Aici descoperim
dreptul tehnologiei

86237011_slide-6ba210eaa472dc8ff7a7a90efb6c7cecf2394b99-s800-c85.jpg

Cu ocazia celebrării a 2 ani de la aplicarea directă a RGPD în România, Silvia Uscov (Avocat) și Ruxandra Sava (Avocat) au transmis către ANSPDCP, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

ANSPDCP a răspuns în termenul legal petiției, spunând faptul că dacă datele cu caracter personal prelucrate (temperatura corpului) se înregistrează, GDPR devine aplicabil, iar pentru nerespectarea obligațiilor în temeiul GDPR, operatorii publici și privați riscă sancțiuni corective sau amenzi care pot ajunge până la 4% din cifra de afaceri. Dacă datele privind temperatura nu se înregistrează, GDPR nu se aplică.

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Extras din răspunsul ANSPDCP:

„(…) Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.”

Opinia comună a specialistelor (Ruxandra Sava și Silvia Uscov): „Deși putem cădea ușor în capcana de a afirma că termoscanarea nu înregistrează datele, trebuie să avem în vedere că unele dispozitive (de exemplu camere termografice cu soft integrat sau dispozitive de tip wearable) înregistrează datele personale by default. Totodată, chiar și în situația în care se utilizează un termometru digital non-contact (fără soft integrat) putem vorbi de un proces de înregistrare a datelor, dacă aceste date se coroborează cu alte date (de exemplul imaginile colectate prin CCTV)”

 

Extras din răspunsul ANSPDCP:

 

„(…) Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare a datelor, operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza și pe site-ul operatorului sau în locurile accesibile publicului. De asemenea, operatorii sunt obligați să respecte, în orice activitate de prelucrare a datelor personale, toate principiile de bază statuate de art. 5 din
RGPD.

Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Ca atare, operatorului îi revine obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. (…)

Art. 4 pct. 12 din RGPD definește „încălcarea securității datelor cu caracter personal” ca fiind o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.

În situația înregistrării în activitatea de prelucrare a datelor a unui incident de securitate sau a unei breșe de securitate, acest eveniment se notifică Autorității de Supraveghere, iar operatorul informează persoana vizată potrivit dispozițiilor art. 33 și 34 din RGPD sau ale art.
3 din Legea nr. 506/2004. (…)

Raportat la realizarea unei evaluări de impact, operatorul este obligat să procedeze la o asemenea evaluare în condițiile art. 35 din RGPD coroborate cu prevederile Deciziei nr. 171/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. În acest context, în măsura în care operatorul apreciază că prelucrarea ar genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, poate efectua o evaluare de impact și în alte situații decât cele stabilite de dispozițiile legale mai sus menționate.

Referitor la consultarea prealabilă a Autorității de Supraveghere, aceasta are loc în condițiile art. 36 din RGPD, respectiv ”înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.” și este condiționată de furnizarea, de către operatorul în cauză, a unor informații detaliate asupra prelucrării în cauză, precum și orice alte informații apreciate de către Autoritatea de Supraveghere ca fiid necesare.

În ceea ce privește calitatea de operatori asociați sau împuterniciți, raportat la art. 4 pct. 7 din RGPD care definește „operatorul”, coroborat cu art. 26 și 28 din regulament, Autoritatea de Supraveghere apreciază faptul că entitățile în cauză sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritatea Națională de Supraveghere în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.

Raportat la evidențele activităţilor de prelucrare, acestea se întocmesc și se țin de către operatori potrivit art. 30 din RGPD, și trebuie să conțină, printre altele, informații precum ”scopurile prelucrării” și ”o descriere a categoriilor de persoane vizate şi a
categoriilor de date cu caracter personal”.

Cât privește respectarea normelor de protecție a datelor în contextul stării de alertă declarate potrivit legii, în măsura în care persoana vizată apreciază că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare, are posibilitatea să își exercite drepturile față de operatorul respectiv și să se adreseze cu plângere sau sesizare ANSPSCP.

În acest context, drepturile persoanelor vizate sunt garantate de art. 15-22 raportate la art. 12 coroborat cu art. 13 și 14 din RGPD și se exercită în condițiile prevăzute de aceste dispoziții legale.

Referitor la un proces decizional automatizat, acesta se subsumează tuturor condițiilor stabilite de art. 22 din RGPD coroborat cu art. 3 din Legea nr. 190/2018.

În ceea ce privește consimțământul persoanei vizate pentru prelucrarea datelor sale, atunci când constituie condiție de legalitate a prelucrării, acesta trebuie să îndeplinească condițiile prevăzute de art. 4 pct. 11 coroborat cu art. 7 din RGPD, în măsura în care acest
regulament este aplicabil.

Sancțiunile pentru nerespectarea dispozițiilor RGPD, inclusiv a principiilor, a drepturilor garantate persoanei vizate și a condițiilor privind transferul datelor către o țară terță sau o organizație internațională, sunt stabilite în art. 58 alin. (2) coroborat cu art. 83
din Regulament și art. 15 din Legea nr. 102/2005, republicată, sub forma măsurilor corective, a avertismentului și amenzilor (de maxim 10 mil. sau 20 mil. de euro), care se aplică în funcție de circumstanțele fiecărui caz și gravitatea încălcării.

În ceea ce privește regimul sancționator pentru autoritățile și organismele publice, acesta este stabilit de Legea nr. 190/2018.  (…)”

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Te-ar putea interesa și:



portrait-surprised-happy-woman-holding-shopping-bags_171337-6047.jpg

Poți fideliza clienții utilizând resurse la îndemână de pe internet și respectând GDPR? Bineînțeles. A convinge o persoană să cumpere o singură dată de la tine, poate fi ușor. Însă pentru a o fideliza ai nevoie de strategii și de o utilizare corectă a datelor clientului. Acest articol se va focusa spre a-ți transmite câteva strategii la îndemână pe care le poți utiliza pentru a fideliza clienții și îți va spune și ce ai de făcut pentru a respecta GDPR și a folosi acest Regulament European în favoarea ta.

Și totuși… Ce e GDPR?

GDPR este un Regulament European care introduce standarde privind prelucrarea datelor cu caracter personal ale persoanelor fizice. În contextul articolului, vorbim despre clienții tăi. GDPR îți spune cum pot fi prelucrate (colectate, stocate, utilizate etc) datele clienților (nume, prenume, e-mail, telefon, adresă etc) astfel încât să nu li se încalce viața privată. Pentru neconformare, afacerile pot fi amendate cu amenzi până la 4% din cifra de afaceri, însă foarte multe companii utilizează principiile GDPR pentru a crește afacerile așa cum îți voi explica în următoarele articole.

Ce legătură are GDPR cu fidelizarea clienților?

Înainte de a discuta despre soluțiile pe care le poți utiliza pentru a fideliza clienții, aș vrea să aduc în discuție o temă care este de esența oricărei relații de succes cu clientul: comunicarea. Prin comunicare îți poți fideliza clientul și îl poți ține la curent cu privire la noi produse și servicii pentru a-l determina să cumpere încă o dată. Însă comunicarea se realizează pe prelucrarea datelor personale. Pentru a informa clientul ai nevoie de e-mail sau de telefon. Această comunicare trebuie să respecte GDPR pentru:

  • a te feri de eventualualele amenzi GDPR;
  • a te feri de plângerile/sesizările clienților pentru prelucrările neconforme;
  • a oferi respect și încredere clientului.

KIT GDPR Magazine Online

 

Puține companii știu faptul că acest Regulament European poate fi utilizat pentru creșterea afacerilor și pentru a fideliza clienții, iar noi pe acest blog am tot explicat prin articole cum poți utiliza GDPR în favoarea ta.

Ce soluții ai pentru fidelizarea clienților? Câteva exemple:

1. Chestionare de feedback

E dificil să evoluezi o afacere dacă nu știi părerea clienților cu privire la produsele sau serviciile pe care le oferi. În acest sens ai putea să utilizezi chestionare pentru a afla părerea clienților cu privire la produsele și serviciile pe care le oferi. După analiza chestionarelor, poți îmbunătăți procesele.
Cum faci acest lucru? Îți poți crea propriile chestionare utilizând o soluție gratuită cum este Google Forms sau poți utiliza soluții mai avansate ca CognitoForms sau Net Promoter Score®
Ce trebuie să știi despre GDPR: 
  • pentru a putea colecta date prin chestionare trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei colecta și aceste date. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 

2. E-mail marketing

Poți ține la curent clientul pe e-mail cu privire la produse și servicii noi sau alte oferte și promoții. Poți realiza acest lucru în mod automat prin soluții ca MailChimp care preiau automat baza de date a clienților și trimit e-mailuri la ce zi și oră dorești. Oricum abuzul acestui serviciu poate avea un efect contrar: clientul este deranjat și se dezabonează. Ideea e să găsești un echilibru și să nu trimiți prea multe e-mailuri.

Ce trebuie să știi despre GDPR: 
  • este recomandat să obții consimțământul clientului pentru a trimite astfel de newslettere, de exemplu printr-o bifă la formularul de înregistrare.
  • dacă vrei să promovezi servicii și produse similare produselor deja achizionate de client, nu ai nevoie de consimțământ deoarece Legea nr. 506/2004 instituie o excepție în acest sens. !Utilizează cu precauție această informație. Trebuie realizată o analiză a campaniei concret și cel mai sigur este să întrebi un avocat înainte.
  • clientul are dreptul oricum de a se dezabona și tu trebuie să îi permiți să își exercite acest drept;
  • pentru a putea face e-mail marketing trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei face e-mail marketing. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 

3. E-mail marketing bazat pe profilarea clientului

Aici rămân valabile toate aspectele discutate la punctul 2 de mai sus, însă, înainte de a-ți spune mai multe despre acest subiect, aș vrea să precizez faptul că această metodă ar trebui utilizată cu maximă precauție deoarece există șanse mari să se încalce GDPR. În principiu, înainte să introduci profilare clientului ar trebui să te consulți cu un avocat sau să te documentezi foarte bine pe internet din surse de încredere.

Ca să faci o profilare adecvată trebuie să ai date relevante despre clientul tău pentru a-i trimite exact mesajele care îl interesează.

Câteva lucruri despre GDPR: 

  • Poți prelucra doar ceea ce este strict necesar pentru profilare. GDPR nu îți permite să prelucrezi mai multe date decât îți trebuie.
  • pentru a putea face e-mail marketing bazat pe profilare trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei profilare și cum o realizezi. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 
  • nu poți profilare (cu anumite excepții) pe categorii speciale de date: originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, de date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
  • profilarea pentru a determina clientul să cumpere nu are, în general, riscuri mari, însă dacă prin profilare se produc consecințe neplăcute pentru client (cum ar fi interzicerea unui drept) sunt șanse să încalci GDPR și să fii amendat. Aici depinde foarte mult și ce fel de servicii oferi deoarece contextul diferă. O aplicație de food-delivery care colectează preferințele alimentare a unei persoane va implica riscuri mult mai mici față de o aplicație online de sănătate care colectează diverse date privind sănătatea.
  • e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.
  • în funcție de situația concretă a afacerii (numărul de clienți, metoda de comunicare, datele prelucrate etc) e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.

4. Campanii de ziua clientului

Această strategie este utilizată de foarte multe companii pentru a fideliza clienții, însă prezintă riscuri mari ar trebui utilizată cu maximă precauție deoarece există șanse mari să se încalce GDPR. În principiu, înainte să introduci campanii de ziua clientului ar trebui să te consulți cu un avocat sau să te documentezi foarte bine pe internet din surse de încredere.

Câteva lucruri despre GDPR: 

  • pentru a putea face e-mail campanii de ziua clientului, în majoritatea cazurilor, trebuie să îi ceri consimțământul în acest sens. 
  • trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei face campanii de ziua lui. Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 
  • în funcție de situația concretă a afacerii (numărul de clienți, metoda de comunicare etc) e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.

5. Alte forme de fidelizare: invitații la evenimente, reduceri, promoții, vouchere, concursuri etc

Aceste forme de fidelizare chiar dacă nu generează un venit imediat mențin interesul clientului față de afacerea ta și îți oferă un avantaj în fața concurenței.

Pentru a face astfel de campanii pentru a fideliza clienții poți utiliza diverse metode de a comunica, iar aspectele discutate anterior cu privire la GDPR rămân valabile.

6. Programe de loialitate

Poți menține interesul clientului față de afaceerea ta prin a-i da acestuia posibilitatea să acumuleze puncte, iar în schimb să beneficieze de anumite promoții/discount-uri. Programele de loialitate pot fi folosite și în afacerile online, deși sunt rar utilizate în România.

Cu privire la GDPR, în această situație rămân valabile aspectele discutate anterior la punctul 4.

Pot fideliza clienții fără a respecta GDPR?

Întrucât a fideliza clienții înseamnă o bună comunicare cu aceștia și un respect față de datele lor, pentru a avea succes pe termen mediu și lung ai nevoie de integrarea principiilor GDPR în business-ul tău. Nicio afacere nu își dorește clienți care să depună reclamații. Afacerile își doresc clienți mulțumiți și fideli, de aceea integrarea principiilor GDPR ar trebui să se realizeze natural și să găsească un echilibru între protecția vieții private a clientului și profitul afacerii tale. Oamenii devin din ce în ce mai conștienți de drepturile pe care le au în temeiul GDPR și au așteptări din ce în ce mai mari cu privire la respectul față de utilizarea datelor cu caracter personal.

Ai o întrebare? Scrie-mi: ruxandra.sava@legalup.ro

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



parcel-paper-cartons-with-shopping-cart-logo-trolley-laptop-keyboard-shopping-service-online-web-offers-home-delivery_9635-3446.jpg




Magazinele online sunt o facilitate pentru publicul larg. Acestea s-au prefigurat în obișnuință, iar online-ul a devenit un stil de viață și un mod eficient de a avea produsul dorit într-un timp cât mai scurt. Pe lângă faptul că reprezintă o facilitate în sine, prin intermediul sistemelor online se pot dezvolta și idei de afaceri. Magazinele online reprezintă o idee de afacere care funcționează din ce în ce mai bine. Dar de la idee la materializare, mai este un ,,click” distanță. Pentru a afla cum putem deschide un magazin online în mod rapid și care să funcționeze eficient, sunt necesari anumiți pași. În cadrul prezentului articol, vom arăta care sunt pașii pe care trebuie să îi urmeze persoanele care vor să își deschidă propriul magazin online.

Vrei să îți deschizi propriul magazin online sau ești curios ce pași trebuie făcuți în această direcție? Vom arăta și analiza pe rând care sunt pașii pe care trebuie să îi urmezi și de ce ai nevoie ca să îți deschizi magazinul tău online.

Care este primul pas de urmat atunci când dorim să avem propriul magazin online?

În primul rând, pentru a putea demara procesul de a înființa un magazin online, este nevoie să deschidem o firmă. De ce? În cazul în care activitatea de comerț va fi una continuă, adică magazinul va fi folosit în mod constant cu scopul de a face profit pentru a vinde un produse sau un anumit gen de produse, este necesar să înființăm o societate comercială care să fie înmatriculată la Registrul Comerțului. Astfel, prin stabilirea tipului de activitate pe care societatea o va desfășura, în baza codului CAEN, al unui nume, al sediului social, întocmirea actului constitutiv și depunerea acestuia la Registrul Comerțului, se va naște societatea și avem cadrul legal prin intermediul căruia să ne desfășurăm activitatea.( Sediul materiei este Legea 31/1990 privind societățile comerciale).

Poți afla aici cum poți înființa o firmă online. 

Platformele eCommerce. Ce sunt ele?

Înființarea unei societăți, în cazul nostru, reprezintă fundația peste care se va construi magazinul online. Platformele eCommerce reprezintă, în aceeași idee, structura de rezistență, modul de construire al paginii web (interfața). Există două tipuri de platforme eCommerce: platforme găzduite (SaaS) și platformele open-source. (Deși) Doar sună complicat, vom (realiza o analiză succintă prin care să înțelegem care sunt avantajele și dezavantajele)  prezenta succint avantajele și dezavantajele pe care le prezintă fiecare dintre cele doua.

Platformele găzduite (ex: platforma WordPress) sunt cele care vin împreună cu funcționalitățile de care ai nevoie la început, pentru acestea se plătește o sumă lunară fixă și nu au nevoie de mentenanță, așadar, nu este nevoie de o echipă de oameni specializați în IT. Pentru o imagine mai clară, acestea au un schelet prestabilit, iar cel care se folosește de ea stabilește design-ul și cum va funcționa.

Platformele open-source (ex: platforma WooCommerce) sunt cele care au nevoie de gazduire( de mentenanță) de către cel care se folosește de aceasta, făcând costul folosirii mai ridicat, dar oferă un grad ridicat de flexibilitate.

 

KIT GDPR Premium

 

Cum procedăm imediat după ce avem site-ul?

Trebuie să ne asigurăm că respectăm legislația (legislația comerțului electronic, protecția consumatorului, GDPR), întocmim și urcăm pe site documentația necesară (Termeni și Condiții, Politică de confidențialitate, Politică privind utilizarea modulelor cookies).

Găsești aici un KIT complet de documente necesare pentru un magazin online.

Este foarte important pentru un consumator să poată identifica societatea care stă în spatele paginii, astfel articolul 5 din Legea 365 din 2002 prevede obligația paginii de a afișa în mod clar, vizibil și permanent următoarele informații:

  1. numele sau denumirea societății;
  2. sediul societății;
  3. numerele de telefon, fax, adresa de poștă electronică și orice alte date necesare contactării societății în mod direct și efectiv;
  4. numărul de înmatriculare sau alte mijloace similare de identificare, în cazul în care societatea este înscris în registrul comerțului sau în alt registru public similar;
  5. codul de înregistrare fiscală;
  6. în cazul în care activitatea societății este supusă unui regim de autoritate, sunt necesare datele de identificare ale autorității competente;
  7. titlul profesional și statul în care a fost acordat, corpul profesional sau orice alt organism similar din care face parte, indicarea reglementărilor aplicabile profesiei respective în statul în care furnizorul de servicii este stabilit, precum și a mijloacelor de acces la acestea, în cazul în care furnizorul de servicii desfășoară o activitate profesională reglementată;
  8. tarifele aferente serviciilor oferite, care trebuie indicate cu respectarea normelor privind comercializarea produselor și serviciilor de piață, cu precizarea scutirii, includerii sau neincluderii taxei pe valoarea adăugată, precum și a cuantumului acesteia;
  9. includerea sau neincluderea în preț a cheltuielilor de livrare, precum și valoarea acestora, dacă este cazul;
  10. orice alte informații pe care furnizorul de servicii este obligat să le pună la dispoziție destinatarilor, în conformitate cu prevederile legale în vigoare

Aceste informații vor fi urcate sub forma unui document denumit în practică Termeni și Condiții. 

O altă condiție este inserarea unui link către adresa oficială a Agenției Naționale pentru Protecția Consumatorilor( www.anpc.gov.ro), conform Ordinul ANPC nr. 433/2009.

Trebuie, de asemenea, respectate condițiile referitoare la protecția datelor cu caracter personal. Poți descărca de aici un ghid pentru a ști ce ai de făcut în materie de protecție a datelor personale.

În al șaselea rând, în momentul în care o persoana comandă un produs de pe magazinul online, juridic, se încheie un contract. Acesta, conform art. 2 OUG 34/2014, este un contract la distanță( încheiat prin mijloace de comunicare la distanță și fără prezența fizică a părților), iar pentru acesta trebuie să existe o pagină în cadrul site-ului care să cuprindă obligatoriu următoarele elemente( vezi art. 6 OUG 34/2014):

  1. drepturile și obligațiile părților;
  2. principalele caracteristici ale produselor sau serviciilor, având în vedere mediul de comunicare şi produsele sau serviciile în cauză;
  3. identitatea profesionistului, cum ar fi denumirea sa comercială;
  4. adresa poştală la care profesionistul este stabilit/cea la care își desfășoară activitatea, precum şi, în cazul în care există, numărul de telefon, numărul de fax şi adresa de poştă electronică ale acestuia la care poate fi efectiv contactat;
  5. preţul total al produselor şi serviciilor cu toate taxele incluse;
  6. modalităţile de plată, livrare, executare, data până la care profesionistul se angajează să livreze produsele sau să presteze serviciile;

În al șaptelea rând, este necesar să existe o pagină referitoare la returnarea produselor, incluzând un formular pentru retururi, una pentru livrare, una referitoare, o pagină referitoare la politica de confidențialitate și la prelucrarea datelor cu caracter personal.



Concluzii

Înființarea unui magazin online reprezintă o reală oportunitate pentru fundamentarea unei afaceri de succes. Principalul avantaj este reprezentat de reducerea interacțiunii la nivel fizic (reprezentând un beneficiu în contextul social actual) și dezvoltarea unei interacțiuni virtuale, care se va realiza în mod rapid și eficient. În acest fel există posibilitatea de identificare directă a potențialului cumpărător, dar și de informare completă și corectă a acestuia cu privire la toate aspectele (de la nivel organizatoric, până la modalitățile de livrare, mijloacele de plată, ș.a.). Un aspect important privind conturarea unei afaceri în online este reprezentat de necesitatea protecției datelor persoanelor care au acces direct la serviciile oferite. Astfel, atunci când procedăm la deschiderea unui magazin în sfera online, trebuie să avem în vedere prevederile în materie de protecție a datelor cu caracter personal.

 

Cum te putem ajuta?:

  • Înființare firmă online. Ne poți contacta aici
  • KIT complet de documente pentru magazine online. 
  • Redactare documentație juridică (Termeni și Condiții, Politică de confidențialitate, Politică de retur, Politică privind Cookies). Ne poți cere o ofertă aici. 

 

Pe același subiect:



padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat astfel:

  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (5) lit. a) din RGPD – amendă în cuantum de 14336,1 lei, echivalentul a 3000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amendă în cuantum de 47787 lei, echivalentul a 10.000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amendă în cuantum de 4778,7 lei, echivalentul a 1000 euro.

Te-ar putea interesa și:

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane.

Deși respectiva eroare a fost sesizată atât operatorului, cât și call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail.

În urma investigației s-a constatat că Hora Credit IFN SA a prelucrat datele fără să dovedească aplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD.

De asemenea, s-a constatat că operatorul nu a luat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să evite dezvăluirea neautorizată și accesibilă a datelor persoale către terți.

Totodată, Hora Credit IFN SA nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 din RGPD, în termen de 72 de ore de la data la care a luat cunoștință de acesta.

 

 

În același timp, oeratorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale în scopul încheierii și executării contractelor de împrumut, în special, sub aspectul verificării datelor personale colectate, precum adresa de poștă electronică, ce permit comunicarea la distanță a datelor personale, prin implementarea unor metode eficiente de validare a exactității datelor – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță (de exemplu, prin poșta electronică), prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (precum criptarea), cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din RGPD – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



DPIA1.png

Ne-am propus să scriem despre GDPR dintr-o perspectivă puțin mai practică, iar azi vă prezentăm un scurt ghid despre evaluarea de impact.

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

 

 

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

 

Te-ar putea interesa și:

 

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

KIT GDPR Premium

 

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Următoarea figură ilustrează procesul descris anterior.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

 

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. Noi am inclus în KIT GDPR Premium, un șablon editabil Word și precompletat pentru efectuarea unei evaluări de impact, împreună cu o procedură operațională pentru efectuarea evaluării de impact (află mai multe aici).

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).

Ai nevoie de un șablon pentru efectuarea unei evaluări de impact? O găsești în KIT-ul nostru de implementare. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-5.png

Autor: Av. Ruxandra Sava, CIPP/E

Rațiunile comerciale determină companiile să pună la comun resurse pentru a duce pune la cale un proiect, însă aceste proiecte comune au, în unele situații, implicații în sfera GDPR în măsura în care companiile împart baze de date, stabilind împreună scopurile și mijloacele prelucrării datelor cu caracter personal.

Pentru o protecție adecvată a datelor cu caracter personal ale persoanelor vizate prelucrate împreună de către operatorii asociați, este obligatoriu ca fiecare operator asociat să respecte obligațiile impuse de GDPR și, mai mult decât atât, să stabilească un cadru general privind responsabilitatea fiecăruia față de persoanele vizate, ca de exemplu, cine informează și cine răspunde la cererile persoanelor vizate în temeiul GDPR.

Relațiile entităților angajate în protecția datelor iau naștere și se dezvoltă în medii complexe, dar, oricând de complex ar fi aceste medii, este important ca rolurile și responsabilitățile fiecărui operator asociat să fie distribuite în mod clar pentru a da eficiență legislației europene și naționale privind protecția datelor cu caracter personal.

Însă, înainte de a intra în subiectul gestionării eficiente a relației dintre operatorii asociați, trebuie să pornim de la o întrebare esențială: „Există o relație de operatori asociați?”. Pentru a răspunde la această întrebare, Fostul Grup de Lucru Art. 29, actual Comitet European pentru Protecția Datelor recomandă să se identifice dacă există sau nu un „control comun” asupra prelucrării datelor cu caracter personal. Dacă există acest control comun, entitățile vor fi într-o relație de operatori asociați, în caz contrar fiecare va avea calitatea de operator independent.

Exemplu #1: Amplasarea unor camere CCTV

O Organizație încheie un contract cu o societate de securitate pentru amplasarea unor camera CCTV în interiorul imobilelor unde există sediile și punctele de lucru. Având în vedere că scopul monitorizării CCTV și modalitatea în care datele personale (imaginile) sunt prelucrare (colectate, stocate etc) rămân în sarcina exclusivă a Organizației, Organizația este operator independent pentru această activitate de prelucrare, iar între părți nu există o relație de operatori asociați.

Exemplul #2: Agenție de turism

O agenție de turism, un hotel și un operator de servicii aeriene decid să construiască un site comun pentru procesarea mai eficientă a călătoriile. Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate, cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate rezervările și persoanele care pot avea acces la informațiile stocate. Mai mult, ele hotărăsc să împartă baza de date a clienților pentru acțiuni de marketing comune. În această situație, cei trei operatori au un control comun asupra modalității de prelucrare a datelor și au rolul de operatori asociați pentru această activitate de prelucrare. [1]

[1] Exemplu din documentul Grupului de Lucru Art. 29: Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”

Pașii de urmat pentru gestionarea cu succes a relației dintre operatorii asociați

Pasul 1.

Creați o listă a tuturor organizațiilor care ar putea avea calitatea de operator asociat și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de operatori asociați cu Organizația dvs.

Pasul 2.

Luați legătura cu fiecare operator asociat pentru a stabili, în linii mari, cadrul relației operator-asociat și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate.

Pasul 3.

Redactați drafturile de contracte de prelucrare cu operatorii asociați pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu operatorii asociați la pasul anterior. Puteți găși un model de contract separat aici sau inclus în KIT-ul nostru de implementare. În măsura în care nu ați reușit să luați legătura cu o parte dintre operatorii asociați, creați drafturile de contracte potrivit informațiilor pe care le dețineți în prezent.

KIT GDPR Premium

Pasul 4.

Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.

Pasul 5.

Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu operatorii asociați care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.

 

Cum te putem ajuta?

Te-ar putea interesa și:



Tu-îti-cunosti-drepturile-fundamentale_-2.png

Registrul prelucării datelor cu caracter personal (evidențele activităților de prelucrare) permite înregistrarea prelucrărilor de date efectuate și oferirea unei imagini de ansamblu a utilizării datelor cu caracter personal în cadrul unei companii.

Registrul prelucării datelor cu caracter personal este obligatoriu pentru majoritatea companiilor și este reglementat de  articolul 30 din RGPD. Evidența face parte din documentația de conformitate pe care trebuie să o dețină orice companie pentru a demonstra conformitatea cu GDPR în eventualitatea unei investigații. 

Document de identificare și de analiză, evidența trebuie să reflecte realitatea prelucrărilor de date cu caracter personal și vă permite să identificați cu precizie:

  • părțile implicate  care intervin în prelucrarea de date,
  • categoriile de date prelucrate,
  • la ce servesc aceste date (scopurile, ce faceți cu ele), cine are acces la date și cui sunt comunicate,
  • pentru ce perioadă de timp sunt păstrate,
  • în ce mod sunt securizate.

Dincolo de îndeplinirea obligației prevăzute la articolul 30 din RGPD, registrul prelucării datelor reprezintă un instrument de îndrumare și de demonstrare a conformității dumneavoastră cu RGPD (un model de registru găsiți aici). Aceasta vă permite să vă documentați prelucrările de date și să ridicați problemele potrivite: am nevoie cu adevărat de această informație în cadrul prelucrării mele? Este relevant să păstrez toate aceste date pentru atât de mult timp? Datele beneficiază de o protecție suficientă? 

Crearea și actualizarea evidenței reprezintă astfel ocazia de a identifica și a ierarhiza riscurile cu privire la RGPD. Această etapă esențială vă va permite să stabiliți pe baza ei un plan de acțiune de punere în conformitate a prelucrărilor dumneavoastră cu normele de protecție a datelor.

KIT GDPR Premium

 

Cine este obligat să țină registrul prelucrării datelor cu caracter personal?

Regulamentul obligă operatorii şi persoanele împuternicite să ţină o evidenţă a activităţilor de prelucrare (registrul prelucrării datelor) în următoarele situaţii, în vederea demonstrării conformităţii:

• atunci când entitatea are mai mult de 250 angajaţi;

• prelucrarea este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanei vizate prelucrarea include categorii speciale de date;

• prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizaţie să aibă o evidenţă internă a activităţilor care să fie revizuită periodic.

Dacă o companie are atât calitatea de operator, cât și calitatea de persoană împuternicită este recomandat să se țină două registre pentru fiecare calitate.

Registrul prelucrării datelor trebuie să identifice toate prelucrările efectuate de organizația dumneavoastră.

În practică, pentru fiecare dintre aceste activități trebuie stabilită o fișă de evidență.

 

 

Pentru fiecare activitate de prelucrare identificată, registrul trebuie să cuprindă cel puțin următoarele elemente:

  1. numele și datele de contact ale operatoruluiu și, după caz, numele și datele de contact ale operatorului asociat;
  2. scopurile prelucrării, obiectivul pentru care ați colectat aceste date;
  3. categoriile de persoane vizate (clienți, persoane prospectate, angajați etc.)
  4. categoriile de date personale (exemple: identitatea, situația familială, economică sau financiară, datele bancare, datele de conectare, datele de localizare etc.)
  5. categoriile de destinatari cărora datele cu caracter personal au fost sau vor fi divulgate, inclusiv subcontractanții la care apelați
  6. transferurile de date cu caracter personal către o țară terță sau o organizație internațională și, în anumite cazuri foarte speciale, garanțiile prevăzute pentru aceste transferuri;
  7. termenele prevăzute pentru ștergerea diferitelor categorii de date, cu alte cuvinte durata de păstrare sau, în lipsa acestor termene, criteriile care permit determinarea duratei
  8. în măsura în care este posibil, o descriere generală a măsurilor de securitate tehnice și organizatorice pe care le puneți în aplicare.

Ce formă trebuie să aibă evidența?

RGPD prevede doar că registrul prelucrării datelor trebuie să fie ținută în scris. Formatul evidenței este liber, pe suport de hârtie sau electronic. Noi recomandăm ținerea registrului în format electronic pentru a putea fi actualizat cu ușurință. Un model de registru în format Excel găsiți aici

Cui este comunicat registrul prelucrării datelor?

Prin natura sa, registrul prelucrării datelor este un document intern, care trebuie, mai înainte de toate, să ajute organizația în asigurarea conformității.

Cu toate acestea, evidența trebuie comunicată către ANSPDCP, atunci când ANSPDCP solicită acest lucru. ANSPDCP va putea să o utilizeze în exercitarea atribuțiilor sale de investigare.

 

Te-ar putea interesa și:

 

Bune practici

Prin completarea registrului prelucrării datelor cu informații suplimentare, puteți transforma evidența într-un adevărat instrument de îndrumare cu privire la conformitatea dumneavoastră cu GDPR. Într-adevăr, obligațiile de documentare prevăzute de GDPR nu se limitează la obligația de a ține o evidență, prevăzută la articolul 30 din GDPR. Dispunerea, în același document, de toate informațiile referitoare la prelucrările pe care le efectuați și prevăzute deGDPR, vă va permite să vă asigurați, în fiecare moment, că respectați normele de protecție a datelor sau să identificați acțiunile pe care trebuie să le desfășurați pentru a atinge acest obiectiv.

Această evidență va putea, de asemenea, să fie utilizată de către responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale, sau chiar consultată de orice alt colaborator al organizației însărcinat cu prelucrări de date.

  • De exemplu, adăugând în registrul prelucrării datelor informațiile necesare pentru informarea persoanelor (baza legală a prelucrării și, după caz, temeiul juridic al transferului de date către o țară terță, drepturile care se aplică prelucrării, existența sau nu a unei decizii automate, originea datelor etc.), veți putea să o utilizați pentru a redacta notele de informare.
  • De asemenea, veți putea consemna în evidență un istoric al încălcărilor securității datelor și veți putea identifica toate documentele legate de transferurile de date în afara Uniunii Europene (clauze contractuale, BCR [binding corporate rules = reguli corporatiste obligatorii] etc.) și pe cele referitoare la persoanele împuternicite și contractele încheiate cu persoanele împuternicite. 

Ai nevoie de un model de registru al prelucrării datelor cu caracter personal cu exemple concrete de completare? Îl găsești aici, împreună cu celelalte documente necesare conformității. 

 

Sursa CNIL



tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

KIT GDPR Premium

 

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


date-4.png

Comsimțământ GDPR. Ghid complet pentru operatori

 

Oana Neghină, Consilier Juridic

Ruxandra Sava, Avocat, CIPP/E

Pe scurt

GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.

Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.

  • Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
  • Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
  • Consimțământul explicit necesită o declarație foarte clară și specifică.
  • Păstrați formularele de consimțământ separate de contracte sau termeni și condiții. 
  • Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
  • Fiți clari și conciși.
  • Facilitați retragerea consimțământului de către persoanele vizate.
  • Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
  • Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
  • Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.

Ar trebui să te asiguri că:

  • Consimțământul este cel mai potrivit temei pentru prelucrare.
  • Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
  • Oamenii pot să opteze pozitiv.
  • Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
  • Se foloște un limbaj clar, simplu, ușor de înțeles.
  • Se specifică de ce se solicită datele și ce se va face cu ele.
  • Oferim opțiuni distincte (“stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
  • Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
  • Le spunem persoanelor că își pot retrage consimțământul.
  • Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
  • Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
  • Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
  • Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
  • Menținem o evidență exactă a ceea ce li sa spus în acel moment.
  • Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
  • Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
  • Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
  • Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
  • Acționăm în urma retragerii consimțământului cât mai curând posibil.
  • Nu sancționăm persoanele care doresc să-și retragă consimțământul.

KIT GDPR Premium

 

 

Ce mai e nou?

GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.

GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă (“granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.

Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.

GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.

Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.

De ce este important consimțământul?

Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.

Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.

Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.

Când este potrivit consimțământul?

Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.

Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.

Ce reprezintă consimțământul valabil?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.

Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.

Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.

Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.

Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?

Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:

  • Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
  • de ce solicitați datele;
  • ce veți face cu ele; și
  • faptul că persoanele fizice își pot retrage consimțământul în orice moment.

Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au.  Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate (“stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.

Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.

Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.

Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră. 

Sursa aici

 

[maxbutton id=”9″ ]