In acest articol vom discuta despre procedeul de implementare GDPR pentru WooCommerce, transformand magazinul tau online intr-un mediu sigur pentru clientii tai, respectand normele europene in vigoare.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016. GDPR (General Data Protection Regulation), care înlocuiește Directiva 95/46/EC, va intra în vigoare în data de 25 mai 2018. Regulamentul se aplică în cazul în care entitățile juridice au sediul în UE sau colectează și procesează date cu caracter personal ale rezidenților din UE. 

Scopul noilor reglementări este acela de a proteja drepturile și libertățile persoanelor fizice. Drepturi și libertăți cu privire la prelucrarea datelor cu caracter personal. Se va reglementa și metoda de obținere a acestora, precum și circulația acestor date, dorindu-se un format cât mai unitar.

Ce înseamnă prelucrarea datelor cu caracter personal? 

Potrivit normelor europene GDPR, prelucrarea datelor constă în  orice operațiune sau set de operațiuni, cum ar fi: 

• colectarea,
• înregistrarea,
• organizarea,
• structurarea,
• stocarea,
• adaptarea sau modificarea,
• extragerea, consultarea,
• utilizarea,
• divulgarea prin transmitere,
• diseminarea sau punerea la dispoziție în orice alt mod,
• alinierea sau combinarea,
• restricționarea,
• ștergerea sau distrugerea datelor. 

Directivele GDPR se aplică pentru companiile ce folosesc mijloace automatizate de prelucrare a datelor. Un exemplu este opțiunea de newsletter a unui magazin online. Dar, se aplică și în afara spațiului digital pentru:

• firme ce organizează evenimente, petreceri, sondaje stradale ce necesită divulgarea informațiilor personale sau tombole stradale. 

Care sunt principiile reglementarilor GDPR? 

Regulamentul formulează 8 principii de bază și drepturi individuale.

Dreptul de: 

• de informare despre cum vor fi folosite datele personale;
• acces la datele personale;
• rectificare a datelor dacă acestea sunt eronate sau incomplete;
• a fi șters sau Dreptul de a fi uitat (Right To Be Forgotten) pentru a nu mai fi inclus în comunicări sau procesări ulterioare;
• a restricționa procesarea datelor dincolo de simpla lor păstrare;
• transfer al datelor pentru a fi la dispoziția persoanelor așa cum doresc ele să le folosească pe alte platforme sau în alte servicii;
• obiecție împotriva utilizării datelor în campanii de marketing;
• decizie în cazul profilarii și procesării automate a datelor.

Care sunt datele cu caracter personal potrivit GDPR?

Noile reglementari extind practic sfera informațiilor considerate a fi date cu caracter personal. Astfel, sunt considerate a fi „date cu caracter personal” orice informații privind o persoană fizică identificată sau identificabilă. Mai exact, o persoană poate fi identificată direct sau indirect, prin referire la:

• un nume;
• un număr de identificare;
• date de localizare;
• un identificator online (adrese IP, identificatori cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio);
• unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Ce este consimțământul potrivit GDPR?

Consimțământul constă în orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate. Aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Regulile pentru validitatea consimțământului sunt:

• acesta trebuie să fie o manifestare liber exprimată, respectiv să fie alegerea reală a persoanelor vizate;
• trebuie să fie specific, ceea ce presupune ca persoana vizată să fie informată asupra scopului prelucrării datelor. Consimțământul acesteia să fie datpentru fiecare scop al prelucrării în parte;
• trebuie să fie informat, astfel încât, cel puțin următoarele informații trebuie aduse la cunoștință persoanei vizate: identitatea operatorului, scopul prelucrării, datele cu caracter personal colectate, existența dreptului de retragere a consimțământului, informații privind utilizarea datelor pentru decizii bazate exclusiv pe prelucrarea automată (inclusiv crearea de profiluri). precum și informații despre posibilele riscuri de transfer de date către țări terțe;
• trebuie să fie lipsit de ambiguitate, trebuie să reprezinte o declarație sau o acțiune afirmativă din partea persoanei vizate. Spre exemplu: bifarea unei căsuțe atunci când persoana vizitează un site sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării datelor sale cu caracter personal.

Ce modificări cu privire la consimțământ sunt în domeniul online?

Noile reglementări privind consimțământul stabilesc că acesta va fi obligatoriu explicit și specific pentru operațiunea de procesare. Consumatorul trebuie să acționeze pentru consimțământ. Acordul va fi limitat sau proporțional cu scopul procesării. Astfel, nu pot fi colectate și procesate mai multe date decât cele necesare în scopul declarat și legal al procesării.  

GDPR obligă operatorii să se asigure că acordul poate fi retras în orice moment, la fel de ușor cum poate fi dat, dar nu neapărat prin aceeași acțiune.

Cu toate acestea, în mediul electronic, dacă consimțământul pentru prelucrarea datelor este obținut printr-o singură acțiune (click, glisare, apăsare de taste etc.), retragerea ar trebui să fie posibilă prin aceleași mijloace. Consimțământul trebuie să fie explicit. Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Astfel, anunțurile de tipul “Navigarea pe acest site presupune acordul dumneavoastră de a…” devin ilegale.

Ce trebuie făcut până în intrarea în vigoare a regulilor GDPR?

Orice business online va avea de respectat 2 părți ale implementării GDPR în România. Prima parte este reprezentată de măsurile tehnice ce trebuie implementate la nivel de website, magazin online, platformă online, portal de știri. A doua parte o reprezintă măsurile interne ce trebuie luate în fiecare companie. Măsurile sunt pentru a respecta angajamentul de protecția a datelor personale.

La nivel intern, companiile trebuie să pună la punct un registru de date. Aici vor stoca un inventar al datelor personale stocate de-a lungul activității firmei respective. Articolul 171 al GDPR prevede ca în cazul în care date personale colectate anterior normativelor GDPR au fost obținute în baza unui consimțământ, atunci solicitarea unui nou acord nu mai este necesară.

Dacă acest consimțământ nu a fost acordat, atunci entitățile ce stochează aceste date personale trebuie să ceară acordul utilizatorilor de a păstra și/sau prelucra aceste date. În acest caz, companiile pot trimite un e-mail de notificare către acești utilizatori. Un email prin care să li se ceară permisiunea de a folosi datele lor personale în scopuri de marketing, cercetare, statistică, s.a.m.d. O astfel de notificare trebuie să conțină și informații despre ce parteneri sau terțe entități au acces la datele utilizatorilor. Dacă da, cum vor folosi aceste informații.

Ce este un Data Protection Officer (DPO) și cum îmi poate ajuta business-ul?

Un Data Protection Office (DPO) este o persoană desemnată în companie ca responsabilă cu protecția datelor. Este un angajat al firmei respective sau o persoană contractată în baza unui contract de prestări de servicii. Persoana responsabilă trebuie să fie desemnată pe baza calităților profesionale și a cunoștințelor în practicile protecției datelor.

Atribuțiile postului de DPO vor include monitorizarea aplicării regulamentului GDPR și implementarea altor normative europene sau guvernamentale. Toate acestea fiind în privința protecției datelor personale, furnizarea de suport de specialitate în ceea ce privește evaluarea impactului asupra protecției datelor.

Ce acțiuni concrete sunt necesare pentru a intra în conformitate cu noile reglementări?

În online, este necesară implementarea unor serii de măsuri atât tehnice cât și organizatorice, dintre acestea amintim:

• să înlocuiască consimțământul de tip „acord implicit” cu o „acțiune afirmativă”, ceea ce presupune modificarea paginii de Termeni și Condiții, a Politicii de Confidențialitate, a formulărilor de abonare;
• pentru acordarea consimțământului, va fi necesară bifarea unei căsuțe sau orice altă declarație sau acțiune care indică în mod clar acceptarea de către persoana vizată ce vizitează un site, a prelucrării datelor sale cu caracter personal;
• să asigure utilizatorilor posibilitatea ca acordul să poată fi retras în orice moment, la fel de ușor cum poate fi dat;
• să informeze vizitatorii într-un mod mai clar cu privire la identitatea lor, ce date colectează, de ce le colectează și pentru cât timp le păstrează;
• să avertizeze vizitatorii cu privire la părțile terțe care mai primesc respectivele date și în același timp să verifice dacă părțile terțe către care ar putea fi trimise datele transmit informațiile în afara UE;
• să restricționeze accesul la datele clienților doar angajaților care au nevoie de acele date pentru a-și îndeplini sarcinile de serviciu;
• să dețină un registru în care să țină cont de activitățile de prelucrare a datelor atunci când activitatea acestora nu este ocazională;
• să anunțe clienții cu privire la folosirea datelor pe care aceștia le oferă cum sunt datele de facturare și livrare, întrucât informarea clienților cu privire la datele colectate este obligatorie din momentul colectării datelor;
• să șteargă la cererea clientului, datele acestuia dacă cererea are un temei legal. indiferent dacă acest lucru se face prin suprascriere sau ștergere definitivă, atât timp cât procesul este ireversibil;

GDPR pentru WooCommerce și prelucrarea datelor personale pentru un magazin online

Prin această nouă definire a sintagmei „date cu caracter personal”. GDPR-ul mărește, de fapt, lista acestor tipuri de informații. Site-urile le solicită utilizatorilor în momentul abonării la newsletter/creării unui cont/derulării unei sesiuni de cumpărături ș.a.m.d.

Spre exemplu, potrivit reglementarilor aflate încă în vigoare. Identificatorii online și informațiile privind locația nu sunt considerate a fi astfel de date personale. Începând din 25 mai 2018, însă, vor intra sub incidența noului regulament. Așadar, site-urile vor fi nevoite să țină cont de acest lucru în pregătirea pentru GDPR și, pe mai departe, în respectarea normelor acestuia.

În cazul site-urilor și magazinelor online care aplică deja o bună practică a folosirii și stocării datelor cu caracter personal, nu este necesar să repete procedurile după data de 25 mai 2018. De exemplu, în cazul abonaților la newsletter, nu este necesar să li se ceară din nou consimțământul dacă acesta a fost obținut corect în prealabil. În caz contrar, orice entitate deține o bază de date cu adrese de e-mail, nume, adrese fizice, CNP-uri, CUI-uri sau orice alte date personale va avea obligația de a solicita persoanelor în cauza acordul explicit pentru a păstra, respectiv prelucra, aceste informații.

Încălcarea securității

Operatorii au obligația să îi informeze pe utilizatori în momentul în care a avut loc o încălcare a securității în privința datelor colectate de la ei. Încălcarea securității este o acțiune care duce în mod accidental sau ilegal, la:

• distrugerea datelor;
• pierderea datelor;
• modificarea datelor;
• divulgarea neautorizată a datelor;
• accesul neautorizat la datele colectate.

Ce sancțiuni riscă cei care nu se conformează noilor regulilor GDPR?

Află în rândurile de mai jos totul despre GDPR pentru WooCommerce.

Sancțiunile sunt acordate în funcție de fiecare caz în parte iar la stabilirea acestora se vor avea în vedere:

• natura, gravitatea și durata încălcării, avand în vedere și natura sau domeniul de aplicare și scopul prelucrării, precum și numărul de persoane afectate și prejudiciile suferite de către acestea;
• dacă încălcarea a fost comisă intenționat sau din neglijență;
• eventualele încălcări anterioare și gradul de responsabilitate;
• nivelul de cooperare cu autoritatea de supraveghere în vederea remedierii situației și atenuarea eventualelor prejudicii;
• modalitatea prin care încălcarea a fost adusă la cunoștință autorității de supraveghere;
• ce categorii de date cu caracter personal au fost afectate;
• orice alte circumstanțe agravante sau atenuante aplicabile cazului cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urmă încălcării.

Amenzile pot ajunge până la 20 milioane de euro sau la 4% din cifra de afaceri mondială totală anuală, luându se în calcul cea mai mare valoare. Puteți discuta mai multe cu un jurist despre implementare GDPR.