Cum sa implementezi GDPR pe site-ul tau in 5 pasi simpli

Disclaimer: Înainte de a începe, doresc să specific faptul că nu sunt un expert acreditat GDPR. Dacă dezinformez prin acest articol, vă rog să mă alertați în zona de comentarii. Voi rectifica. Acești pași sunt utili pentru a evita problemele, dar nu pot garanta siguranța împotriva unui control. Așadar, nu pot fi tras la răspundere pentru eventuale situații care apar. Dacă dețineți o companie mare care colectează date sau care se ocupă strict cu colectarea si prelucrarea de date, luați legătura cu un avocat sau un specialist juridic acreditat GDPR.

Dacă nu ai implementat încă GDPR pe website-ul tău, ar fi o idee bună să o faci. Legea intră in vigoare mâine, pe 25 Mai 2018. Amenzile pot fi extrem de mari, de până la 20 de milioane de $.

Din păcate, în ciuda faptului că GDPR specifică necesitatea unui limbaj pe înțelesul tuturor despre colectarea și prelucrarea datelor personale, regulamentul oficial este extrem de greu de înțeles și plin de jargon.

Poate chiar mai grav este faptul că website-ul oficial legat de GDPR, ce conține toate informațiile necesare, este offline (22-24 Mai 2018). Acelasi lucru este valabil și pentru dataprotection.ro, care a fost offline o perioadă de timp. Acolo puteți citi toate informațiile despre GDPR, în română. Poate că numărul uriaș de vizitatori din ultimele zile către acest website a suprasolicitat serverele.

Site-ul GDPR a fost offline pe 24 mai

Ce e ciudat e că, în unele situatii, site-ul european redirecționează către o platformă ce oferă servicii de protecție a datelor. Ce e asta, un fel de schemă? Dai o lege apoi vinzi servicii? Poate că website-ul n-a fost niciodată cel oficial (deși e primul atunci când cauți ‘Official GDPR Website’), sau poate că a fost spart.

GDPR redirectioneaza catre site-ul Trunomi, pe 24mai 2018

Am testat și cu un tool și rezultatele au fost similare, deși pe unele tool-uri parea că merge, probabil din cauza redirecționării.

Test cu un Tool, site-ul GDPR era offline pe 24mai

Interesant cum o instituție care susține protecția datelor și îi pedepseste pe alții dacă nu o fac, nu-și poate proteja propriul website, nu?

Cu toate acestea, nu este cazul sa ne alarmăm îngrozitor. Legea urmărește în special companiile de colectare și prelucrare a datelor. Dacă ai o companie mică, un magazin online sau ești blogger, trebuie doar să te asiguri că respecți câteva reguli. Probabil multe dintre ele le respectai deja.

Ba chiar mai mult, diverse platforme efectuează lucrări de conformitate cu GDPR. Așadar, probabil nici nu va mai trebui să îți faci griji atunci când folosești WordPress, MailChimp, WooCommerce etc.

Nu în ultimul rând, în primul an se vor da doar avertismente. Evident, amenzile pot fi aplicate în cazul în care nu vă conformați. Totuși, autoritățile ar trebui să specifice în mod concret care sunt problemele, pentru a putea fi rezolvate.

Ce este GDPR?

GDPR este o prescurtare pentru General Data Protection Regulation, ce în Română se traduce ca Regulament General Pentru Protecția Datelor. Acesta are ca scop informarea utilizatorilor asupra modului în care sunt utilizate datele lor cu caracter personal.

Acest regulament a fost adoptat în Aprilie 2016 și a intrat în vigoare pe data de 25 Mai 2018. Spre deosebire de alte directive, aceste tipuri de Regulamente Europene nu necesită legi naționale. Ele întră în vigoare direct în toate statele Uniunii Europene.

GDPR este cu atât mai special, deoarece se aplică la nivel global. Aceasta se adresează oricăror companii și website-uri care colectează date despre cetățenii de pe teritoriul Uniunii Europene. Din acest motiv, mai este denumită și EU GDPR.

1. Informații colectate & Date cu caracter personal

Prima regulă la care regulamentul te supune este să ții o evidență clară asupra datelor colectate și să nu colectezi date cu caracter personal de care nu ai nevoie.

Datele cu caracter personal pot include, dar nu se limitează la, următoarele:

  • Adrese de e-mail
  • Nume
  • Date de naștere
  • Telefon
  • Informații din documente de identitate
  • Adresa
  • IP

De multe ori acestea sunt colectate prin:

  • Secțiuni de comentarii (nume, e-mail, IP)
  • Formulare de contact
  • Instrumente de monitorizare a traficului (precum Google Analytics)
  • Formulare de newsletter (precum MailChimp)
  • Diverse alte aplicații terțe

Așadar, daca deții astfel de informații stocate undeva, fie într-un Excel fie într-o baza de date a unui website, asigură-te că păstrezi doar ce iți este cu adevărat necesar.

2. Consimțământ & Accesibilitate

Un set de reguli GDPR foarte importante sunt consimțământul utilizatorilor și accesul lor la datele colectate.

Cu alte cuvinte, trebuie să te asiguri că, oricând colectezi date cu caracter personal, utilizatorul își dă explicit acordul. Pentru a face acest lucru, poți utiliza căsuțe care trebuiesc bifate, în care întrebi utilizatorul dacă este de acord.

Tot acolo trebuie să intrduci și un link către termenii și condițiile website-ului, în care îi vei explica concret ce date colectezi. Vom discuta și despre asta imediat.

Odată ce datele au fost colectate, utilizatorul trebuie să le poată accesa ușor. Cu alte cuvinte, dacă un utilizator te întreabă ce date cu caracter personal deții asupra lui, ești obligat să îi răspunzi. Utilizatorul poate cere ca aceste date să fie șterse.

O altă variantă ar fi e-mail-urile cu dublă verificare. Atunci când cineva se înscrie în newsletter, primește un e-mail de confirmare. Dacă nu îl confirmă, nu își dă acordul.

Cei care încă nu au cerut acordul utilizatorilor cu privire la abonarea într-un newsletter, sunt obligați să trimită un e-mail în care consimțământul să fie dat.

Cu alte cuvinte, dacă nu ai utilizat double opt-in în trecut, va trebui să ceri acordul de la toți abonații existenți.

Dacă utilizatorii nu își dau acordul, datele lor trebuie șterse și nu le mai poți trimite e-mail-uri. WordPress deja oferă posibilitatea de a șterge utilizatori. Pentru a face acest lucru, mergi la secțiunea Unelte, din Dashboard-ul WP, dacă rulezi pe ultima versiune.

Pentru cei care au cerut deja consimțământul, un simplu mail în care se specifică actualizarea termenilor și condițiilor este suficient. Puteți, desigur, cere din nou acordul, dar veți pierde probabil abonați.

Un link de dezabonare sau gestionare a datelor cu caracter personal este obligatoriu în fiecare e-mail trimis prin newsletter.

Dacă rulezi pe WordPress, poți folosi următorul plugin pentru a rezolva o parte din aceste probleme legate de consimțământ. Multe platforme deja iau măsuri și implementează căsuțe în secțiuni precum cele de comentarii.

Pentru WordPress, puteți folosi acest plugin care va rezolva o parte dintre problemele GDPR legate de consimțământ. Mergi în secțiunea de setări a plugin-ului și activează-l pentru comentarii și toate formularele.

WP GDPR Compliance

Important: Adresele IP sunt considerate date cu caracter personal în GDPR, deoarece poți identifica locația exactă a unui utilizator. Dat fiind faptul că acestea sunt colectate imediat ce script-urile Google Analytics și Google Tag Manager rulează, adică imediat ce intri pe website, utilizatorul nu apucă să își dea consimțământul. Astfel, va trebui să ‘anonimizezi’ aceste adrese IP.

Poți face asta direct din Google Tag Manager. Editează Eticheta Unversal Analytics, deschide More Settings (mai multe setări) și completează cele două câmpuri în modul următor:

  • Field name: anonymizeIp
  • Value: true
cum sa faci IPul anonim in Tag Manager
Cum sa faci IP-ul anonim în Google Tag Manager

Nu îți face griji. Doar ultima cifră din IP va fi anonimă înainte ca acesta să fie stocat. Așadar, statisticile despre zona geografică vor fi în continuare valide, doar că ușor mai generale.

Așadar, asigură-te că:

  • ceri consimțământul utilizatorilor prin căsuțe cu bifă sau e-mail-uri cu dublă verificare atunci când colectezi date cu caracter personal
  • poți oferi datele fiecărui utilizator la cerere
  • poți șterge informațiile la comandă
  • nu urmărești adresa IP

3. Transparență în termeni și condiții

Pagina de termeni și condiții a devenit acum obligatorie. Termenii și condițiile website-ului tău trebuie să specifice clar cine ești, ce date colectezi și de ce colectezi aceste date.

Mai mult, informațiile de pe această pagină despre protecția datelor trebuie să fie explicată într-o manieră simplă, pe înțelesul tuturor, fără a utiliza termeni de specialitate (jargon).

Nu trebuie menționate doar metodele directe de colectare a datelor (cum ar fi formulare sau newslettere), ci și cele indirecte. De exemplu, Google Analytics, Facebook Pixel și diferite alte platforme de marketing colectează date despre utilizatori. Menționează acest lucru în termenii și condițiile tale. Multe platforme au pagini speciale spre care poți trimite utilizatorii pentru a afla mai multe.

Mai multe informații despre aplicații comun utilizate le puteți găsi aici:

Toate aceste acorduri cu terții cu care colaborați ar trebui stocate într-un dosar. Acestea pot fi descărcate de obicei de pe website-urile lor.

E bine să pui, de asemenea, un link către termenii și condițiile site-ului în bara despre cookie-uri care apare atunci când un utilizator noi vizitează website-ul. Ai acea bară pe website… nu?

4. Asigurarea securității datelor

Securitatea este un pas extrem de important. GDPR dorește să se asigure că înformațiile pe care le colectezi sunt stocate într-o manieră sigură.

Astfel, un prim pas ar fi să adaugi un certificat SSL website-ului tău. Am scris în trecut un articol despre cum poți obține un certificat SSL gratuit. Certificatul SSL va cripta informațiile dintre server și utilizator, pentru a se asigura că aceste nu sunt furate de către intermediari.

Un alt pas important ar fi să-ți securizezi conturile cu parole puternice. Dacă mai sunt și alte persoane care au acces la acele date cu caracter personal, acest lucru trebuie menționat în termenii și condițiile website-ului. E bine să păstrați și o evidență a cine are / cine a avut acces la aceste informații.

Dacă vrei, poți cere un acord scris de la furnizorul tău de găzduire web cum că informațiile stocate pe server sunt păstrate în siguranță și nu sunt împărțite cu terți fără acordul dumnevoastră.

În cazul unei breșe de securitate, ai obligația de a anunța Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și utilizatorii tăi cu privire la acest lucru, în maxim 72 de ore.

5. Responsabil pentru protectia datelor

Acest pas este necesar doar pentru companiile mari, sau companiile care se ocupa strict cu colectarea, distribuția și prelucrarea de date cu caracter personal.

O companie care are nevoie de un responsabil ar fi, de exemplu, compania care colecteaza date despre utiliatorii tăi pentru a le trimite apoi campanii de promovare. Facebook și Google au de asemenea nevoie de un responsabil.

Acest responsabil poate fi atât din exteriorul companiei, cât și extern. Totuși, acesta trebuie să aibe cunoștințele legale necesare și să nu fie supus unor conflicte de interese. De exemplu, cel care se ocupă de campania de marketing ar putea fi interesat în mod deosebit de aceste date cu caracter personal pentru a obține rezultate mai bune.

Dacă simți că este necesar un responsabil pentru protecția datelor cu caracter personal în compania ta, ar trebui să iei legătura cu un specialist sau cu un avocat.

Pentru cei cu firme mici, blog-uri sau mgazine online, un responsabil nu este necesar.

În termeni oficiali, un responsabil este necesar doar atunci când:

  • ești o autoritate publică
  • activitățile tale de bază your core activities require large scale, regular and systematic monitoring of individuals (for example, online behaviour tracking); or
    your core activities consist of large scale processing of special categories of data or data relating to criminal convictions and offences.

Pentru a înțelege mai clar când și când nu este nevoie de un responsabil pentru protecția datelor, iată câteva exemple:

Exemple de situații în care e nevoie de un responsabil:

  • un spital care procesează informații sensibile la scară largă
  • o companie de HR

Exemple de situații în care nu e nevoie de un responsabil:

  • un cabinet stomtologic ce procesează informațiile despre clienți
  • un mic magazin online

Concluzie

Așadar, GDPR nu este chiar așa de greu de implementat, în condițiile în care nu ai ca activitate principală strict colectarea și prelucrarea datelor cu caracter personal.

Înainte să incheiem, hai să recapitulăm câțiva pași critici:

  • căsuțe ce trebuiesc bifate sub formularele de contact, secțiuni de comentarii și formulare de abonare la newslettere
  • termeni și condiții transparenți, actualizați conform GDPR, în care să specifici exact ce date sunt colectate și cum sunt acestea utilizate, fără a utiliza jargon
  • asigurarea securității datelor prin SSL, parole puternice și confirmări că acestea nu sunt utilizate și de părți terțe

Repet, nu sunt acreditat GDPR, nici absolvent de drept. Dacă dezinformez prin acest articol, te rog să mă altertezi în secțiunea de comentarii și voi rectifica erorile. Asta, desigur… dacă ești de acord sa îți lași numele și adresa de e-mail acolo.

2 comentarii la „Cum sa implementezi GDPR pe site-ul tau in 5 pasi simpli

  1. Aseara in jurul orei 9 am aflat si eu ca de azi intra noua lege. La 23:58 am terminat treaba :)) Sper sa fie ok ce am facut. Articolul tau m-a mai luminat, am inteles mai bine cum sta treaba.

Lasă un comentariu

Shares