În urmă cu aproximativ 2 săptămâni am fost la evenimentul IAB Talks pentru a afla mai multe informații despre GDPR și ePrivacy, legislație care modifică destul de mult modul în care funcționează business-urile online.
Ce trebuie să știi:
GDPR – intră în vigoare în data de 25 mai 2018.
ePrivacy – încă este în discuții, este o lege/regulament care completează GDPR și cel mai probabil intra în vigoare în al doilea semestru din 2019.
Cele două ar trebui gândite de acum împreună în politicile interne întrucât se bat cap în cap în unele chestii.
Din varianta în limba română a GDPR au eliminat avertismentul și se trece direct la amendă. Din discuțiile cu politicul pare să fie o scăpare legislativă și exista promisiunea că o să fie reintrodus în noua versiune până în mai.
ePrivacy e mai dură decât GDPR în anumite aspecte. Dacă GDPR îți spune că poți să prelucrezi anumite date personale pentru a duce la îndeplinire un interes legitim al firmei (mai ales în cazul direct marketing), ePrivacy spune că nu mai poți să te bazezi pe el ci trebuie consimțământ pentru orice activitate.
ePrivacty – La nivel de site, prima dată iei consimțământul vizitatorului pentru tracking și apoi pui cookie. Dacă ai conținut gratuit pe site, trebuie să-l servești vizitatorului indiferent dacă îți dă acceptul sau nu pentru tracking.
ePrivacy – Continuarea accesării site-ului sau nu îți dă click pe acceptul explicit, nu înseamnă accord implicit.
GDPR – Dacă pentru colectarea adresei de mail, IP-ul, a numelui, se poate considera acord implicit prin utilizarea site-ului sau lăsarea unui comentariu, în cazul în care în același comentariu oferă informații despre: viața sexuală, starea de sănătate, originea rasială / etnică trebuie să cerem acordul explicit. De asemenea, trebuie să cereți acordul lor pentru adoptarea unor decizii pe baza unor prelucrări automate, inclusiv activități de profilare (art. 22 alin. (1) GDPR); transferul datelor personale în state cărora nu li s-a recunoscut un nivel de protecție adecvat (art. 49 alin. (1) a) GDPR).
Cererea de track-uire se afișează o dată pe zi, la prima accesare a site-ului.
Trebuie făcut un layered information system (layered approach) în care îi prezinți pe scurt vizitatorului cu ce-l trackuiești. La click pe info poți să-i servești un text mai amplu, în limbaj ușor de înțeles, la ce te ajuta informațiile pe care le colectezi, când le ștergi, ce vei face cu ele, către cine le cedezi, cum te poate contacta pentru stergere etc.
Există varianta în agenții de a realiza un fel de management console afișat pe site-urile care au login. Aici userii își vor da acceptul pentru întreaga rețea (dacă o singură companie deține mai multe site-uri).
Mai există propunerea ca site-urile să utilizeze beneficiile blockchain și să implementeze microplățile prin lightning network, asigurând astfel un acord explicit.
Dacă din aceeași companie mai mulți colegi lucrează cu date personale, trebuie stabilit dacă chiar au nevoie de acces la acele informații. De exemplu, la trimiterea unui newsletter dacă trebuie să vadă lista de e-mail-uri. Fiecare companie ar trebui să aibă un data protection officer (există cursuri dedicate) care să facă training tuturor colegilor care lucrează cu astfel de date.
Pe site-uri trebuie să afișăm în loc vizibil cele 3 documente:
- Politica de Cookies (cu descrierea fiecarui tip de cookie și cu ce ajuta utilizarea acelui cookie),
- Politica de Confidențialitate a datelor (cum sunt protejate ele) și o pagina cu
- Termeni și condiții de funcționare și de utilizare a site-ului (inclusiv care sunt condițiile prin care cineva poate comenta pe site, poate cere ștergerea datelor etc.)
Userii au dreptul să ceară informații despre datele lor pe care le deții și să-ți ceară să le ștergi. Dacă ștergerea ar însemna afectarea interesului legitim, poți să refuzi. Dacă sunt abuzivi în cereri, îi poți tarifa pentru fiecare activitate în parte. Răspunsul trebuie să-l dai în termen de 30 de zile de la primirea solicitării. Și doar motivând în cele 30 de zile de ce nu poți să-i răspunzi cererii poți să mai prelungești încă 30.
ePrivacy cel mai probabil o să modifice acest aspect și o să te oblige ca în momentul în care primești solicitarea de ștergere să o faci.
La toate formularele trebuie să punem check-box-uri cu link-urile celor 3 documente. Fără marcarea celor 3 nu ar mai trebui lăsați să te contacteze sau să comenteze pe site. Trebuie păstrat ip-ul de pe care s-a făcut bifarea & trimiterea.
Orice incident care afectează datele personale strânse trebuie notificat în termen de 72 de ore. Notificarea se face către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (www.dataprotection.ro) prin intermediul formularului online.
În acest moment, ANSDCP nu are suficienti oameni pentru control. Au dispus angajarea a încă 85 de persoane iar unor companii le-au fost trimise deja notificări pentru controale.
In cazul bloggerilor care fac afiliere dar nu păstrează adrese de e-mail / nu au formulare de comentarii pe site, singura problema pare să vină din partea rețelelor de afiliere și a faptului că au acces la IP-ul celor care au făcut comanda. Dacă rețelele ar modifica afișarea in cont pentru a blura finalul IP-ului (ultimele 6 cifre), ar trebui să fie totul ok. Ceilalți, care fac si colectare de date pentru newsletter, ar trebui să respecte informațiile de mai sus.
Informații utile despre GDPR
Pot fi găsite aici:
- Avocatnet.ro
- Dataprotection.ro
- articol hotnews
- un scurt ghid realizat de Ruxandra Sava, avocat și specialist protecția datelor (în luna aprilie îi iese și cartea la Universul Juridic)
- articolul meu anterior despre GDPR