Când vinzi produse online, trebuie să te asiguri că business-ul se desfășoară în conformitate cu prevederile Regulamentului General de Protecție a Datelor (GDPR). Văd multe magazine online care își configurează greșit fluxurile de date personale, care nu asigură securitatea datelor, care configurează greșit cookie-urile și filtrarea lor etc. Mai jos un scurt ghid de conformitate, pas cu pas.
- Ai identificat toate prelucrările de date personale din organizație? Nu vorbim doar de partea de completare a formularelor de contact, comandă, înscriere la newsletter sau similare ci și de colectarea datelor pentru loguri, de monitorizarea activității utilizatorului pe site de către tine sau de către terțe părți gen Facebook Connect sau Google Analytics. Știi TOATE prelucrările?
- Odată prelucrările identificate, este momentul să identificăm toate terțele părți. Cu siguranță ai următoarele: hosting, procesator de plăți, curier. Pe astea le ai sigur. Mai poți avea newsletter externalizat (gen Mailchimp), tracking (Google, Facebook, Hubspot, Hotjar, Exponea etc), live chat (LiveZilla), diverse integrări de marketing automation oferite de terțe părți etc. Toate acestea trebuie identificate, și odată cu ele rolul lor (operator, persoană împuternicită sau operator asociat), temeiul legal al transferului, garanțiile suplimentare dacă vorbim de transfer în afara UE (cam tot ce înseamnă Mailchimp, Google, Facebook, Hubspot, Hotjar – atenție s-ar putea să nu poți DELOC transfera date către ele, vezi cazul Schrems II), ce anexe de prelucrări de date trebuie semnate cu fiecare, dacă pot fi negociate etc.
- Odată ce am stabilit prelucrările și terțele părți implicate, trebuie să identificăm temeiurile legale pentru fiecare prelucrare. Consimțământul este unul dintre ele, merge pentru consimțământul cookie-urilor și pentru înscrierea la newsletter. La restul avem alte temeiuri legale.
- Trebuie acum să ne asigurăm că respectăm toate principiile GDPR. Recomand să începeți cu minimizarea datelor, de obicei se colectează prea multe date personale pentru un scop. Continuați cu claritatea scopului fiecărei prelucrări, cu modalități de a verifica corectitudinea datelor (procedură pentru identificarea corectă a clientelei, pentru update-ul datelor personale), stabilirea de termene de ștergere pentru fiecare categorie de date personale (nu există „cât timp ne obligă legea” – trebuie spus clar un an, trei ani, șapte ani, cincizeci de ani etc). Mai sunt câteva principii dar ne ocupăm imediat de ele.
- Odată ce am minimizat datele personale prelucrate, am clarificat fiecare scop și fiecare temei legal asociat fiecărui scop, am stabilit ce și când expiră (nu uitați că fiecare cont de utilizator are un expiration date – recomand să se ia în considerare ultimul login și să se pună o perioadă rezonabilă de timp, de la 1 la 3 ani), știm să identificăm corect clientul fără să îi cerem copia de carte de identitate, este momentul să identificăm ce drepturi au persoanele vizate și cum și le pot exercita. Atenție – nu oricine are toate drepturile! Dreptul de export al datelor nu se aplică la toate datele personale prelucrate și nici dreptul de opoziție!
- Identificăm căi de extragere a tuturor datelor personale prelucrate pentru o persoană vizată. Este CRITIC să putem să scoatem o copie a tuturor datelor personale, drepturile se pot exercita doar când știm ce date prelucrăm. La cererea de acces (art 15) oricum trebuie să dăm o copie completă a datelor. Atenție, un client poate fi și un fost angajat, curier, responsabil la partener, etc. Deci trebuie să avem datele digitalizate, bine indexate, metadate asociate astfel încât să le găsim repede!
- Odată ce am stabilit toate cele de mai sus, este momentul să le comunicăm și persoanelor vizate. Acest lucru se face prin notificări de confidențialitate sau de prelucrare a datelor scrise pe limbajul clienților. Mai multe detalii AICI. Atenție, NU COPIAȚI aceste notificări de pe alte site-uri. Fiecare are prelucrările lui. De asemenea, limbajul trebuie să fie „customer-friendly”, nu avocățesc. Nu menționați articole, paragrafe etc, ci chestii citibile și ușor de înțeles. Puteți face și filmulețe, infografice, etc. Uite ce treabă bună a făcut EasyJet. Așa demonstrați respectarea principiului transparenței.
- Atenție la ce cookies aveți pe site. La mulți clienți m-am trezit cu cookies „uitate” de programatori. Atenție la ce cookies vă „injectează” diverse plug-in-uri, gen filmuleț Youtube embedded (așa, vreo 10). Nu uitați că trebuie să respectați principiul minimizării datelor! Cookie-urile non-necesare (cele fără de care site-ul nu merge) trebuie blocate by-default până la consimțământul explicit al utilizatorului. Nu folosiți plug-in-uri gen „prin continuarea navigării vă exprimați consimțământul…” că sunt ilegale. Nu lansați cookie-urile înainte de plug-in-ul de consimțământ că orice tool de detectare cookies gen Ghostery le vede. Și vă treziți cu plângeri.
- Nu uitați de restul documentației și a task-urilor: training angajați, training call-center (și documentare prelucrări), registrul prelucrărilor de date, anexe la contractele de muncă, adăugarea politicii interne de prelucrare a datelor la regulamentul de ordine interioară, politici și proceduri interne de prelucrare a datelor, documentarea tuturor riscurilor și a măsurilor tehnice și organizaționale de atenuare a lor, testarea măsurilor, calendarul auditorilor interne etc.
Conformitatea este treaba fiecăruia și fiecare trebuie să știe ce poate și ce nu poate face. De aceea training-urile Personal Data Trainings by Tudor Galoș Consulting vă pot ajuta să înțelegeți și să executați toți pașii necesari pentru a vă asigura conformitatea cu GDPR.