Pe 25 mai 2018 va intra în vigoare ordonanţa EU GDPR (General Data Protection Regulation), iar
firmele trebuie sa opereze câteva schimbări pentru a se conforma noilor prevederi. În caz contrar,
amenzile pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri. Iată care sunt principalele
modificări şi ce impact vor avea.
Noua ordonanță va fi cea mai strictă reglementare în materie de protecție a datelor personale introdusă
vreodată de Uniunea Europeană, unul dintre obiectivele ei fiind de a întări și de a da o formă unitară
modalităților de colectare a datelor online în cadrul Uniunii.
Date personale și acord
Pentru firmele care își desfășoară activitatea și în mediul online, noul regulament va aduce schimbări
pentru:
- tipul de date personale colectate despre utilizator și
- modul în care utilizatorul își oferă acordul pentru colectarea acestor date.
În ce privește tipul de date colectate, GDPR lărgește spectrul de date incluse în
categoria "personale". Noua lege definește datele personale ca incluzând orice fel de informație despre
o persoană fizică care poate duce, direct sau indirect, la identificarea acestei persoane. În această
categorie sunt incluse numele, numerele de identificare, date despre locație, dar și orice alt tip de
identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic,
cultural sau social unei anumite persoane fizice.
Spre deosebire de vechile reglementări în vigoare (Directiva 95/46/EC care va fi înlocuită de GDRP),
informațiile despre locație sau identificatorii online vor fi de anul viitor considerate date personale.
GDPR aduce clarificări asupra modului în care identificatorii online oferiți de device-uri, de aplicații
sau de protocoale, markeri de tipul adrese internet protocol, chiar și cookies sau taguri de radio
frecvență, vor intra sub incidența noii legi.
În ce privește modul în care un utilizator online își dă acordul pentru colectarea acestor date,
GDPR include reglementări noi despre cum este definit acordul. Începând cu mai 2018, legislația
europeană va defini acordul ca fiind o acțiune afirmativă și informată realizată de către utilizator,
oferită liber, într-un context specific și lipsit de ambiguități. Implicațiile aici vin din mențiunea
"acțiune afirmativă", detaliu nou introdus în lege, care elimină astfel tipurile de consimțământ de tip
"acord implicit".
Altfel spus, începând din mai 2018, nu mai trebuie să vedem anunțuri de tipul "Navigarea pe acest site
se consideră acceptarea dumneavoastră cu privire la politica de utilizare a cookie-urilor", consensul
fiind exemplificat în GDRP sub forma unei acțiuni concrete din partea utilizatorului:
- bifarea unei căsuțe pe un website
- alegerea unei setări tehnice în cadrul utilizării serviciilor informatice
- orice alt tip de afirmație sau comportament care clarifică fără echivoc oferirea acordului.
GDPR clarifică și practicile actuale, care nu vor fi considerate acordul utilizatorului sub noua
legislație:
- lipsa unei acțiuni/ inactivitate
- căsuțe pre-bifate.
Experții în legislație recomandă o pregătire timpurie a business-urilor online pentru noile reglementări
europene, trăgând un semnal de alarmă că procesul de tranziție va fi lung și, în multe cazuri, complex.
Aceștia recomandă realizarea unui audit de date în cadrul fiecărei companii, audit care să includă
următoarele etape:
- inventarierea tuturor tipurilor de informație stocate de business despre utilizatorii
săi. Cu cât organizația este mai mare, cu atât crește dificultatea în găsirea tutoror acelor date
colectate, date care vin din sisteme și de pe canele diferite și sunt stocate în medii diferite.
- listarea modurilor în care informațiile despre utilizatori sunt folosite în prezent.
Cum sunt procesate aceste date o dată ce au fost stocate? În vederea informărilor pe care le veți face
de la anul clienților dumneavoastră este important să știți din timp procesul căruia îi sunt supuse
aceste date.
- clarificarea acordului: ce tip de acord a fost oferit până în prezent. Noua legislație
va permite revocarea acordului oferit în trecut. Fiecare business trebuie, așadar, să cunoască cum a
fost obținut acordul în trecut și dacă a fost ulterior revocat.
- asigurarea securității datelor colectate. GDRP insistă pe importanța securității și
criptării datelor în toate etapele de tranzacționare, nu doar cea de colectare.
La nivel de schimbări vizibile, proprietarii de site-uri din Uniunea Europeană trebuie să introducă în
viitorul apropiat modificări precum cele de mai jos:
- renunțarea la pop-urile de cookies și înlocuirea acestora cu alte tipuri de mesaje de
oferirea acordului pentru colectarea/ stocarea de informații. Noile mecanisme vor cere de data aceasta o
acțiune fizică din partea utilizatorului și nu se vor mai baza pe acordul implicit de tipul "Continuarea
navigării pe acest site reprezintă acordul dumneavoastră cu privire la politica site-ului de colectare și
stocare informații".
- setările de browser vor putea semnala acordul utilizatorului. Textul noii legislații
sugerează faptul că va exista o posibilitate de obținere implicită a acordului utilizatorului pentru
colectarea datelor, în funcție de setările sale din browser. Astfel, dacă utilizatorul își va marca în
setările browserului folosit acordul sau refuzul pentru colectarea datelor, există posibilitatea ca
site-ul să nu-i mai ceară utilizatorului acordul, respectând însă decizia sa marcată în browser. Este
de reținut, totuși, că, dacă setarea din browser va marca refuzul, site-ul nu va mai putea colecta
datele acelui utilizator, chiar dacă acesta fusese oferit anterior.
- revizuirea acordurilor de consimțământ de pe site-uri. Paginile și documentele de tip
"Acord de confidențialitate" folosite de companii vor trebui rescrise într-un limbaj cât mai explicit.
GDPR solicită transparență și simplitate în informarea utilizatorilor cu privire la datele colectate,
cerând ca orice informație să fie transmisă pe site cât mai "concis, ușor accesibil, ușor de înțeles, în
limbaj simplu și, în măsura în care este posibil, vizualizată cu imagini".
- opțiunea de retragere a acordului. Chiar și atunci când utilizatorul își oferă
acordul ca datele să îi fie colectate și prelucrate, site-urile vor trebui îi pună acestuia la dispoziție
opțiunea de a-și retrage acordul. Prin urmare, proprietarii de site-uri sunt așteptați să pregătească
mesaje și zone noi în site, de unde utilizatorul să își poată retrage ușor și rapid acordul de colectare
a datelor.
Cheltuielile aduse de intrarea în vigoare a GDPR vor însemna bani pentru schimbările de programare,
costuri cu consultanți legali și avocați, costuri la care se adaugă complexitatea întregului proces.
Dincolo de modificările la nivel de mesaje și interacțiune pe site descrise mai sus, GDPR va afecta și
modul în care responsabilitatea pentru aceste date este împărțită între cei care colectează datele
(site-ul de business) și procesatorii de date (furnizorii de soluții de găzduire și de cloud).
Furnizorii de soluții de găzduire web recomandă tuturor proprietarilor de site-uri care colectează
informații personale să verifice dacă cei care le furnizează infrastructura au luat măsurile necesare
pentru aceste schimbări. Iată ce întrebări ar necesita răspuns:
- în ce țară se află data center-ul
- dacă datele sunt stocate în cadrul Uniunii Europene sau în afara ei
- ce măsuri de siguranță există pentru protejarea datelor colectate de site și stocate pe infrastructura
furnizorului.
Sursa: startupcafe.ro