Conformitatea GDPR a unui website
Indiferent daca va desfasurati activitatea in cadrul unui magazin online, portal de stiri sau prin intermediul unui blog, daca prelucrati orice fel de date cu caracter personal colectate din partea utilizatorilor care viziteaza website-ul dumneavoastra, acestea vor fi supuse GDPR.
Acest lucru se aplica chiar daca nu colectati date cu caracter personal in nume propriu, dar utilizati servicii ale unor terte parti in acest scop.
Daca aveti sau utilizati oricare dintre urmatoarele elemente pe un website, atunci acesta va trebui sa fie supus unui dublu control pentru a va asigura ca intruniti cerintele GDPR:
1. website-ul colecteaza date cu caracter personal ale vizitatorilor, cum ar fi prin intermediul Google analytics;
2. website-ul are un formular de inscriere;
3. website-ul are instituite functionalitati e-commerce; adica, colecteaza informatii pentru a procesa plati, comenzi etc.;
4. aveti un formular de inscriere la newsletter;
5. website-ul include link-uri de socializare pe paginile retelelor sociale, de exemplu Facebook, Twitter etc.;
6. utilizati un sistem de comentarii pentru articole;
7. website-ul are scripturi care folosesc cookie-uri;
8. aveti un formular de contact pentru utilizatori.
Aspectele indicate nu reprezinta o lista exhaustiva, dar acestea ar trebui sa va ofere o idee asupra celor mai frecvente situatii care vor implica o anumita cantitate de date cu caracter personal colectate si prelucrarea lor printr-un website.
Conform GDPR, esential este ca, daca prelucrati date cu caracter personal in orice fel, atunci va trebui sa puneti in aplicare proceduri de protectie a datelor cu caracter personalpentru a asigura intimitatea clientului. Pentru a decide ce metode sunt potrivite nevoilor website-ului, ar trebui sa luati in considerare urmatoarele intrebari:
1. compania de gazduire (hosting) ofera suficienta protectie datelor cu caracter personal?
2. folositi un sistem CMS (Content Management System) si acesta ofera suficienta protectie pentru orice date cu caracter personal colectate?
3. plug-in-urile sau script-urile pe care website-ul le foloseste provin dintr-o sursa sigura, care indeplineste standardele GDPR pentru gestionarea datelor cu caracter personal?
4. sistemul CMS este absolut necesar pentru administrarea website-ului sau ar fi la fel de eficient un website static?
5. datele cu caracter personal sunt transferate in conditii de siguranta proteprote
jate printr-o conexiune SSL (Secure Sockets Layer)?
6. cine are drepturi de acces pentru a administra website-ul (cum ar fi acces la panoul de administrare CMS)?
7. luati masuri suficiente pentru a proteja website-ul si accesul FTP (File Transfer Protocol), monitorizati in mod adecvat utilizatorii laptopurilor sau calculatoarelor si impiedicati accesul neautorizat?
Fiecare website poate avea propriile sale nuante care vor trebui sa fie luate in considerare, dar ne putem uita in general la unele solutii exemplu sau proceduri care pot fi puse in aplicare pentru a asigura aderarea la GDPR.
Sistemul CMS satisface nevoile dumneavoastra?
Desi poate parea important de a avea cat mai multe functionalitati posibile pe website, ce ar conduce la folosirea unui sistem CMS pe baza de server, ar trebui sa luati in considerare daca toate plug-in-urile sunt cu adevarat necesare.
In cazul in care o pagina web gratuita, o carte de vizita electronica sau blogul ridica mai multe probleme decat sunt necesare raportat la nevoile dumneavoastra, in aceeasi masura instalarea unui CMS mai mare poate pune mai multe probleme decat sunt necesare; plug-in-uri sparte sau slab codificate reprezinta adesea un punct de intrare pentru hackeri, care ar putea obtine cu usurinta acces la, de exemplu, baza de date cu newslettere si datele din cadrul ei.
Recomandam utilizarea unei solutii web statice daca minimizarea bazei de date este importanta pentru dumneavoastra. Website-urile statice nu folosesc baze de date si adesea vor folosi solutii terte pentru alte functii, cum ar fi comentarii si buletine de stiri. in acest fel, veti fi capabil sa furnizati functionalitati similare cu cele ale unui website dinamic, dar fara solutii plug-in care pot fi riscante in comparatie cu un website static.
Cat de multe date cu caracter personal este rezonabil sa detinem?
Atunci cand decideti cum sa gestionati website-ul dumneavoastra, trebuie sa retineti doua aspecte importante; in primul rand, doar colectand o cantitate minima de date cu caracter personal este absolut esential pentru ca website-ul sa ruleze.
In al doilea rand, fiti sincer si deschis cu utilizatorii despre ce date cu caracter personal colectati si cum le veti folosi. Solicitati confirmari ca puteti colecta si utiliza datele lor cu caracter personal.
La prima vedere, aceste reguli pot parea un pic nebuloase, dar puteti sa aveti in vedere cateva exemple pentru a vedea cum ar putea fi folosite in practica.
Formulare
Atunci cand adaugati formulare pe website, asigurati-va ca sunt acoperite numai campurile esentiale. in cazul in care nu aveti nevoie sa va apelati clientii, atunci nu este nevoie sa includeti un camp aferent numarului de telefon in orice formulare de contact. Chiar daca, din cand in cand, utilizati un numar de telefon, luati in considerare daca nu ar fi mai prudent sa efectuati comunicari electronice care, de asemenea, au avantajul de a putea fi inregistrate.
Opt-in(inregistrare/abonare)
Utilizatorii trebuie sa fie informati si trebuie sa aiba ocazia de a alege sa accepte actiuni care pot include colectarea de date cu caracter personal, cum ar fi acordul exprimat fata de termenii si conditiile sau inregistrarea pentru a primi un newsletter. O evidenta a acordurilor exprimate trebuie pastrate de catre operatorii de date cu caracter personal.
Indiferent de forma in care sunt instituite aceste opt-in-uri, ar trebui sa adaugati informatii care includ detalii despre cine este operatorul datelor cu caracter personal si cu privire la Politica de confidentialitate (printr-un link, de exemplu). Ati putea include, de asemenea, aceste informatii in e-mail-uri de confirmare trimise dupa ce un utilizator completeaza un formular.
Retineti faptul ca fiecare act individual de colectare a datelor cu caracter personal va trebui sa fie marcat clar si consimtamantul ar trebui sa fie obtinut. Multe forme de inregistrare includ o caseta de selectare a termenilor si conditiilor, dar facand click pe ea, va inregistra, de asemenea, utilizatorul pentru newsletter. Conform GDPR, aceste tipuri de actiuni nu mai sunt permise.
Conform GDPR, utilizatorul va trebui sa isi exprime in mod explicit permisiunea pentru fiecare actiune de colectare a datelor cu caracter personal, astfel incat nu este indicat sa adaugati doua aspecte separate sub forma unei singure casete de selectare (in sensul ca ar fi de acord cu termenii si conditiile si inregistrarea la newsletter). in schimb, ar trebui sa utilizati o caseta de selectare separata pentru fiecare colectare de date cu caracter personal, care descrie clar informatiile colectate si scopul pentru care vor fi folosite.
Acordul utilizatorului pentru una sau mai multe actiuni de colectare a datelor cu caracter personal trebuie sa fie explicit! Adica, el insusi selecteaza pentru care colectare de date cu caracter personal este de acord sa fie activa bifand pe caseta de selectare corespunzatoare. Din acest motiv, nicio caseta de selectare nu poate fi pre-verificata/pre-bifata; utilizatorul trebuie sa fie cel care bifeaza pentru exprimarea acordului inainte de a continua.
Opt-out (retragerea sau renuntareala acord ul exprimat)
Fiecare individ ar trebui sa aiba dreptul de a-si retrage consimtamantul in orice moment. in plus, utilizatorul trebuie sa aiba posibilitatea de a accesa dosarele lor de date cu caracter personal si de a face modificari in orice moment. Acest lucru pare destul de simplu, dar in practica poate fi un pic mai complicat.
De exemplu, in cazul in care comercializam produse/servicii prin intermediul unui magazin online se vor colecta toate datele cu caracter personal necesare in vederea procesarii. Sunt colectate, de asemenea, datele despre utilizator, cum ar fi jurnalele detaliate, adresa IP si daca acestia au descarcat orice elemente. Am putea avea un birou de asistenta pentru clienti si un forum de discutii la care clientul ia parte.
In cazul in care clientul solicita ulterior acces la datele cu caracter personal stocate, trebuie sa integrati intreg sistemul e-commerce si apoi sa exportati toate datele legate de client pe care le detineti, la cerere, in orice moment. GDPR permite un interval de doar 30 de zile pentru a finaliza o astfel de cerere (termen care poate fi prelungit pana la maximum 3 luni in functie de anumite imprejurari), astfel incat, desi daca accesul la date este solicitat de doar unul sau doi clienti, situatie in care finalizarea exportarii datelor cu caracter personal s-ar putea efectua manual, pur si simplu nu ar fi fezabil atunci cand este vorba de sute de clienti.
Din pacate, in prezent este foarte dificil de a gasi o solutie complet automatizata. Chiar si cele mai comune platforme de e-commerce sau extensii ale acestora cum ar fi WordPress nu sunt construite in colationarea unor astfel de date.
Dreptul de a fi uitat
Un utilizator poate la cerere sa solicite eliminarea oricaror date si toate informatiile care au fost stocate despre ei. De asemenea, acest lucru se poate intampla atunci cand datele nu mai sunt necesare in scopul pentru care au fost colectate sau prelucrate. Acest lucru nu inseamna doar datele de inregistrare. Aceasta incapsuleaza toate aspectele legate de website. in cazul in care un utilizator a postat pe forumul nostru sau a comentat pe blog, atunci ei vor avea mai multe fisiere, link-uri si mesaje. Astfel, operatorul de date trebuie sa se asigure ca toate aceste informatii au fost eliminate in cazul in care a primit o cerere intemeiata de stergere a datelor cu caracter personal.
Retineti faptul ca in cazul in care este inaintata cererea de stergere a datelor cu caracter personal, nu va fi suficienta dezac tivarea sau pur si simplu ascunderea unui profil; datele trebuie sa fie sterse in intregime si in mod efectiv. In plus, GDPR prevede ca operatorii de date cu caracter personal au responsabilitatea ca informatiile stocate de catre terte parti asociate (adica partile la care datele cu caracter personal au fost transferate) sa fie eliminate, de asemenea.
Politica de confidentialitate O politica de confidentialitate este un document care trebuie sa fie inclus in cadrul website-ului. Spre exemplu, sub forma unui link. Vizitatorii ar trebui informati in mod adecvat asupra datelor cu caracter personal colectate, scopul in care sunt colectate, care dintre datele cu caracter personal vor fi transferate (daca este cazul) si cum anume isi pot exercita drepturile lor.
In politica de confidentialitate ar trebui sa fie incluse urmatoarele aspecte:
cine sunteti? cine are responsabilitatea datelor cu caracter personal?
ce informatii sunt colectate (nume, adresa de e-mail etc.) si cum le utilizati?
pentru ce anume colectati datele cu caracter personal? este necesar pentru website ca aceste date sa fie colectate?
cum stocati datele si cum anume le protejati?
cu cine partajati datele cu caracter personal?
Pentru a urma pasii de mai sus, de fapt, aveti nevoie sa fiti sigur asupra datelor cu caracter personal pe care le colectati, modalitatea si momentul in care le colectati. in afara de datele personale pe care le colectati prin formulare, website-ul va trimite, de asemenea, probabil fisiere cookie care sunt folosite pentru a optimiza experienta utilizatorului cu anumite pagini web, precum si pentru a castiga valoroase date statistice privind comportamentul utili za torilor pe website. Pentru afisarea formularelor, nu trebuie sa obtineti acordul cu exceptia situatiei in care formularul este completat si trimis. Dar veti avea nevoie de acord pentru orice cookie-uri pe care le trimiteti.
Am mentionat deja Google Analytics, dar cunoasteti ce alte elemente de pe website pot colecta date cu caracter personal prin intermediul cookie-urilor? Lista poate fi destul de extinsa:
Facebook, Twitter, Google+ si alte butoane ale retelelor sociale si plug-inuri
Sistem pentru comentarii
Google Adsense sau Adwords
Programe afiliate
Software de chat etc.
Oferind utilizatorilor informatii despre modulele cookie si modul in care acestea sunt utilizate pe website, trebuie sa le acordati utilizatorilor posibilitatea de a fi de acord sau nu.
Cum permiteti utilizatorului sa opteze in legatura cu cookie-urile
Modul cel mai comun pentru a obtine consimtamantul cu privire la cookie-uri este prin intermediul unui banner cookie , care apare dupa ce utilizatorii ajung in primul rand pe website. Cele folosite pe multe website-uri sunt pasive, dar pentru a satisface cerintele GDPR ar trebui sa adaugati optiuni de exprimare a acordului care sa acopere domeniul de aplicare a cookie-urilor intalnite pe website.
O modalitate buna de a aborda acest lucru este de a separa modulele cookie in grupuri, fiecare grup avand propriile sale casute de exprimare a acordului. Grupurile ar putea fi configurate ca:
Cookie-uri necesare
Cookie-uri de preferinte
Cookie-uri utilizate in scop statistic
Cookie-uri utilizate in scop de marketing.
Gruparea cookie-urilor in acest mod permite utilizatorilor sa ia o decizie informata asupra a ceea ce sunt dispusi a permite. Utilizatorii vor trebui, de asemenea, sa aiba posibilitatea de a se razgandi in privinta oricaruia dintre acordurile exprimate, asa ca este necesar a avea un mecanism disponibil care sa functioneze in mod similar cererii initiale de exprimare a acordului.
Asa cum sunteti responsabil pentru furnizarea de informatii despre activitatile proprii, de asemenea este necesar sa va asigurati ca orice parte-terta prin intermediul careia colectati date cu caracter personal are instituita o politica de confidentialitate rezonabila pentru orice date cu caracter personal colectate prin intermediul website-ului propriu, indiferent cine efectueaza operatiunea de colectare a datelor cu caracter personal.
Ar trebui sa fiti atenti sa semnati acorduri/contracte numai cu companii terte de incredere, care pot oferi garantii suficiente ca vor trata datele cu caracter personal in mod corespunzator, cu respectarea tuturor procedurilor necesare pentru prelucrarea datelor cu caracter personal in conformitate cu cerintele si principiile GDPR si cu respectarea drepturilor utilizatorilor.
In afara de cerintele directe, va trebui sa va pregatiti in alte moduri, si anume:
pregatind un registru pentru datele cu caracter personal prelucrate;
autorizand si instruind personalul care are acces la datele cu caracter personal;
creand inregistrari ale oricaror incalcari ale reglementarilor prelucrarii datelor cu caracter personal;
pregatind o analiza a riscurilor si consecintelor pentru procedurile de prelucrare a datelor cu caracter personal.
Acest lucru se aplica chiar daca nu colectati date cu caracter personal in nume propriu, dar utilizati servicii ale unor terte parti in acest scop.
Daca aveti sau utilizati oricare dintre urmatoarele elemente pe un website, atunci acesta va trebui sa fie supus unui dublu control pentru a va asigura ca intruniti cerintele GDPR:
1. website-ul colecteaza date cu caracter personal ale vizitatorilor, cum ar fi prin intermediul Google analytics;
2. website-ul are un formular de inscriere;
3. website-ul are instituite functionalitati e-commerce; adica, colecteaza informatii pentru a procesa plati, comenzi etc.;
4. aveti un formular de inscriere la newsletter;
5. website-ul include link-uri de socializare pe paginile retelelor sociale, de exemplu Facebook, Twitter etc.;
6. utilizati un sistem de comentarii pentru articole;
7. website-ul are scripturi care folosesc cookie-uri;
8. aveti un formular de contact pentru utilizatori.
Aspectele indicate nu reprezinta o lista exhaustiva, dar acestea ar trebui sa va ofere o idee asupra celor mai frecvente situatii care vor implica o anumita cantitate de date cu caracter personal colectate si prelucrarea lor printr-un website.
Conform GDPR, esential este ca, daca prelucrati date cu caracter personal in orice fel, atunci va trebui sa puneti in aplicare proceduri de protectie a datelor cu caracter personalpentru a asigura intimitatea clientului. Pentru a decide ce metode sunt potrivite nevoilor website-ului, ar trebui sa luati in considerare urmatoarele intrebari:
1. compania de gazduire (hosting) ofera suficienta protectie datelor cu caracter personal?
2. folositi un sistem CMS (Content Management System) si acesta ofera suficienta protectie pentru orice date cu caracter personal colectate?
3. plug-in-urile sau script-urile pe care website-ul le foloseste provin dintr-o sursa sigura, care indeplineste standardele GDPR pentru gestionarea datelor cu caracter personal?
4. sistemul CMS este absolut necesar pentru administrarea website-ului sau ar fi la fel de eficient un website static?
5. datele cu caracter personal sunt transferate in conditii de siguranta proteprote
jate printr-o conexiune SSL (Secure Sockets Layer)?
6. cine are drepturi de acces pentru a administra website-ul (cum ar fi acces la panoul de administrare CMS)?
7. luati masuri suficiente pentru a proteja website-ul si accesul FTP (File Transfer Protocol), monitorizati in mod adecvat utilizatorii laptopurilor sau calculatoarelor si impiedicati accesul neautorizat?
Fiecare website poate avea propriile sale nuante care vor trebui sa fie luate in considerare, dar ne putem uita in general la unele solutii exemplu sau proceduri care pot fi puse in aplicare pentru a asigura aderarea la GDPR.
Sistemul CMS satisface nevoile dumneavoastra?
Desi poate parea important de a avea cat mai multe functionalitati posibile pe website, ce ar conduce la folosirea unui sistem CMS pe baza de server, ar trebui sa luati in considerare daca toate plug-in-urile sunt cu adevarat necesare.
In cazul in care o pagina web gratuita, o carte de vizita electronica sau blogul ridica mai multe probleme decat sunt necesare raportat la nevoile dumneavoastra, in aceeasi masura instalarea unui CMS mai mare poate pune mai multe probleme decat sunt necesare; plug-in-uri sparte sau slab codificate reprezinta adesea un punct de intrare pentru hackeri, care ar putea obtine cu usurinta acces la, de exemplu, baza de date cu newslettere si datele din cadrul ei.
Recomandam utilizarea unei solutii web statice daca minimizarea bazei de date este importanta pentru dumneavoastra. Website-urile statice nu folosesc baze de date si adesea vor folosi solutii terte pentru alte functii, cum ar fi comentarii si buletine de stiri. in acest fel, veti fi capabil sa furnizati functionalitati similare cu cele ale unui website dinamic, dar fara solutii plug-in care pot fi riscante in comparatie cu un website static.
Cat de multe date cu caracter personal este rezonabil sa detinem?
Atunci cand decideti cum sa gestionati website-ul dumneavoastra, trebuie sa retineti doua aspecte importante; in primul rand, doar colectand o cantitate minima de date cu caracter personal este absolut esential pentru ca website-ul sa ruleze.
In al doilea rand, fiti sincer si deschis cu utilizatorii despre ce date cu caracter personal colectati si cum le veti folosi. Solicitati confirmari ca puteti colecta si utiliza datele lor cu caracter personal.
La prima vedere, aceste reguli pot parea un pic nebuloase, dar puteti sa aveti in vedere cateva exemple pentru a vedea cum ar putea fi folosite in practica.
Formulare
Atunci cand adaugati formulare pe website, asigurati-va ca sunt acoperite numai campurile esentiale. in cazul in care nu aveti nevoie sa va apelati clientii, atunci nu este nevoie sa includeti un camp aferent numarului de telefon in orice formulare de contact. Chiar daca, din cand in cand, utilizati un numar de telefon, luati in considerare daca nu ar fi mai prudent sa efectuati comunicari electronice care, de asemenea, au avantajul de a putea fi inregistrate.
Opt-in(inregistrare/abonare)
Utilizatorii trebuie sa fie informati si trebuie sa aiba ocazia de a alege sa accepte actiuni care pot include colectarea de date cu caracter personal, cum ar fi acordul exprimat fata de termenii si conditiile sau inregistrarea pentru a primi un newsletter. O evidenta a acordurilor exprimate trebuie pastrate de catre operatorii de date cu caracter personal.
Indiferent de forma in care sunt instituite aceste opt-in-uri, ar trebui sa adaugati informatii care includ detalii despre cine este operatorul datelor cu caracter personal si cu privire la Politica de confidentialitate (printr-un link, de exemplu). Ati putea include, de asemenea, aceste informatii in e-mail-uri de confirmare trimise dupa ce un utilizator completeaza un formular.
Retineti faptul ca fiecare act individual de colectare a datelor cu caracter personal va trebui sa fie marcat clar si consimtamantul ar trebui sa fie obtinut. Multe forme de inregistrare includ o caseta de selectare a termenilor si conditiilor, dar facand click pe ea, va inregistra, de asemenea, utilizatorul pentru newsletter. Conform GDPR, aceste tipuri de actiuni nu mai sunt permise.
Conform GDPR, utilizatorul va trebui sa isi exprime in mod explicit permisiunea pentru fiecare actiune de colectare a datelor cu caracter personal, astfel incat nu este indicat sa adaugati doua aspecte separate sub forma unei singure casete de selectare (in sensul ca ar fi de acord cu termenii si conditiile si inregistrarea la newsletter). in schimb, ar trebui sa utilizati o caseta de selectare separata pentru fiecare colectare de date cu caracter personal, care descrie clar informatiile colectate si scopul pentru care vor fi folosite.
Acordul utilizatorului pentru una sau mai multe actiuni de colectare a datelor cu caracter personal trebuie sa fie explicit! Adica, el insusi selecteaza pentru care colectare de date cu caracter personal este de acord sa fie activa bifand pe caseta de selectare corespunzatoare. Din acest motiv, nicio caseta de selectare nu poate fi pre-verificata/pre-bifata; utilizatorul trebuie sa fie cel care bifeaza pentru exprimarea acordului inainte de a continua.
Opt-out (retragerea sau renuntareala acord ul exprimat)
Fiecare individ ar trebui sa aiba dreptul de a-si retrage consimtamantul in orice moment. in plus, utilizatorul trebuie sa aiba posibilitatea de a accesa dosarele lor de date cu caracter personal si de a face modificari in orice moment. Acest lucru pare destul de simplu, dar in practica poate fi un pic mai complicat.
De exemplu, in cazul in care comercializam produse/servicii prin intermediul unui magazin online se vor colecta toate datele cu caracter personal necesare in vederea procesarii. Sunt colectate, de asemenea, datele despre utilizator, cum ar fi jurnalele detaliate, adresa IP si daca acestia au descarcat orice elemente. Am putea avea un birou de asistenta pentru clienti si un forum de discutii la care clientul ia parte.
In cazul in care clientul solicita ulterior acces la datele cu caracter personal stocate, trebuie sa integrati intreg sistemul e-commerce si apoi sa exportati toate datele legate de client pe care le detineti, la cerere, in orice moment. GDPR permite un interval de doar 30 de zile pentru a finaliza o astfel de cerere (termen care poate fi prelungit pana la maximum 3 luni in functie de anumite imprejurari), astfel incat, desi daca accesul la date este solicitat de doar unul sau doi clienti, situatie in care finalizarea exportarii datelor cu caracter personal s-ar putea efectua manual, pur si simplu nu ar fi fezabil atunci cand este vorba de sute de clienti.
Din pacate, in prezent este foarte dificil de a gasi o solutie complet automatizata. Chiar si cele mai comune platforme de e-commerce sau extensii ale acestora cum ar fi WordPress nu sunt construite in colationarea unor astfel de date.
Dreptul de a fi uitat
Un utilizator poate la cerere sa solicite eliminarea oricaror date si toate informatiile care au fost stocate despre ei. De asemenea, acest lucru se poate intampla atunci cand datele nu mai sunt necesare in scopul pentru care au fost colectate sau prelucrate. Acest lucru nu inseamna doar datele de inregistrare. Aceasta incapsuleaza toate aspectele legate de website. in cazul in care un utilizator a postat pe forumul nostru sau a comentat pe blog, atunci ei vor avea mai multe fisiere, link-uri si mesaje. Astfel, operatorul de date trebuie sa se asigure ca toate aceste informatii au fost eliminate in cazul in care a primit o cerere intemeiata de stergere a datelor cu caracter personal.
Retineti faptul ca in cazul in care este inaintata cererea de stergere a datelor cu caracter personal, nu va fi suficienta dezac tivarea sau pur si simplu ascunderea unui profil; datele trebuie sa fie sterse in intregime si in mod efectiv. In plus, GDPR prevede ca operatorii de date cu caracter personal au responsabilitatea ca informatiile stocate de catre terte parti asociate (adica partile la care datele cu caracter personal au fost transferate) sa fie eliminate, de asemenea.
Politica de confidentialitate O politica de confidentialitate este un document care trebuie sa fie inclus in cadrul website-ului. Spre exemplu, sub forma unui link. Vizitatorii ar trebui informati in mod adecvat asupra datelor cu caracter personal colectate, scopul in care sunt colectate, care dintre datele cu caracter personal vor fi transferate (daca este cazul) si cum anume isi pot exercita drepturile lor.
In politica de confidentialitate ar trebui sa fie incluse urmatoarele aspecte:
cine sunteti? cine are responsabilitatea datelor cu caracter personal?
ce informatii sunt colectate (nume, adresa de e-mail etc.) si cum le utilizati?
pentru ce anume colectati datele cu caracter personal? este necesar pentru website ca aceste date sa fie colectate?
cum stocati datele si cum anume le protejati?
cu cine partajati datele cu caracter personal?
Pentru a urma pasii de mai sus, de fapt, aveti nevoie sa fiti sigur asupra datelor cu caracter personal pe care le colectati, modalitatea si momentul in care le colectati. in afara de datele personale pe care le colectati prin formulare, website-ul va trimite, de asemenea, probabil fisiere cookie care sunt folosite pentru a optimiza experienta utilizatorului cu anumite pagini web, precum si pentru a castiga valoroase date statistice privind comportamentul utili za torilor pe website. Pentru afisarea formularelor, nu trebuie sa obtineti acordul cu exceptia situatiei in care formularul este completat si trimis. Dar veti avea nevoie de acord pentru orice cookie-uri pe care le trimiteti.
Am mentionat deja Google Analytics, dar cunoasteti ce alte elemente de pe website pot colecta date cu caracter personal prin intermediul cookie-urilor? Lista poate fi destul de extinsa:
Facebook, Twitter, Google+ si alte butoane ale retelelor sociale si plug-inuri
Sistem pentru comentarii
Google Adsense sau Adwords
Programe afiliate
Software de chat etc.
Oferind utilizatorilor informatii despre modulele cookie si modul in care acestea sunt utilizate pe website, trebuie sa le acordati utilizatorilor posibilitatea de a fi de acord sau nu.
Cum permiteti utilizatorului sa opteze in legatura cu cookie-urile
Modul cel mai comun pentru a obtine consimtamantul cu privire la cookie-uri este prin intermediul unui banner cookie , care apare dupa ce utilizatorii ajung in primul rand pe website. Cele folosite pe multe website-uri sunt pasive, dar pentru a satisface cerintele GDPR ar trebui sa adaugati optiuni de exprimare a acordului care sa acopere domeniul de aplicare a cookie-urilor intalnite pe website.
O modalitate buna de a aborda acest lucru este de a separa modulele cookie in grupuri, fiecare grup avand propriile sale casute de exprimare a acordului. Grupurile ar putea fi configurate ca:
Cookie-uri necesare
Cookie-uri de preferinte
Cookie-uri utilizate in scop statistic
Cookie-uri utilizate in scop de marketing.
Gruparea cookie-urilor in acest mod permite utilizatorilor sa ia o decizie informata asupra a ceea ce sunt dispusi a permite. Utilizatorii vor trebui, de asemenea, sa aiba posibilitatea de a se razgandi in privinta oricaruia dintre acordurile exprimate, asa ca este necesar a avea un mecanism disponibil care sa functioneze in mod similar cererii initiale de exprimare a acordului.
Asa cum sunteti responsabil pentru furnizarea de informatii despre activitatile proprii, de asemenea este necesar sa va asigurati ca orice parte-terta prin intermediul careia colectati date cu caracter personal are instituita o politica de confidentialitate rezonabila pentru orice date cu caracter personal colectate prin intermediul website-ului propriu, indiferent cine efectueaza operatiunea de colectare a datelor cu caracter personal.
Ar trebui sa fiti atenti sa semnati acorduri/contracte numai cu companii terte de incredere, care pot oferi garantii suficiente ca vor trata datele cu caracter personal in mod corespunzator, cu respectarea tuturor procedurilor necesare pentru prelucrarea datelor cu caracter personal in conformitate cu cerintele si principiile GDPR si cu respectarea drepturilor utilizatorilor.
In afara de cerintele directe, va trebui sa va pregatiti in alte moduri, si anume:
pregatind un registru pentru datele cu caracter personal prelucrate;
autorizand si instruind personalul care are acces la datele cu caracter personal;
creand inregistrari ale oricaror incalcari ale reglementarilor prelucrarii datelor cu caracter personal;
pregatind o analiza a riscurilor si consecintelor pentru procedurile de prelucrare a datelor cu caracter personal.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
05Mar2019
​Operatiuni fiscal-contabile simple ce atrag consecinte complicate in sfera protectiei datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
05 Mar 2019
25Feb2019
​Responsabilitatea operatorilor pentru deciziile automate in cadrul GDPR
de Colectivul de Specialisti Rentrop&Straton
25 Feb 2019
20Ian2019
Scurta retrospectiva privind activitatea autoritatilor de supraveghere UE si practica GDPR pentru anul 2018
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
20Ian2019
Consimtamantul - obtinere, dovada, gestionare si revocare
de Laurentiu Petre
20 Ian 2019
Un produs marca