Website-urile sunt adesea cea mai simplă și la îndemână formă de prezentare a unui produs sau a unui serviciu iar pentru persoanele vizate cea mai eficientă metodă de a-și face cumpărăturile în perioada pandemiei.

Totodată, website-urile prelucrează cu sau fără știrea noastră o mulțime de date cu caracter persoal printre care se numără: numele, prenumele, emailul, adresa de domiciliu sau de livrare, număr de telefon, datele cardului sau alte date financiare, preferințe personale sau alte date care pot releva diverse date sensibile (ex. boli, opinii politice, convingeri religioase etc).

Odată cu aplicarea de norme GDPR website, o parte din operatori au încercat să își conformeze website-ul reușind mai mult sau mai puțin. Dacă până acum aceste încercări au fost timide sau doar în parte reușite, din data de 10 decembrie 2020, CNIL (Autoritatea de Supraveghere în domeniul protecției datelor din Franța) ne arată că prelucrările neconforme prin website-uri sunt de prim interes atunci când vine vorba de aplicarea amenzilor, aplicând trei amenzi cumulând 135.000.000 euro:

  • O amendă de 60.000.000 de euro pentru Google LLC;
  • O altă amendă de 40.000.000 de euro pentru Google Ireland Limited;
  • O amendă de 35.000.000 euro pentru Amazon.

Care este specificul sancțiunii? Fără a intra în foarte multe detalii tehnice, acești giganți ai industriei tehnologice au încălcat reglementările privind cookie-urile. Astfel, Google și Amazon NU au cerut consimțământul vizitatorilor înainte ca aceste fișiere prin care se prelucrează date cu caracter personal, cookie-urile, să fie salvate pe computerele utilizatorilor. În acest sens, doar motorul de căutare Google Search din Franța (google.fr), a adus atingere datelor cu caracter personal a aproape 50.000.000 utilizatori!

Deși valoric sancțiunile sunt mult mai mici în România și încă nu avem o amendă aplicată pentru neconformități privind cookie-urile, 1/3 din amenzi sunt aplicate pentru neconformități prin website sau platforme online.

Norme GDPR website? Specialistii nostri va stau la dispoziție pentru realizarea unui audit.

Mai jos ne-am propus să analizăm câteva aspecte referitoare la pașii care trebuie făcuți pentru conformarea website-ului dumneavoastră:

1. Securizarea website-ului

Una din cele mai simple metode care însă nu este respectată întru totul de operatori este securizarea website-ului prin adăugarea unui certificat de securitate (HTTPS). Aceasta va aduce website-ul dumneavoastră la un nivel minim de securitate și va oferi un prim indiciu despre credibilitatea dumneavoastră înaintea clienților.

Un aspect foarte important pentru clienți, mai ales atunci când fac cumpărături online este să știe că datele de card NU sunt transmise unor părți terțe neavizate și NU vor fi folosite în alte scopuri decât cele stabilite de el.

Un alt aspect de care să țineți cont este ca: în funcție de platforma prin care website-ul dumneavoastră a fost dezvoltat, vă încurajăm să faceți toate actualizările necesare (ex. pt WordPress varianta 5.6).

2. Conformarea fomularelor

Cel mai adesea, website-urile folosesc formulare pentru colectare de date astfel avem: formulare de contact, de comandă, de rezervare sau programare a unei întâlniri, formulare de newsletter sau de cerere de ofertă ș.a.

Fiecare dintre aceste formulare colectează de regulă date precum: nume, prenume, email, adresă de livrare, mesaj, număr de telefon.. și altele! Cu toate acestea, Regulamentul ne obligă să conformăm formularul prin principiul minimizării datelor, adică să reducem datele strict la cele necesare îndeplinirii scopului prelucrării. Pentru aceasta vom face o analiză pentru fiecare formular în parte și vom stabili care dintre datele colectate pot rămâne și care vor fi șterse. Uitându-ne la vecinul, cum procedează el, chiar dacă acesta este un mare jucător pe piața de vânzări online de exemplu, nu ne garantează că avem o conformitate (iar amenzile pentru Google și Amazon ne demonstrează aceasta).

3. Obținerea consimțământului pentru fotografii, videouri și testimoniale

Pentru a ne promova produsele și serviciile și pentru a anima website-ul nostru, ne folosim adesea de fotografii. Uneori avem drepturi de autor pentru ele, alteori nu, uneori acestea sunt luate de pe internet alteori însă sunt fotografii cu clienții noștri, cu partenerii noștri.

Poate cerem un testimonial video despre serviciile oferite, sau un scurt mesaj clienților noștri pentru a ne susține afacerea. Ce trebuie să facem pentru a respecta normele privind protecția datelor? Ei bine, să obținem consimțământul pentru publicarea acestor date.

De ce? Deoarece Regulamentul ne spune că pentru fiecare prelucrare trebuie să avem un scop specific și un temei legal, lucrurile nu se pot amesteca. Adică dacă un client a cumpărat de la noi și ne spune sau chiar ne scrie cât este de încântat de produsul nostru, nu putem să luăm direct fotografia sa de pe Facebook, să adăugăm textul trimis și astfel să avem un testimonial. Această prelucrare este diferită, scopul este de marketing, fiind astfel diferit iar temeiul legal care poate fi valid este cel al consimțământului.

Consimțământul însă, trebuie să fie specific, separat, liber exprimat, documentat, retractabil altfel nu va fi valid! Țineți cont de aceste lucruri atunci când obțineți consimțământul.

4. Conformarea cookie-urilor

Un aspect poate nebăgat în seamă foarte mult până acum, dar care odată cu amenzile prezentate în introducere, va intra în atenția tuturor celor care dețin un website, persoane fizice sau juridice, și care colectează date cu caracter personal este conformarea cookie-urilor.

Ce este cookie-ul? Ei bine un fișier text de mici dimensiuni pe care un website îl salvează în calculatorul sau dispozitivul dumneavoastră mobil atunci când îl vizitați. Datorită cookie-urilor, site-ul reține, pentru o perioadă de timp, acțiunile, comportamentul şi preferințele dumneavoastră (login, limbă, dimensiunea caracterelor și alte preferințe de afișare) de pe website. Poate ne gândim că nu este mare lucru, însă dacă stăm să vedem imaginea de ansamblu, vom înțelege că aceste fișiere ne pot face un profil al vizitatorului / al cumpărătorului pe care operatorul să încerce să îl exploateze atunci când oferă servicii!

Cum conformăm cookie-urile? Deși s-a încercat să se ocolească această măsură (unele website-uri nefăcând deloc vreo mențiune cu privire la acestea, deși ele există și funcționează), prin măsuri care să favorizeze interesul comercial, din amenzile prezentate înțelegem că trebuie să fim atenți la această latură a conformării la GDPR astfel:

  1. Este neceesar să avem o notă de informare la intrarea pe webste prin care informăm persoana vizată despre cookie-uri și colectăm eventualul consimțământ asupra diverselor tipuri de cookie-uri: Necesare, statistice, de marketing, preferințe.

Dacă colectăm consimțământul vom fi atenți la cele cinci condiții menționate mai sus, care trebuie respectate (specific, separat, liber exprimat, documentat și revocabil).

Se pune însă următoarea întrebare: Putem interpreta inacțiunea ca un consimțământ implicit atunci când un operator vizitează websiteul? Art. 6 alin. (1) lit. a din GDPR ne spune că dacă există un comportament care indică foarte clar acceptarea cookie-urilor aceasta poate fi o practică.

  1. Este necesar să avem o politică de cookies în care vom arăta în mod detaliat ce cookie-uri folosim, care este sursa acestora, care este scopul lor sau durata de viață, în fapt, la ce sunt folosite!

Acest lucru, atunci când îl realizăm manual ne poate da bătăi de cap iar dacă căutăm soluții automate, pot implica costuri. Cu toate acestea este necesar să avem această politică pentru a îndeplini o condiție deosebit de importantă, impusă de GDPR: informarea persoanei vizate.

5. Informarea persoanei vizate (a vizitatorului)

Întrebați fiind de protecția datelor cu caracter personal (GDPR), 88% din consumatorii care sunt dispuși să își ofere datele cu caracter personal și alte informații personale, doresc transparență, doresc să știe cum sunt folosite acele date! Din acest lucru dar și dintr-o dorință proprie fiecăruia dintre noi, dorim să știm ce se întâmplă cu datele noastre.

Primul drept consacrat de Regulament persoanelor vizate este dreptul de a fi informat fiindcă este temeiul în baza căruia se poate exercita orice alt drept (ex. dreptul de ștergere, dreptul de acces, dreptul de opoziție). Fără să știm că ne sunt prelucrate datele, nu ne putem exercita un alt drept înaintea operatorului.

Cum facem informarea? Prin politici, în mod specific prin politica de prelucrare a datelor (sau de confidențialitate, cum doriți să o numiți). Ce va conține această politică? Ei bine:

  1. Date referitoare la dumneavoastră ca operator,
  2. la datele prelucrate
  3. la scopurile în care sunt prelucrate
  4. la temeiurile legale
  5. la transferurile de date efectuate către terți
  6. la durata de stocare a acestor date
  7. la ștergerea datelor ș.a.

Fiecare prevedere va trebui să fie în conformitate cu specificul activității dumneavoastră, spre exemplu dacă datele de livrare sunt transferate către transportatorul Fan Courier, vom trece acest lucru în mod specific!

Concluzie

Îndeplinind acești pași minimali, putem să evităm sancțiunile. Cu toate acestea, încurajăm ca fiecare formular de colectare de date, cookie, fotografie sau video, politică de cookies sau confidențialitate să fie tratată conform cu specificul website-ului. Un simplu copy paste de la un website care deja are aceste lucruri, nu ne rezolvă problema, ba mai mult ne poate crea probleme (ex. atunci când noi prevedem în politica de confidențialitate că prelucrăm anumite date iar în fapt nu o facem dar persoana vizată se adresează cu o cerere de acces la date!).

Doriti o evaluare de la un specialist? Specialistii nostri va stau la dispoziție pentru realizarea unui audit. 

 

Dacă dorești însă să te concentrezi pe activitatea ta de zi cu zi, pe creșterea afacerii și totuși să ai liniștea unui nivel ridicat de conformitate a acestor aspecte, sau poate nu te descurci întru totul cu implementarea acestor lucruri și dorești să îți conformăm noi website-ul, te rugăm să ne contactezi pe contact@gdprcomplet.ro iar unul din colegii noștri îți va răspunde în cel mai scurt timp.