus în anul 2016 la nivelul Uniunii Europene (Nr.679/2016): GDPR sau Regulamentul General privind Protecția Datelor cu Caracter Personal.
Ce este Regulamentul General privind Protecția Datelor cu Caracter Personal?
GDPR, este un regulament care impune companiilor din Uniunea Europeana să protejeze atât datele personale cât și viața privată a cetățenilor din UE. Parlamentul European a adoptat "GDPR" în Aprilie 2016 cu scopul de a înlocui directiva învechită privind protecția datelor, adoptată în anul 1995. Astfel, companiile care colectează date personale despre cetățenii din Uniunea Europeana, aici sunt incluse și magazinele online, vor trebui să respecte reguli noi în ceea ce privește protejarea datelor personale.
De asemenea, GDPR reglementează inclusiv exportul de date cu caracter personal în afara UE (spre exemplu o companie din SUA care preia date din UE).
Nerespectarea acestui nou regulament va duce la sancționarea companiilor cu amenzi de până la 4% din cifra de afaceri anuală globală sau pana la 20 de milioane de Euro. În Romania, aplicarea acestor sancțiuni și controale revin în sarcina Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal - A.N.S.P.D.C.P.
În concluzie, dacă procesați date despre persoane fizice în contextul vânzării de bunuri sau servicii către cetățenii europeni din orice țară UE, atunci va trebui să vă conformați GDPR.
Ce tipuri de date personale protejează Regulamentul?
Orice informație referitoare la o persoana fizica sau la un "subiect de date", care poate fi utilizată pentru identificarea directă sau indirectă a persoanei. Poate fi orice, de la un nume, o fotografie, o adresa de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresa IP a computerului.
Informații de bază despre identitate - nume, adresa sau Codul Numeric Personal
- Datele web, - locația, adresa IP, datele cookie și etichetele RFID
- Date legate de sănătate sau date genetice
- Date biometrice
- Datele rasiale sau etnice
- Opiniile politice
- Orientare sexuala
Responsabilitatea pentru protecția datelor
Operatorul este compania care deține și administrează magazinul online; acesta este cel care preia și stabilește prelucrările care se aplică datelor cu caracter personal. Operatorul este direct responsabil de respectarea cerințelor regulamentului.
Împuternicitul este reprezentat de terții cu care operatorul colaborează sau lucrează pentru a-și desfășura activitatea. În cazul unui magazin online aceștia pot fi: platforme eCommerce, programatorii (dacă se lucrează cu freelanceri), firmele de curierat, serviciile de plata online, Facebook, Google Analytics, etc.
Acești terți au acces la datele cu caracter personal pe care operatorul le colectează, iar pentru aceasta este nevoie de un contract sau acord scris între operator și împuternicit, în care trebuie specificate exact natura prelucrărilor pe care acesta din urmă are dreptul să le efectueze.
Ce date cu caracter personal colectează un magazin online?
În funcție de ce date colectezi de la clienții tăi, în calitate de Operator trebuie să garantezi că datele sunt protejate. Atunci când vei avea un control legat de acest lucru, trebuie să demonstrezi faptul că garantarea confidențialității se aplică. În cazul în care nu beneficiezi de certificare SSL pentru magazinul online, este indicat să soliciți instalarea unui asemenea certificat, acesta fiind un factor în plus de protecție pentru protejarea datelor clienților.
Există mai multe tipuri de date și moduri în care un magazin online colectează date personale.
Exemple:
- La plasarea unei comenzi
Atunci când un client plasează o comandă, colectezi date pentru a emite documente precum factura, certificat de garanție și, totodată, pentru livrarea comenzii. Astfel, preiei date cu caracter personal cum ar fi nume, prenume, telefon, email, adresa, etc și va trebui să ii comunici clientului că aceste date vor fi folosite doar cu scopul de a emite documentele respective și pentru a livra comanda.
Observație: CNP-ul nu este obligatoriu pentru emiterea unei facturi, de aceea este inutil să stochezi o astfel o dată confidențiala atât de sensibilă dacă nu iți este necesară.
- La abonarea la newsletter
Dacă colectezi adrese de email pentru a face campanii de email marketing va trebui să informezi clientul despre tot ceea ce ii vei trimite pe email după abonare: oferte comerciale, notificări, ghiduri online, etc.
- Vizitatorii magazinului
Orice magazin online își măsoară traficul și își profilează vizitatorii care accesează site-ul. Acest lucru se realizează prin intermediul script-urilor sau a pixelilor de urmărire care se folosesc de adresele IP sau cookie-uri (poate fi menționat Google Analytics, instrument pe care aproape orice magazin îl folosește). 
De asemenea, aici poate fi menționat și Facebook cu aplicația prin intermediul căreia te poți înregistra sau comanda dintr-un magazin online cu ajutorul contului personal de Facebook. În acest mod, magazinul preia date personale de la Facebook.
- Datele persoanelor cu care colaborezi
Colectezi datele personale ale propriilor angajați, ale partenerilor cu care colaborezi sau ale candidaților prin intermediul CV-urilor pe care le primești de la aceștia.
Obținerea consimțământului
Pentru orice date personale pe care le colectezi, persoana de la care urmează să le preiei va trebui să fie înștiințată despre ceea ce vei face mai departe cu acestea, iar înștiințarea trebuie să aibă loc înainte de a realiza acțiunea, și nu după.
Dacă colectezi adrese de email cu scopul de trimite newsletter, va trebui să obții acordul pentru a folosi acea adresă, explicându-i viitorului abonat pentru ce o vei folosi, sau dacă dorești să trimiți oferte comerciale, noutăți din magazin, campanii de marketing, articole din blog sau alte lucruri pe care vrei sa le comunici prin intermediul email marketing-ului.
Important: Trebuie să le oferi abonaților posibilitatea de a se dezabona.
În concluzie, datele pe care le prelucrezi trebuie să fie:
- Exacte - să oferi posibilitatea clientului să își actualizeze datele
- Stocate pe o perioada determinată - nu pentru totdeauna
- Confidențiale
Observație: Toate bazele de date colectate până în 28 Mai 2018 trebuie să respecte regulamentul și nu trebuie să reconfirmi abonarea dacă ai obținut deja consimțământul în mod corect de la persoanele de la care ai colectat date cu caracter personal.
Cum protejezi datele personale?
Protejarea datelor cu caracter personal este o sarcină comună pentru Operator și Împuterniciți, astfel încât aceștia trebuie să asigure următoarele:
Confidențialitatea datelor - Datele cu caracter personal pe care magazinul tău online le colectează sunt confidențiale și va trebui să păstrezi confidențialitatea acestora și să nu le folosești în alte scopuri fără să anunți persoana de la care ai obținut consimțământul.
Accesul la datele personale - Orice persoană de la care ai colectat date va trebui să aibă acces la datele sale, de aceea operatorul va trebui să aibă capacitatea de a restabili disponibilitatea acestor date.
Ce faci în cazul unei breșe de securitate ?
Nu orice fel de breșă de securitate trebuie notificată autorității de supraveghere a datelor, ci trebuie analizată situația concretă, nu întotdeauna e vorba de riscuri pentru drepturile și libertăților persoanelor vizate de prelucrări
În cazul unei breșe de securitate cu riscuri, va trebui să informezi autoritatea reprezentată în Romania de către A.N.S.P.D.C.P. (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în maxim 72 de ore de la descoperirea breșei de securitate.
Fiecare proiect este unic! Îți propunem o întrevedere în care să detaliem nevoile tale specifice. Durata și costul unei implementări sunt influențate de mărimea companiei și mărimea volumului de date cu caracter personal procesate. Contactează-ne pe adresa office@webspring-design.ro sau la numărul de telefon 0722 277.360