În fiecare zi te „intersectezi” inevitabil cu Internetul: faci plăți online, trimiți mailuri, socializezi online, îți faci cumpărăturile online și folosești aplicații pentru orice. De cele mai multe ori ești nevoit să îți creezi conturi în care îți introduci datele personale necesare. Acestea, împreună cu alte informații cum ar fi datele bancare, IP-ul sau istoricul de navigare, sunt stocate în baze de date virtuale. Ele sunt procesate și interpretate apoi de către companii cu scopul de a ne oferi experiențe personalizate.
Întrebarea noastră este: știm cu adevărat ce se întâmplă cu datele noastre după ce le oferim în doar câteva clickuri?
Uniunea Europeană deja a răspuns acestei întrebări și, ca rezultat, GDPR intră în vigoare pe 25 mai 2018.
Ce este GDPR?
General Data Protection Regulation (Regulamentul General de Protecție a Datelor – prescurtat în română RGPD) este legea care va produce schimbări majore în toate companiile, indiferent de dimensiunea lor, care au baze de date și care prelucrează date personale ale clienților sau ale angajaților.
Această lege intră în vigoare pe data de 25 mai 2018, așa că trebuie să fii pregătit cu toate resursele pentru a fi conform cu noua lege de protecție a datelor personale.
Ce amenzi implică neconformarea la GDPR?
Penalizările pentru încălcarea acestei legi vor fi destul de severe: dacă business-ul tău nu se va conforma noilor reglementări vei fi pasibil de amendă până la 4% din cifra globală de afaceri sau până la 20 milioane de euro, oricare dintre aceste două valori este mai mare.
Cum sunt afectați cetățenii de GDPR?
GDPR marchează cea mai mare schimbare în protecția datelor din ultimii 20 de ani. Ea vizează toate datele personale ale cetățenilor europeni care sunt stocate și prelucrate de către companii, indiferent dacă datele provin din spațiul public, privat sau profesional al indivizilor.
Legea dezvoltă 8 drepturi fundamentale ale cetățenilor ilustrate în infograficul următor:
Sub umbrela GDPR, Uniunea Europeană oferă cetățenilor control total asupra modului în care companiile prelucrează și folosesc datele lor personale.
Ce trebuie să fac pentru a fi conform cu GDPR?
GDPR este o certitudine. De aceea, toate modificările și procedurile obligatorii trebuie să devină activități de rutină în afacerea ta. Pentru a te asigura că respecți toate regulile și că ești pregătit pentru schimbări, urmărește implementarea acestor 10 pași:
1. Informează-te!
În primul rând, este foarte important să știi ce tip de informații cu caracter personal deține compania ta și care este procesul de prelucrare. Asigură-te că ai citit și că ai înțeles legea. Discută cu managerii și persoanele din compania ta care sunt implicate în prelucrarea datelor și asigură-te că și ei cunosc implicațiile legii. Până la urmă, voi sunteți cei care vă cunoașteți cel mai bine afacerea.
Citește regulementul oficial GDPR AICI.
2. Fă un audit!
Este vital să te asiguri că business-ul tău deține toate uneltele tehnologice necesare care să asigure securitatea informațiilor cu caracter personal. Revizuiește toate politicile de protecție a datelor personale pe care le folosești în prezent. Verifică modul în care datele sunt criptate, cât de accesibile sunt și, mai ales, verifică modul în care site-ul tău e protejat de eventuale atacuri cibernetice.
Rezultatul auditului ar trebui să dezvăluie punctele tale pe care le are afacerea ta în materie de securitate.
3. Cere acordul clienților tăi pentru date și informează-i cu privire la drepturile lor
Dacă stabilești de la bun început temeiul legal de fiecare dată când prelucrezi o informație cu caracter personal, riscul de a te confrunta cu sancțiuni se reduce. Cere acordul persoanelor pentru stocarea și prelucrarea datelor lor personale. Publică și informează regulat persoanele vizate despre modul în care le prelucrezi datele și instrumentele pe care le folosești (remarketing, e-mail marketing etc). Asigură-te că au înțeles ce se întâmplă cu datele lor odată colectate, dar și că au înțeles care sunt drepturile lor și cum anume le pot exercita.
4. Numește un DPO
În unele cazuri, numirea unui DPO (Data Protection Officer) este obligatorie. Rolul lui va fi de a asigura implementarea și conformarea la GDPR. Va trebui să numești un DPO dacă:
- Compania ta este o autoritate publică
- Compania ta prelucrează o cantitate mare de date
- Prelucrezi date cu caracter special
Verifică infograficul și identifica situația firmei tale și necesitatea unui DPO:
5. Asigură-te că înțelegi de ce și cum procesezi date personale
Este esențial să stabilești motivul pentru care firma ta prelucrează date cu caracter personal. Odată ce GDPR intră în vigoare, nu mai este suficient să obții doar datele personale ale clienților tăi, ci și motivul pentru care le colectezi și modul în care le folosești.
6. Revizuiește politica de obținere a consimțământului de prelucrare a datelor personale
Este necesar să înțelegi cum anume obții acordul, cum îl stochezi și cum administrezi datele. Consimțământul se referă la faptul că oamenii își doresc ca tu să le prelucrezi datele, exprimă explicit acest lucru și au control total asupra modului în care ele sunt utilizate. Pentru a fi în conformitate cu GDPR, consimțământul trebuie să fie specific, granular, clar, documentat și ușor de retras.
Prin urmare, asigură-te că:
- ceri consimțământul pentru fiecare acțiune de prelucrare în parte;
- clienții aleg să îl ofere (nu mai sunt acceptate formularele pre-bifate);
- specifici numele altor organizații cu care colaborezi și care au un rol în prelucrarea datelor;
- păstrezi dovezi (documente, înregistrări etc.) prin care poți demonstra clienților că și-au dat consimțământul, inclusiv mesajul pe care l-ai afișat în formular, data și modul în care ei au acceptat;
- asiguri că modul prin care clienții își pot retrage consimțământul este ușor și rapid.
7. Acordă atenție sporită prelucrării datelor personale ale copiilor
Dacă organizația ta are ca public țintă copiii, trebuie să te asiguri că politica de confidențialitate este redactată într-un limbaj specific copiilor, astfel încât să înțeleagă informațiile și pentru a primi consimțământul părinților sau al tutorilor legali.
8. Revizuiește politica de confidențialitate
Trebuie să modifici politica de confidențialitate a companiei tale astfel încât aceasta să se potrivească cu regulile impuse de către GDPR. Mai exact, să creezi un regulament în care să menționezi toate condițiile de prelucrare și protecție a datelor clienților tăi.
Pentru a fi în deplină conformitate cu GDPR, politica de confidențialitate trebuie să conțină:
- datele de contact ale DPO-ului;
- de ce este necesară prelucrarea datelor (inclusiv temeiurile prelucrării datelor de către posibili colaboratori);
- categoriile de date personale prelucrate;
- detaliile transferului de date, dacă e cazul, și condițiile de securitate;
- perioada în care vei prelucra datele;
- drepturile complete ale indivizilor sub umbrela GDPR;
- sursa datelor;
- necesitatea prelucrării datelor în cazul în care ele fac obiectul unui contract;
- dacă profilarea datelor se face automat.
9. Creează proceduri în cazul în care apar breșe de securitate
Este necesar să creezi un plan pentru detectarea, raportarea și investigarea unor eventuale breșe de securitate. Nu uita că într-un asemenea caz ești nevoit să raportezi în termen de 72 de ore breșa de securitate la autoritatea competentă și să anunți în cel mai scurt timp și indivizii afectați.
10. Fii pregătit pentru cererea accesului la date
Unul dintre drepturile indivizilor conform GDPR este dreptul la acces. Acesta se referă la faptul că dacă un individ îți solicită toate datele lui personale pe care tu le deții, ești obligat să i le furnizezi în termen de maxim o lună.
Va trebui să îi pui la dispoziție următoarele informații:
- dacă sunt procesate datele
- o copie a datelor sale personale pe care le deții, motivele pentru care le prelucrezi și ce alți colaboratori de-ai tăi mai au acces la ele
- sursa datelor (unde este posibil)
- motivul pentru care este subiectul profilării automate
Nu uita că fiecare pas menționat mai sus este extrem de important în vederea respectării legii de protecție a datelor în business-ul pe care îl dezvolți. Ia aminte și aplică toate cerințele GDPR pentru a putea fi în conformitate cu noile cerințe impuse.
Dacă vrei să consulți legea integrală GDPR, intră AICI. Iar dacă ai întrebări, ne poți contacta oricând.
Noi, la Selectsoft, ne-am pregătit deja pentru modificările aduse de GDPR! Am îmbunătățit aplicațiile pe care tu le deții deja pentru ca și tu să fii conform cu noile reguli de prelucrare a datelor personale. Am adus modificări permisiunilor de acces ale utilizatorilor la datele personale ale clienților tăi, pentru a minimiza orice potențială breșă de informații. Pentru a te bucura de noile funcții este necesar să faci un UPGRADE al aplicației tale.