Risti 20 de milioane de euro sau ti-ai luat masurile necesare?
GDPR bate la usa, probabil ai auzit. In cazul in care nu ai auzit, este vorba despre noua legislatie ce priveste protectia datelor cu caracter personal, o reglementare europeana ce intra in vigoare pe 25.05.2018 si se aplica automat si in Romania, ca de altfel intreaga Europa (si chiar lume, in cazul in care sa spunem ai firma inregistrata in SUA dar ai clienti in Europa) Nu stiu daca are rost sa intram in detalii cu privire la ce spune legea in sine, din punct de vedere juridic, voi da mai jos un link unde puteti citi legea si recomandari ale caselor de avocatura sau pareri avizate ale diversilor specialisti IT si nu numai.
Vestea proasta este ca te loveste in plin, FIE CA AI MAGAZIN ONLINE, FIE CA AI UN SIMPLU SITE de prezentare, FIE CA NU AI DELOC!!!!
Da, pe tine, cel care citeste aceste randuri iar amenzile merg pana la 20 de milioane de euro sau 4% din cifra de afaceri, oricare e mai mare!! Si pe noi ne loveste, stim asta, prin intermediul acestui site si prin intermediul platformei de comert Shopernicus.
Vestea buna, daca magazinul tau online este dezvoltat pe platforma Shopernicus, este ca am implementat o serie de masuri ce te pun la adapost, masuri ce pot fi puse in aplicare, iar articolul de fata are sa explice pe scurt ce masuri am luat noi in ceea ce priveste platforma Shopernicus pentru ca aceasta si implicit magazinele dezvoltate sa fie GDPR compliant.
Regula de la care pornim este aceea ca datele colectate de magazin sa fie protejate corespunzator si folosite etic si transparent, incat vizitatorul sa nu fie expus abuzurilor.
Sa vedem…
Audit al datelor colectate de magazinul online
Primul lucru cu care se incepe este un audit al datelor colectate de magazinul online. Stim deja datele standard colectate de platforma, acelea folosite in functionarea de zi cu zi a platformei, dar, dincolo de acestea, fiecare magazin, fiind de cele mai multe ori o lucrare personalizata, colecteaza date suplimentare.
Una din cele mai frecvente obiectii ale persoanelor cu care intram in contact pe aceasta tema este aceea ca siteul lor nu colecteaza nimic, ei nu au date sensibile pe site. Ei bine, cum spunea un site cu profil juridic, „orice informatie colectata poate intra in categoria datelor cu caracter personal, depinde de context”
Haideti sa vedem prin exemplificare, cateva din datele pe care le colectezi, probabil, fara sa stii:
- informatii colectate explicit, precum nume, prenume, adresa, cod postal, email, telefon, informatii fara de care functionarea zilnica a magazinelor online nu ar fi posibila, prin intermediul plasarii efective a comenzilor in magazin. Primesti comenzi? Livrezi produse? Ei bine, colectezi date! Ai formular de contact? De retur? Formular de abonare la newsletter?
- informatii colectate implicit si aici intra o serie de informatii colectate de terti, precum Google Analytics, Facebook, Instagram, Pinterest, YouTube, MailChimp, PushEngage, Tawk.to etc. De asemenea, chiar si Shopernicus colecteaza o serie de informatii necesare, informatii tehnice fara de care platforma nu ar functiona
In concluzie, colectezi date cu caracter personal, deci intri sub incidenta legii de mai sus…
Acum ca am stabilit acest lucru, hai sa vedem ce facem in continuare!
Obtinem acceptul vizitatorului cu privire la datele colectate si cookieurile folosite in site si integram optiunile acestuia in functionarea magazinului
La prima vizita a vizitatorului in magazin ii prezentam o informare cu privire la faptul ca siteul utilizeaza cookieuri si colecteaza date, ii prezentam lista completa a modulelor care colecteaza date, precum Google Analytics, Tawk.to, MailChimp etc si ii cerem permisiunea EXPLICITA de a le introduce in site. Daca nu ne lasa…nu ne lasa, nu avem voie sa ii punem lucrurile respective.
Bifele sunt nebifate, cu exceptia celor necesare, fara de care magazinul nu poate functiona.
La modul concret, daca vizitatorul decide ca nu este de acord cu numararea vizitei lui pe site prin intermediul Google Analytics, nu ii punem Google Analytics…
Cum glumeam cu un prieten, este ca atunci cand pui pe usa magazinului fizic o notificare prin care spui: Atentie, noi, cei din magazin avem ochi! Daca nu doresti sa fii vazut cand intri in magazinul nostru, intra pe usa strigand NU SUNT DE ACORD si noi ne vom pune mana la ochi si ne vom preface ca nu te cunoastem, domnule Popescu…
Bara de notificare arata cam asa (in partea de jos a siteului)
si dupa ce facem clic pe Setarile cookieurilor, apare fereastra detaliata. Utilizatorul poate alege si sa accepte toate modulele care colecteaza date, prin intermediul apasarii butonului Sunt de acord. Odata apasat linkul Setarile cookieurilor, fereastra arata cam asa:
Unul din lucrurile interesante pentru administratorul siteului este faptul ca atat modulele listate, cat si impartirea lor pe categorii sau prebifarea unor casute sau capabilitatea de a fi editate sunt definite din administrarea platformei, putand fi usor modificate ulterior. Este de asteptat, de altfel, ca pe un teren in miscare, sa fie nevoie ca aceste lucruri sa fie definite dinamic, modificate etc. Administratorul magazinului dezvoltat pe Shopernicus are aceasta posibilitate.
De aici, vizitatorul poate alege sa bifeze doar acele bife pe care le doreste integrate in magazin, apasand apoi linkul Inchide si accepta selectia curenta, sau sa apese butonul din dreapta, Accepta toate si inchide, buton care seteaza toate bifele pe DA si inchide fereastra.
Important: in momentul integrarii modulului GDPR in magazinul tau, dezvoltatorii nostri vor face integrarea bifelor definite in site, adica vor corela integrarea modulelor cu bifele selectate de vizitator, lasand in site, pentru vizitatorul in cauza, doar modulele pentru care acesta a optat. Integrarea nu se poate face automat, se face de catre dezvoltatorii nostri, lista de module fiind dinamica si particulara siteului, cum spuneam mai sus.
Vizitatorul are posibilitatea sa isi modifice oricand preferintele cu privire la modulele integrate, prin intermediul meniului din partea de jos a siteului, de unde poate afisa din nou bara ce ii permite accesul la modulele bifate.
Cream pagini separate pentru Politica de confidentialitate si protectie a datelor si pentru Politica de cookieuri
Nu sunt foarte multe de spus aici, decat ca ne asiguram ca paginile sunt create pe site, ca sunt integrate cu formularele, ca sunt vizibile din orice pagina a siteului si ca in ele poti gasi informatii scrise la modul uman cu privire la politicile in cauza.
Am pus bife pe fiecare formular in parte, prin care vizitatorul confirma ca a citit si inteles politica de confidentialitate si protectie a datelor
Tot in spiritul noilor reglementari GDPR am pus bife pe fiecare formular in parte, bife care sa ateste ca vizitatorul a inteles si ca este de acord cu politica de protectie a datelor. Nu bifeaza? Nu trece mai departe. Drastic? Doar necesar in virtutea noilor reglementari…Cam ca atunci cand il punem sa semneze formularul la usa, inainte de a intra in bacanie…
Formularul arata cam asa:
De asemenea, bifele sunt prezente si in momentul crearii contului sau logarii pe site, precum si in formularul de abonare la newsletter.
Criptam datele sensibile, pentru a te pune la adapost de consecintele neplacute in cazul unui incident de securitate
Ca un pas suplimentar, care te pune la adapost, am decis sa criptam reversibil datele sensibile stocate in site. Astfel, toate datele cu caracter personal sunt pseudonimizate/criptate reversibil in baza unui algoritm intern, folosind doua chei de criptare (tinute in alta parte, asa cum cere GDPR, nu in baza de date), incat in cazul unui incident de securitate (cu o probabilitate foarte scazuta de altfel, dar e mai bine sa ne asiguram), impactul sa fie minim.
De ce este acest lucru important?
Ei bine, in cazul unui incident de securitate care duce la expunerea datelor clientilor, tu, in calitate de victima, ai obligatia ca in 72 de ore sa anunti autoritatea cu privire la cele intamplate, autoritatea putand dispune diverse masuri, in functie de gravitatea expunerii.
Astfel:
- poate sa iti impuna sa iti anunti toti clientii cu privire la faptul ca datele lor personale au fost expuse! Neplacut? Cu siguranta!
- poate sa decida sa vina in control pentru a verifica cum anume ai procedat cu privire la protectia datelor in firma ta. Ce masuri ti-ai luat? Ai hartiile in regula? Tehnic vorbind ti-ai asigurat datele?
- poate sa te amendeze
- altele?
Pentru a minimiza impactul unor astfel de situatii, am decis sa criptam datele sensibile stocate in baza, incat in cazul expunerii rauvoitoare a bazei de date, datele sa nu poata fi…citite si intelese incat sa duca la identificarea directa a persoanelor in cauza, ceea ce, evident, micsoreaza dramatic impactul negativ al evenimentului. Deci, e de bine.
Important: pseudonimizarea datelor este optionala, datele pot fi stocate in clar, daca proprietarul magazinului decide acest lucru.
Oferim proprietarilor magazinelor dezvoltate pe Shopernicus posibilitatea de a sterge din baza de date a unui client (dreptul de a fi uitat)
La cererea directa, putem sterge o persoana din baza de date, daca acest lucru nu contravine legilor fiscale romanesti. Adica, in baza adresei de email, putem sterge clientul din baza de newslettere, din lista de vouchere, in cazul in care are vouchere alocate. De asemenea, stergem clientul din tabela specifica, pastrandu-i datele doar in relatie cu facturile deja emise, caz in care avem obligatia de a pastra datele. Adica, pe romaneste, daca clientul nu are facturi emise, adica a plasat comenzi dar acestea au fost anulate inainte de emiterea facturii, acesta poate fi sters de tot din baza de date a magazinului.
In concluzie, in acest moment putem oferi proprietarilor de magazine online dezvoltate in baza platformei Shopernicus un set de masuri cel putin utile, necesare cu siguranta, masuri ce asigura inscrierea magazinelor in cerintele tehnice ale noilor reglementari GDPR.
Daca vrei sa citesti mai multe lucruri pe aceasta tema, iti recomand urmatoarele:
- textul regulamentului, in limba Romana, aici
- GDPR in 20 de minute, aici (pozitia LegalUp.ro) sau direct in PDF aici
- o pozitie interesanta a Ziare.com aici
Pentru mai multe detalii, va stam la dispozitie cu placere prin metodele cunoscute: mail, telefon, formular de contact, in curand cu…bifa si aici!