În contextul în care în anul 2018 va intra în vigoare un nou Regulament UE privind Protecția Datelor (GDPR) publicat în Jurnalul Oficial al Uniunii Europene Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) va anunțăm următoarele:

GDPR (acronimul în engleză pentru Regulamentul General privind Protecția Datelor) este un regulament european, cu aplicabilitate directă obligatorie, generală și automată în toate țările membre UE începând cu 25 mai 2018. Acest Regulament se aplică entităților care colectează și prelucrează date cu caracter personal, cu accent special pe protecția datelor cu caracter personal ale persoanelor fizice care se află în Uniunea Europeană. Versiunea integrală a actului normativ poate fi accesată aici.

GDPR este structurat în jurul a șase principii:

• Necesitatea transparenței cu privire la gestionarea și utilizarea datelor cu caracter personal.

• Limitarea procesării datelor cu caracter personal la scopurile specificate, legitime.

• Limitarea colectării și stocării datelor cu caracter personal la scopurile declarate.

• Oferirea posibilității persoanelor vizate de a corecta sau solicita ștergerea datelor cu caracter personal.

• Limitarea stocării datelor cu caracter personal doar la perioada necesară atingerii scopului.

• Asigurarea protecției datelor cu caracter personal prin practici de securitate adecvate.

Implicațiile intrării în vigoare a GDPR:

• Apar doua roluri noi în companii: rolul de chief information security officer (CISO), și protection officer (DPO), care trebuie să aibă atât cunoștințe juridice cât și tehnice;

• Rolul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sporește, devenind similar cu cel pe care îl joacă Consiliul Concurenței, în special prin prisma faptului că sancțiunile avute în vedere prin GDPR sunt similare, ca modalitate de calcul, cu cele din domeniul concurenței;

• Cele mai expuse la riscuri și penalizări sunt companiile private, astfel că primul pas pe care îl au de făcut este să identifice datele personale pe care le dețin, precum și scopurile (motivele) pentru care le prelucrează;

• Companiile sunt expuse unor riscuri mai mari, astfel că trebuie să-și pună la punct proceduri și politici interne care să asigure conformarea cu GDPR;

• Numele, emailul și adresa de IP sunt considerate date cu caracter personal atât de legea actuală, cât și de GDPR.

• Vor fi aplicate sancțiuni mărite pentru neconformare.

Ce au de făcut companiile

• Să obțină consimțământul persoanelor vizate pentru fiecare scop de prelucrare în parte;

• Să afișeze politicile de utilizare a cookie-urilor însoțite de un banner ce trebuie să anunțe existența lor la prima accesare a site-ului;

• Companiile trebuie sa afișeze termenii și condițiile, prin care se detaliază modul în care poate fi accesat și utilizat site-ul, precum și afișarea politicilor de confidențialitate

• În caz de incidente, companiile au 72 de ore pentru notificarea autorității din momentul în care au aflat de un posibil caz de încălcare a securității.

• Companiile trebuie să își facă o analiză internă prin care să identifice lacunele existente și să stabilească cadrul de reguli și norme necesare respectării noilor prevederi GDPR;

• Trebuie sa ia măsuri de precauție pentru siguranța datelor precum: pseudonimizarea și criptarea datelor, asigurarea confidențialității, capacitatea de a restabili disponibilitatea datelor în cazul unor incidente, aderarea la un cod de conduită aprobat.

• Compania trebuie sa garanteze și sa demonstreze ca datele sunt protejate;

• Pentru folosirea datelor trebuie cerut acordul specific și transparent , datele cu caracter personal putând fi folosite strict pentru motivul specificat în momentul colectării;

• Trebuie cerute doar datele utile pentru scopul propus ex: pentru trimiterea unui newsletter trebuie cerut doar emailul;

• Datele trebuie stocate pe o anumita perioada specificată în momentul colectării informațiilor. Nu se accepta păstrarea acestora pe o durata nelimitata;

• În cazul în care abonarea la newsletter a fost făcută corect, cu acordul persoanelor implicate, nu este necesara reconfirmarea abonării;

• Nu se aplică consimțământul deja selectat cu bifă în casete;

• Dacă este specificat și cerut consimțământul în formularul de comanda datele se pot folosi și pentru trimiterea newsletter-ului;

• Datele de pe LinkedIn nu pot fi folosite cu alt scop și nu pot fi preluate pentru folosirea în scopuri de marketing;

• Pentru facturare trebuiesc cerute doar datele necesare facturării

Datele cu caracter personal vor fi procesate de către: operator - persoana fizică care prelucrează datele cu caracter personal, persoana împuternicită de operator care prelucrează datele în numele operatorului. Operatorul poate fi reprezentat de compania care administrează magazinul online. Împuterniciții pot fi: platforma magazinului, compania care găzduiește platforma, firma de programare, curierii, procesatorii de plăți, furnizorii de marketing, terți (Google Analytics, Facebook).

Obligațiile operatorilor si imputerniciților:

-există obligația să fie un contract scris intre operator și împuternicit;

-imputernicitii nu au voie sa delege alti imputerniciti fara acordul operatorului;

-cel care contacteaza un potential client este obligat sa specifice de unde are datele;

-nu este admis sa specifici ca vei detine datele pentru totdeauna.

Aderarea la un cod de conduita aprobat sau la un mecanism de certificare aprobat poate fi utilizata ca element prin care sa se demonstreze îndeplinirea cerințelor de securitate

Ca orice altă societate, ContentSpeed se va regăsi în sfera de aplicare a GDPR pe de o parte ca entitate care prelucrează date cu caracter personal în procesul de recrutare de personal și de administrare a contractelor de muncă și a angajaților proprii, iar pe de altă parte ca persoană împuternicită în cadrul serviciilor prestate pentru clienții noștri . În ambele cazuri ne angajăm să urmăm principiile prevăzute de GDPR, să adoptăm politicile interne și măsurile de securitate adecvate și, în calitate de persoană împuternicită, să prelucrăm datele personale încredințate de clienții noștri strict conform instrucțiunilor transmise de aceștia și respectând în același timp scopurile și mijloacele de prelucrare stabilite de clienții noștri în calitatea lor de operatori de date cu caracter personal.

În ceea ce privește pachetul nostru de servicii, ne-am propus ca acestea să fie pregătite pentru GDPR prin funcționalitățile pe care le oferă standard. Obiectivul nostru este de a furniza un pachet de servicii care să permită clientului să își îndeplinească diversele obligații care îi revin conform GDPR şi care să încorporeze noile cerințe privind protecția datelor începând cu momentul conceperii (privacy by design) și în mod implicit (privacy by default).

Inițiativa aceasta face parte din misiunea pe care ne-am asumat-o în interesul clienților noștri. A dispune de un instrument cu funcționalitățile necesare pentru GDPR este doar un pas în procesul de conformare cu GDPR, instrument care nu scutește însă clienții ContentSpeed de propriul proces de implementare a principiilor GDPR și de propriile obligații privind adoptarea unor politici interne și măsuri de securitate adecvate. Recomandarea noastră așadar este ca fiecare dintre clienții noștri să își facă propria evaluare și să respecte cerințele impuse de GDPR.

Vă mulțumim pentru încrederea acordată prin alegerea ContentSpeed ca partener. Noi suntem și rămânem la dispoziția dvs. și vă rugăm să nu ezitați să ne contactați în orice moment pe această temă.