#52. GDPR digital: cum protejezi datele personale?
pentru un business puternic
Cum îi protejezi pe oamenii implicați în afacerea ta? Și mai ales, cum le protejezi datele personale? Multe companii se confruntă cu daune majore reputaționale și financiare din cauza încălcărilor Regulamentului general privind protecția datelor (GDPR).
GDPR are implicații semnificative pentru multe companii, chiar și pentru cele fără prezență fizică în UE. Dacă site-ul tău web colectează date personale de la userii din UE, este important să iei măsuri proactive pentru a respecta politicile GDPR.
Te invit să treci prin checklistul de mai jos și să vezi ce mai ai de bifat.
Până data viitoare,
Enjoy!
Dacă ai o întrebare despre tematicile abordate în această ediție, îmi poți scrie în comentarii. Mă găsești și la legallyremote.online, pe Instagram, Facebook sau LinkedIn.
Ne regăsim în călătoria unui antreprenor, de la zero la business.
Explorăm împreună 12 tematici, în 12 luni, fiecare dintre ele împărțite în 2 abordări diferite.
Iar până la final de an, vei avea o imagine clară despre gestionarea unei afaceri, vei avea cunoștințele juridice de bază care să te mențină protejat ca antreprenor, business și angajator, și vei obține noi modalități de gândire și căi strategice care să te ajute să te dezvolți în continuare.
Legally Remote
Cam așa fug eu de aparatul foto și tot mă prinde. Îți spuneam că weekendul trecut am fost la Rubik's Mentors Retreat și că abia așteptam întrevederea.
Nu mă dezamăgesc niciodată întâlnirile cu oamenii din comunitatea de mentori și startup-uri de la Rubik, iar tradiția a fost păstrată.
Anul acesta a fost o întrevedere mai restrânsă și ce bine că a fost așa! Am ajuns mai obosită decât în alți ani (canicula din București nu a ajutat!), dar la Piatra-Neamț am reușit să îmi încarc bateriile prin conversațiile cu sens, prin revederea cu oameni dragi cu care nu reușim să ne vedem, deși alergăm tot prin București, sau cu oameni de la Iași, Oradea și Bacău de care greu dau, prin reafirmarea valorilor care ne aduc împreună.
Și uite așa a trecut și weekendul și îl aștept cu nerăbdare deja pe cel din 2025!
Important de știut
Ce înseamnă GDPR?
Regulamentul general privind protecția datelor (GDPR) este un regulament cuprinzător privind protecția datelor și confidențialitatea adoptat de Uniunea Europeană (UE). A intrat în vigoare la 25 mai 2018, înlocuind Directiva 95/46/CE privind protecția datelor. GDPR este conceput pentru a armoniza legile privind confidențialitatea datelor în toată Europa, pentru a consolida drepturile cetățenilor UE cu privire la datele lor personale și pentru a remodela modul în care organizațiile abordează confidențialitatea datelor.
GDPR pentru website-ul tău în 10 etape:
Iată ce poți face pentru a te asigura că site-ul afacerii tale rămâne în conformitate cu GDPR.
#1. Asigură-te că știi ce date personale procesezi
Respectarea GDPR începe în momentul în care știi ce date personale procesezi, unde sunt stocate și cine are acces la ele. În mod concret, trebuie să știi să răspunzi la următoarele întrebări:
Ce date personale deține afacerea ta?
Datele includ date personale sensibile? Dacă da, cum le păstrezi în siguranță?
Site-ul tău web colectează date personale de la minori (cu vârsta sub 16 ani)?
De ce are nevoie site-ul tău de aceste date?
Cum stochezi consimțământul pentru prelucrarea acestor date cu caracter personal?
Unde sunt stocate aceste date personale?
Cine are acces la aceste date?
Există terți care dețin aceste date cu caracter personal? Dacă da, cum controlezi prelucrarea datelor de către aceștia?
Aceste terțe părți au sediul în afara SEE? Dacă da, ce mecanism au în vigoare pentru a proteja datele personale împotriva accesării de către organisme străine sau a utilizării în alte scopuri decât cele permise prin contractul cu acea parte terță?
Cât timp trebuie păstrate aceste date personale? Poate vreuna dintre aceste informații să fie ștearsă sau anonimizată?
#2. Securizează-ți site-ul
Securitatea site-ului este ceva ce nu-ți permiți să ignori. Dacă te-ai decis să deții un site, securitatea trebuie să vină la pachet. Asta înseamnă că datele stocate pe site trebuie protejate și că site-ul în sine trebuie protejat de atacurile externe.
Asigură-te că ai instalat un certificat SSL care va cripta orice schimb de informații între site și server.
Folosește software sau servicii antivirus pentru a proteja împotriva accesului neautorizat la site.
Folosește parole puternice pentru conturile de administrator - chiar și un password manager.
Adaugă straturi suplimentare de protecție serverului în cazul în care permiți utilizatorilor să partajeze informații de plată.
Utilizează un furnizor CDN care poate îmbunătăți securitatea, de exemplu, prin protejarea site-urilor web împotriva DDoS.
Nu colecta, utiliza sau stoca date cu caracter personal mai mult decât este necesar pentru site.
Limitează partajarea datelor personale, în special cele sensibile, către servicii terțe.
Anonimizează datele personale înainte de a le stoca pentru a de-identifica utilizatorii.
Elimină datele personale odată ce site-ul tău nu mai are nevoie de ele.
#3. Menține politica de confidențialitate up to date
Scopul principal al unei politici de confidențialitate este de a informa utilizatorii site-ului despre modul în care colectezi, utilizezi, stochezi și partajezi datele lor personale. De asemenea, ar trebui să explice drepturile utilizatorului și obligațiile tale față de acesta. Unele dintre aceste drepturi includ dreptul de a accesa datele lor personale și dreptul de a solicita ștergerea datelor lor.
Actualizează politica de confidențialitate ori de câte ori apar modificări în modul în care procesezi, stochezi sau partajezi date.
#4. Obține consimțământ pentru e-mailuri
Dacă folosești servicii de email marketing pentru newslettere, ai nevoie de permisiunea utilizatorilor. Metoda recomandată este utilizarea dublu opt-in, în care utilizatorii trebuie să-și verifice adresa de e-mail după ce o trimit pe site.
Însă cel mai important lucru pe care trebuie să-l respecți este dreptul de opt-out: utilizatorii ar trebui să se poată dezabona în orice moment.
#5. Nu uita de cookies
Dacă site-ul tău folosește cookie-uri care nu sunt necesare, atunci ar trebui să te asiguri că acest lucru este comunicat utilizatorilor, pentru a obține consimțământul.
Un cookie banner informează vizitatorii despre modul în care site-ul utilizează cookie-uri și ce informații stochează. De asemenea, îi informează și le oferă dreptul lor de a refuza stocarea cookie-urilor.
#6. Verifică formularele de pe site
Dacă folosești orice fel de formular care colectează date cu caracter personal, trebuie să analizezi și să te asiguri că:
Știi în ce scop se prelucrează datele lăsate de vizitatorii website-ului: încheierea unui contract, bază legală, consimțământ etc.
Incluzi o declarație de confidențialitate care explică pe scurt de ce le soliciți detaliile; ce vei face cu ele; și că își pot retrage consimțământul în orice moment (atunci când prelucrarea se face pe bază de consimțământ).
Dacă vorbim de prelucrarea prin consimțământ (spre ex. pentru un newsletter), adaugi o opțiune de înscriere, cum ar fi o casetă de selectare debifată sau un comutator dezactivat pentru a obține în mod real consimțământul utilizatorului pentru a colecta date.
De preferință, adaugi un link către politica de confidențialitate pentru informații suplimentare.
#7. Analizezi procesatorii de date sau serviciile terților
Trebuie să fii la curent cu politicile de confidențialitate ale companiilor terță parte cu care lucrezi direct sau indirect.
Dacă lucrează în numele companiei tale, atunci ar trebui să te asiguri că se aliniază cu politica ta de confidențialitate și cu GDPR.
Pentru protecție supliimentară, poți chiar să le dai politicile tale ca să adere la ele.
#8. Analizează transferul internațional de date
Dacă site-ul web al companiei tale se bazează pe transferul de date cu caracter personal din UE în țări din afara UE, atunci ar trebui să te asiguri că:
Ai făcut evaluările de risc necesare înainte de a transfera datele.
Țara sau serviciul destinatar oferă un nivel adecvat de sistem de protecție a datelor.
Ai toate acordurile necesare cu compania/serviciile destinatare.
#9. Oferi dreptul la furnizarea de date
Utilizatorii au dreptul de a obține informații despre datele personale pe care le deții despre ei și de a solicita oricând ca acestea să fie corectate sau șterse. Aceștia ar trebui să poată accesa cu ușurință opțiunile potrivite pentru exercitarea acestor drepturi.
#10. Analizezi și atenuezi eventualele data breaches
Iată ce ar trebui să faci pentru a te pregăti în cazul unei încălcări a datelor
În primul rând, să ai o politică scrisă cu ce măsuri să iei dacă întâmpini un data breach. E mai simplu să mergi la niște reguli și direcții decât să iei decizii în emoția evenimentului.
Păstrezi o evidență a activităților de prelucrare a datelor personale.
Blochezi accesul la site-ul web până când vulnerabilitatea este sub control sau remediată.
Efectuezi o investigație amănunțită - unde, când și cum s-a întâmplat, ce date au fost implicate și cine a fost afectat și cum.
Notifici autoritatea de supraveghere corespunzătoare despre încălcare în termen de 72 de ore cu toate informațiile pe care le deții. De obicei, notificarea de încălcare trebuie să includă categoriile și numărul aproximativ de utilizatori în cauză; categoriile și numărul aproximativ de înregistrări de date cu caracter personal afectate; orice acțiune întreprinsă sau măsuri planificate de companie ca răspuns la încălcare, inclusiv măsuri pentru atenuarea posibilelor efecte adverse ale acesteia.
Notifici utilizatorii afectați dacă există un risc crescut pentru drepturile și libertățile utilizatorilor ca urmare a încălcării, inclusiv ce pot face aceștia pentru a-și proteja datele.
Îți actualizezi politicile și procedurile pentru a preveni viitoarele încălcări ale securității pe site-ul tău.
Pregătești un plan de acțiune pentru situațiile în care are loc sau este probabil să se întâmple o altă încălcare a datelor în viitor.
Abecedar juridic
Entitățile principale cărora li se aplică GDPR includ:
Operatorii de date: organizații sau persoane fizice care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal. Aceștia sunt responsabili pentru a se asigura că orice activitate de prelucrare a datelor respectă GDPR.
Procesori de date: Aceste entități prelucrează date cu caracter personal în numele operatorilor de date. Aceștia sunt legați de GDPR și trebuie să implementeze măsuri de securitate adecvate pentru a proteja datele.
Subiecții datelor: GDPR se concentrează în cele din urmă pe protejarea drepturilor și a vieții private a persoanelor, denumite persoane vizate. Orice persoană fizică ale cărei date cu caracter personal sunt colectate și prelucrate de o organizație intră sub incidența GDPR.
Legal & Trivia
Cel mai mare data breach înregistrat până acum a expus mai mult de 10 miliarde de colecții de date.
FTC a creat un ghid împotriva data breaches pentru companii.
Ce înseamnă furtul de date din spitalele NHS din Londra pentru pacienți?
Un proces împotriva jocurilor video.
State din SUA vor să interzică telefoanele în școli, iar asta poate fi o provocare.
Din auzite
O întrebare la care e benefic să răspundem:
Ne citim din nou aici, joi, 11 iulie. Până atunci, try to stay out of trouble.
Ana-Maria ❤️