De ce e necesara schimbarea?
In fiecare zi te “intersectezi” inevitabil cu Internetul: faci plati online, trimiti mailuri, socializezi online, iti faci cumparaturile online si folosesti aplicatii pentru orice. De cele mai multe ori esti nevoit sa iti creezi conturi in care iti introduci datele personale necesare. Acestea, impreuna cu alte informatii cum ar datele bancare, IP-ul sau istoricul de navigare sunt stocate in baze de date virtuale. Ele sunt procesate si interpretate apoi de catre companii cu scopul de a ne oferi experiente personalizate.
Intrebarea noastra este: stim cu adevarat ce se intampla cu datele noastre dupa ce le oferim in doar cateva clickuri?
Uniunea Europeana deja a raspuns acestei intrebari si, ca rezultat, GDPR intra in vigoare in 25 mai 2018.
Ce este GDPR?
General Data Protection Regulation (Regulamentul General de Protectie a Datelor – prescurtat in romana RGPD) este legea care va produce schimbari majore in toate companiile, indiferent de dimensiunea lor, care au baze de date si care prelucreaza date personale ale clientilor sau a angajatilor.
Aceasta lege intra in vigoare in data de 25 mai 2018 asa ca, trebuie sa fii pregatit cu toate resursele pentru a fi conform cu noua lege de protectie a datelor personale.
Ce amenzi implica neconformarea la GDPR?
Penalizarile pentru incalcarea acestei legi vor fi destul de severe: daca business-ul tau nu se va conforma noilor reglemantari vei fi pasibil de amenda pana la 4% din cifra globala de afaceri sau pana la 20 milioane de euro, oricare dintre aceste doua valori este mai mare.
Cum sunt afectati cetatenii de GDPR?
GDPR marcheaza cea mai mare schimbare in protectia datelor din ultimii 20 de ani. Ea vizeaza toate datele personale ale cetatenilor europeni care sunt stocate si prelucrate de catre companii, indiferent daca datele provin din spatiul public, privat sau profesional al invidizilor.
Legea dezvolta 8 drepturi fundamentale ale cetatenilor ilustrate in infograficul urmator:
Sub umbrela GDPR, Uniunea Europeana ofera cetatenilor control total asupra modului in care companiile prelucreaza si folosesc datele lor personale.
Ce trebuie sa fac pentru a fi conform cu GDPR?
GDPR este o certitudine. De aceea, toate modificarile si procedurile obligatorii trebuie sa devina activitati de rutina in afacerea ta. Pentru a te asigura ca respecti toate regulile si ca esti pregatit pentru schimbari urmareste implementarea acestor 10 pasi:
1.Informeaza-te!
In primul rand, este foarte important sa stii ce tip de informatii cu caracter personal detine compania ta si care este procesul de prelucrare. Asigura-te ca ai citit si ca ai inteles legea. Discuta cu managerii si persoanele din compania ta care sunt implicate in prelucrearea datelor si asigura-te ca si ei cunosc implicatiile legii. Pana la urma, voi sunteti cei care va cunoasteti cel mai bine afacerea.
Citeste regulamentul oficial GDPR AICI.
2.Fa un audit!
Este vital sa te asiguri ca business-ul tau detine toate uneltele tehnologice necesare care sa asigure securitatea informatiilor cu caracter personal. Revizuieste toate politicile de protectie a datelor personale pe care le folosesti in prezent. Verifica modul in care datele sunt criptate, cat de accesibile sunt si, mai ales, verifica modul in care site-ul tau e protejat de eventuale atacuri cibernetice.
Rezultatul auditului ar trebui sa dezvaluie punctele tale pe care le are afacerea ta in materie de securitate.
3.Cere acordul clientilor tai pentru date si informeaza-i cu privire la drepturile lor
Daca stabilesti de la bun inceput temeiul legal de fiecare data cand prelucrezi o informatie cu caracter personal, riscul de a te confrunta cu sanctiuni se reduce. Cere acordul persoanelor pentru stocarea si prelucrarea datelor lor personale. Insa un singur accept nu este de ajuns: publica si informeaza regulat persoanele vizate modul in care le prelucrezi datele si instrumentele pe care le folosesti (remarketing, e-mail marketing etc). Asigura-te ca au inteles ce se intampla cu datele lor odata colectate, dar si ca au inteles care sunt drepturile lor si cum anume le pot exercita.
4.Numeste un DPO
In unele cazuri numirea unui DPO (data protection officer) este obligatorie. Rolul lui va fi de a asigura implementarea si conformarea la GDPR.
Va trebui sa numesti un DPO daca:
- compania ta este o autoritate publica
- compania ta prelucreaza o cantitate mare de date
- prelucrezi date cu caracter special
Verifica infograficul si identifica situatia firmei tale si necesitatea unui DPO:
5.Asigura-te ca intelegi de ce si cum procesezi date personale
Este esential sa stabilesti motivul pentru care firma ta prelucreaza date cu caracter personal. Odata ce GDPR intra in vigoare, nu mai este suficient sa obtii doar datele personale ale clientilor tai, ci si motivul pentru care le colectezi si modul in care le folosesti.
6.Revizuieste politica de obtinere a consimtamantului de prelucrare a datelor personale
Este necesar sa intelegi cum anume obtii acordul, cum il stochezi si cum administrezi datele. Consimtamantul se refera la faptului ca oamenii isi doresc ca tu sa le prelucrezi datele, exprima explicit acest lucru si au control total asupra modului in care ele sunt utilizate. Pentru a fi in conformitate cu GDPR, consimtamantul trebuie sa fie specific, granular, clar, documentat si usor de retras.
Prin urmare, asigura-te ca:
- ceri consimtamantul pentru fiecare actiune de prelucrare in parte
- clientii aleg sa il ofere (nu mai sunt acceptate formularele pre-bifate)
- specifica numele altor organizatii cu care colaborezi si care au un rol in prelucrarea datelor
- pastreaza dovezi (documente, inregistrari etc) prin care poti demonstra clientilor ca si-au dat consimtamantul, inclusiv mesajul pe care l-ai afisat in formular, data si modul in care ei au acceptat
- asigura-te ca modul prin care clientii isi pot retrage consimtamantul e usor si rapid
7.Acorda atentie sporita prelucrarii datelor personale ale copiilor
Daca organizatia ta are ca public tinta copiii, trebuie sa te asiguri ca politica de confidentialitate este redactata intr-un limbaj specific copiilor, astfel incat sa inteleaga informatiile si pentru a primi consimtamantul parintilor sau a tutorilor legali.
8.Revizuieste politica de confidentialitate
Trebuie sa modifici politica de confidentialitate a companiei tale astfel incat aceasta sa se potriveasca cu regulile impuse de catre GDPR. Mai exact, sa creezi un regulament in care sa mentionezi toate conditiile de prelucrare si protectie a datelor clientilor tai.
Pentru a fi in deplina conformitate cu GDPR, politica de confidentialitate trebuie sa contina:
- datele de contact ale DPO-ului
- de ce este necesara prelucrarea datelor (inclusiv temeiurile prelucrarii datelor de catre posibili colaboratori)
- categoriile de date personale prelucrate
- detaliile transferului de date, daca e cazul, si conditiile de securitate
- perioada in care vei prelucra datele
- drepturile complete ale indivizilor sub umbrela GDPR
- sursa datelor
- necesitatea prelucrarii datelor in cazul in care ele fac obiectul unui contract
- daca profilarea datelor se face automat
9.Creeaza proceduri in cazul in care apar brese de securitate
Este necesar sa creezi un plan pentru detectarea, raportarea si investigarea unor eventuale brese de securitate. Nu uita ca intr-un asemenea caz esti nevoit sa raportezi in termen de 72 de ore bresa de securitate la autoritatea competenta si sa anunti in cel mai scurt timp si indivizii afectati.
10.Fii pregatit pentru cererea accesului la date
Unul dintre drepturile indivizilor conform GDPR este dreptul la acces. Acesta se refera la faptul ca daca un individ iti solicita toate datele lui personale pe care tu le detii, esti obligat sa i le furnizezi in termen de maxim o luna.
Va trebui sa ii pui la dispozitie urmatoarele informatii:
- daca sunt procesate datele
- o copie a datelor sale personale pe care le detii, motivele pentru care le prelucrezi si ce alti colaboratori de-ai tai mai au acces la ele
- sursa datelor (unde este posibil)
- motivul pentru care este subiectul profilarii automate
Nu uita ca fiecare pas mai sus mentionat este extrem de important in vederea respectarii legii de protectie a datelor si in business-ul pe care il dezvolti. Ia aminte si aplica toate cerintele GDPR pentru a putea fi in conformitate cu noile cerinte impuse.
Daca vrei sa consulti legea integrala GDPR, intra AICI. Iar daca ai intrebari ne poti contacta oricand la https://old.selectsoft.ro/contact/.
Noi, la SelectSoft, ne-am pregatit deja pentru modificarile aduse de GDPR! Am imbunatatit aplicatiile pe care tu le detii deja pentru ca si tu sa fii conform cu noile reguli de prelucrare a datelor personale. Am adus modificari permisiunilor de acces ale utilizatorilor la datele personale ale clientilor tai, pentru a minimiza orice potentiala bresa de informatii. Pentru a te bucura de noile functii este necesar sa faci un UPGRADE al aplicatiei tale.