#27. Cum știi dacă respecți regulile GDPR?
un checklist util pentru site-ul tău
Hello, lawreaders!
Astăzi ne uităm atent la ce anume înseamnă să ai un site GDPR compliant și ce reguli trebuie să respecți pentru a asigura protecția datelor. Eu zic că va fi nevoie să-ți iei notițe. Salvează acest articol/email.
Enjoy!
Dacă ai o întrebare despre tematicile abordate în această ediție, îmi poți scrie în comentarii. Mă găsești și la legallyremote.online, pe Instagram, Facebook sau LinkedIn.
Legal & Trivia
Cum cultivi echipe juridice multigeneraționale de succes?
Twitter și legile dure ale UE privind dezinformarea.
Cultura este din ce în ce mai folosită pentru a trata problemele de sănătate mintală în Europa. Iată cum.
Luni la birou: începi săptămâna cu mai multă energie?
Totul e AI. Ce ar putea însemna inteligența artificială generativă pentru reclame și publicitate?
Legally Remote
Startupuri, tehnologie, pitchuri, investitori, drumeții pe munte ❤️, depășirea limitelor, seri de networking, mese în aer liber, degustare de bere artizanală, depănat amintiri din regiunea Moldovei, vizită și masă la mănăstire – cam așa s-ar „rezuma” weekendul petrecut cu Rubik Hub și cohorta #5 a programului Rubik Garage.
Un mix de voie bună și conexiuni profesionale, alături de oameni care împărtășesc aceeași viziune de creștere a startupurilor, dar și de îmbunătățire a mediului de afaceri din România.
Acest scurt, dar intens sfârșit de săptămâna mi-a adus aminte cât de important este să ieșim din carapacea noastră și să facem eforturi pentru asta (un singur weekend și aproape 14h de drum) pentru că există oameni cu care ne dorim să ne petrecem timpul și să dezvoltăm parteneriate, doar că nu sunt întotdeauna chiar sub nasul nostru.
Dintre ideile cu care am rămas și aș dori să le aștern și pe „hârtie” sunt:
Întâlnirile tranzacționale dau rezultate uneori, dar nimic nu se compară cu clădirea unor relații bazate pe cunoașterea celuilalt și a acelor mici lucruri care îl/o fac diferit(ă).
Învățăm foarte multe din activitățile extraprofesionale, chiar și atunci când nu realizăm pe moment. Cum ar fi depășirea fricii de cățărare pe stânci sau a furtunii în vârf de munte.
Încrederea în cel de lângă time, profesionist în alt domeniu/meserie, este primordială. Dacă ai acceptat să îți oferi încrederea, mergi până la capăt și apoi discută ce s-a întâmplat și de ce.
Dacă ai și tu o afacere pe care vrei să o crești într-un mod sustenabil și vrei să te alături unei comunități de oameni ce împărtășesc valori sănătoase, poți să te pre-înscrii pentru următoarea ediție chiar pe website-ul Rubik.
Important de știut
Cum verifici site-ul tău este GDPR compliant?
Când vine vorba de legi și regulamente, intervine o anxietate în rândul antreprenorilor și întrebare: Oare am făcut ceva greșit/ilegal? Nu vreau să primesc amenzi.
Regulamentul GDPR este aplicabil de 5 ani deja, însă încă aud întrebări în jurul meu despre cum anume poți să-ți dai seama dacă respecți toate regulile, asiguri protecția datelor și ești GDPR compliant.
Nu spun că e ușor să-ți dai seama (iar în cercurile profesionale se recunoaște foarte des că este foarte greu să fii full conform GDPR), însă îți las în continuare câteva lucruri de bifat atunci când faci o analiză a site-ului tău și a practicilor de business privind protecția datelor personale. Asta te va ajuta să fii cât mai conform și să dovedești că ai urmărit principiile de bază ale protecției datelor cu caracter personal.
But, first: Ce este GDPR?
GDPR este Regulamentul General privind Protecția Datelor, adoptat de Uniunea Europeană în 2018.
GDPR a fost formulat pentru a gestiona modul în care întreprinderile gestionează datele personale ale cetățenilor UE (sau a oricăror persoane aflate pe teritoriul Uniunii), urmărind acestora. Regulamentul se aplică și la transferul de date cu caracter personal în afara UE - însă aici, e o altă poveste, poate pentru altă dată.
Ce reguli trebuie să respecți ca să ai un site GDPR compliant?
Pentru a te asigura că site-ul tău respectă GDPR, ar trebui să:
1. Efectuezi un audit complet de confidențialitate al site-ului, pentru a identifica orice zone în care sunt colectate, stocate sau procesate datele cu caracter personal. Asigură-te că datele colectate sunt necesare pentru furnizarea serviciilor și că respectă principiul „legalității, echității și transparenței” stipulate de GDPR.
Auditul ar trebui să-ți ofere o imagine de ansamblu asupra datelor colectate, modului și duratei de stocare, scopurilor și persoanelor care au acces la aceste date.
În urma unui audit, ar trebui să poți răspunde concret la aceste întrebări:
Ce date personale deții?
Datele includ date personale sensibile? Dacă da, cum le păstrezi în siguranță?
Site-ul tău colectează date personale de la minori (cu vârsta sub 16 ani)?
De ce colectezi aceste date?
Colectezi date pe baza consimțământului? De ce?
Cum ai păstrat consimțământul pentru prelucrarea acestor date cu caracter personal?
Unde sunt stocate aceste date personale?
Cine are acces la aceste date?
Datele cu caracter personal pot fi accesate de terți? Dacă da, cum controlezi prelucrarea de către aceștia?
Aceste terțe părți au sediul în afara SEE? Dacă da, ce mecanism au în vigoare pentru a proteja datele personale împotriva accesării de către organisme străine sau a utilizării în alte scopuri decât cele permise prin contractul cu acea parte terță? Ce documente ai semnate pentru transferul datelor?
Cât timp trebuie păstrate aceste date personale? Sunt datele anomnimizate?
Ai date pe care le-ai păstrat mai mult decât ai nevoie de ele? Poate vreuna dintre aceste informații să fie ștearsă?
2. Te asiguri că informezi în mod clar utilizatorii despre ce tipuri de date sunt colectate, scoopurile colectării - de ce sunt colectate, cum vor fi utilizate, cât timp vor fi stocate datele, cine va avea acces la ele etc. Aceste informații trebuie să fie afișate într-un mod clar și concis, incluse în politica de confidențialitate a site-ului tău.
3. Te asiguri că utilizatorii au posibilitatea de a alege dacă doresc sau nu ca informațiile lor să fie colectate și procesate. Ar trebui să existe o opțiune de opt-in și opt-out care să permită utilizatorilor să aleagă dacă doresc ca datele lor să fie folosite sau nu. Nu uita, însă, că nu întotdeauna consimțământul e necesar. După efectuarea auditului, ar trebui să ai o idee mai bună asupra acestor necesități.
4. Implementezi măsuri de securitate adecvate pentru a proteja datele utilizatorului împotriva accesului neautorizat și a utilizării greșite. Aceste metode ar fi trebuit gândite încă de la început pe baza metodologiei Privacy by Design. Dacă nu ai aplicat-o încă de la început, e timpul să te gândești la ea. Better later than never.
5. Creezi proceduri pentru a răspunde solicitărilor legate de datele personale ale utilizatorului, cum ar fi cererile de acces la date, solicitările de rectificare etc. În urma acestora, ești obligat de cele mai multe ori să furnizezi informațiile solicitate.
Checklist pentru site-ul tău:
Lista în variantă scurtă să verifici dacă ești GDPR compliant:
✔️ Colectezi datele doar în scopuri legitime.
✔️ Ai consimțământul clar și informat al persoanelor pentru procesarea datelor personale (atunci când procesezi datele pe baza consimțământului).
✔️ Stochezi datele în siguranță și implementezi măsuri de securitate cibernetică pentru protecția datelor - Privacy by Design.
✔️ Oferi acces la date, la cerere, în timpul prevăzut de lege..
✔️ Oferi și exerciți măsurile necesare pentru implementarea “dreptului de a fi uitat” – ștergi datele personale deținute în mod legal.
BONUS 1: este important să știi că obligațiile tale cuprind și partea de notificare a persoanelor în cazul unor încălcări a protecției datelor personale, a unui risc de securitate sau data breach.
BONUS 2: Nu uita de noua intrare în operațiune a Google Analytics 4 de la 1 iulie care va aduce cu sine mai multe schimbări! (tips: deși se vehiculează că GA4 va fi mai prietenos cu datele cu caracter personal, va mai dura până când va fi full GDPR Compliant așa că ți-aș sugera să te îndrepți spre alte aplicații care au grijă de datele utilizatorilor și au by default serverele pe teritoriul Uniunii Europene).
Abecedar juridic
Regulament european – Regulamentele sunt acte juridice definite în articolul 288 din Tratatul privind funcționarea Uniunii Europene (TFUE). Acestea au aplicabilitate generală, sunt obligatorii în toate elementele lor și se aplică direct în toate statele membre ale UE.
Din auzite
Legally Speaking, învățăm despre cybersecurity și protecția datelor.
Aflăm despre everything data, de la Peter Wright: începând de la protecția datelor (inclusiv GDPR) până la confidențialitate și securitate, securitate cibernetică, legea rețelelor sociale, comerț electronic, conformitatea site-urilor web și chiar chestiuni legate de Legea privind libertatea de informare.
Enjoy and learn!
Ne citim din nou aici, joi, 13 iulie. Până atunci, try to stay out of trouble.
Ana-Maria ❤️