Catalin Sporis, co-fondator si CEO  al platformei SMSO l-a avut invitat in ultimul nostru webinar pe Tudor Galos, consultant senior GDPR. Tema discutiei a fost: Impactul GDPR in comunicarea intre magazinele online si clientii lor.

Puteti urmari inregistrarea webinarului in format video, pe canalul nostru de Youtube

Tudor, a raspuns pe rand mai multor intrebari pe care noi le-am primit de-alungul timpului de la clientii nostrii.

De ce a aparut nevoia de a avea acest regulament al datelor? Scurt istoric

Protectia datelor persoanelor are o istorie mult mai veche. Dreptul la intimidate a fost recunoscut inca de la inceputul secolului XX, in Carta Internationala a Drepturilor Omului si Carta drepturilor fundamentale a Uniunii Europene. Fiecare contine cate un capitol de dedicat dreptului la intmitate.

sursa Wikipedia 

La nivel European a aparut o directiva in anul 1994 care reglementa in mare masura dreptul la confidentialitatea datelor personale. In Romania a fost implementata in anul 2001, continutul legii foarte diferit de GDPR.

Amenzile privind neconformitatea la GDPR sunt cele mai mari deoarece se refera la drepturile omului: 20 mil EUR sau 4% din cifra de afaceri, care dintre cele 2 sume este mai mare.

GDPR este o foarte mare oportunitate deoarece permite transferul datelor in toate tarile din UE fara alte masuri de Securitate suplimentare. Dupa 2 ani de practica GDPR, Comisia Europeana a facut un audit de impact si rezultatul este pozitiv desi erau multi care sustinea ca aceasta legislatie va disparea. Nu numai ca a disparut dar se si amplifica in sensul ca tarile: Rusia, China, India, Bahrain, Serbia, Moldova,  prefera sa isi adapteze regulile interne de protectie a datelor la GDPR pentru a permite transferul datelor. Inclusiv in US exista o intiativa legislativa, la nivel federal de armonizare a prevederilor unui regulament de protectie a datelor personale.

Abuzul de preluare a datelor, prelucrarea de datelor de catre brokerii de date a fost motivul pentru care a aparut GDPR. Accesul la date plus prelucrarea lor poate duce la observarea si calculul unor indicatori psihometrici care pot fi folositi la manipularea oamenilor.

In cei 2 ani de la aplicabilitatea regulamentului s-au dat sute de amenzi in Europa iar Romania este pe locul 3 in UE ca numar de amenzi date.

GDPR pentru Ecommerce

Tudor a detaliat pe wesite-ul sau care sunt pasii unei metodologii simple si care poate fi folosita de catre orice companie pentru a constientiza si face pasi importanta pentru a minimiza riscul privind neconfomitatea GDPR.

1. Primul pas important este sa intelegem cultura noastra, modul in care operam datele pe care le colectam de la clietnii nostri:

• Ce date se colecteaza
• De unde preluam datele
• Pentru ce preluam datele respective
• Cine are access la date, de ce
• Unde salvam datele, de ce sunt salvate

2. Urmeaza apoi partea de determinare a operatiunilor, data flows; reprezentarea grafica a tuturor operatiunilor care implica date personale; un tool pe care-l puteti folosi pentru aceasta este Microsoft Visio
3. In pasul urmator al auditului intern este partea de data governance, adica identificarea clara a riscurilor, pas in care putem descoperi mai multe tipuri de riscuri si vi-l dam exemplu pe cel mai intalnit:

• riscul ca persoanele a caror date le prelucram sa nu fie informate corect. Trebuie sa ne asiguram ca acea notificare de confidentialitate, care atentie! NU trebuie sa fie doar in format text, ci in orice varianta consideram ca putem explica cel mai usor: video, infographic, power point. Trebuie sa exprime clar care sunt datele colectate, de ce le prelucram, unde le pastram, cine are access la ele si cum oferim access persoanelor la propriile date.

Dupa auditarea datelor, proceselor interne si determinarea riscurilor, urmeaza implementarea efectiva a masurilor. Avem nevoie de o persoana pe care sa o imputernicim cu acest process plus un deadline de implementare.

Dupa ce finalizam implementarea, este obligatorie monitorizarea continua. Tot timpul putem primi cereri, plangeri, sau sugestii, chiar legi noi.

In situatia unui magazine online care primeste o comanda simpla, de la o persoana care nu are cont, datele pe care suntem indreptatiti sa le cerem pentru a putea respecta contractul (comanda), deci in interesul legitim sunt:

1. nume si prenume
2. adresa de facturare
3. adresa de livrare
4. adresa email
5. telefon

In notificarea de confidentialitate trebuie sa mentionam ce date preluam, cat timp le pastram si ce date transmitem curierului pentru livrarea comenzii: nume si prenume, adresa de livrare, telefon.

Valabilitatea acordului oferit pentru datele personale

Conform Codului Fiscal din Romania, operatorii economici sunt obligati sa pastreze datele de pe o factura intre 5 si 10 ani. In cazul serviciilor, este bine sa pastram aceste date pana la 10 ani.  Exista posibilitatea unui control din partea autoritatii fiscale si trebuie sa avem documente justificative pentru toate operatiunile companiei.

Datele cu caracter personal care sunt obligatorii de mentionat in factura sunt:

1. de la firma la firma (B2B) sunt date de facturare ale companiilor si NU au character de date personale;
2. de la firma la persoana (B2C) sunt: nume, prenume si adresa din cartea de identitate, FARA CNP.

Pentru a putea comunica in continuare cu un client in scopuri de marketing, prin newsletter, telefon, SMS, trebuie sa cerem consimtamantul explicit pentru fiecare din cele 3 medii de comunicare.