Tudor Galos

- The Blog of Tudor Galos -

Black Friday GDPR Checklist

Articol din categoria: Lifestyle

E╚Öti magazin online ╚Öi te preg─âte╚Öti s─â rupi pre╚Ťurile ╚Öi s─â dai cu BF-ul ├«n clien╚Ťi? Ei bine, fii preg─âtit s─â prime╚Öti multe pl├óngeri de la clien╚Ťi sup─âra╚Ťi c─â nu au mai prins produsul mult dorit, c─â nu le plac reducerile, produsele, site-ul, laten╚Ťa ╚Öi care se ├«nfurie c─â comanda le este livrat─â cu ├«nt├órziere. Dac─â p├ón─â acum clien╚Ťii sup─âra╚Ťi se ├«ndreptau c─âtre ANPC care ├«ncerca s─â o dea la pace, de acum clien╚Ťii sup─âra╚Ťi g─âsesc mici sau mari ├«nc─âlc─âri ale GDPR pe site-ul t─âu ╚Öi se vor duce ╚Ťint─â la ANSPDCP. Care nu cade la pace. Deci, pas cu pas:

  • Ai identificat toate prelucr─ârile de date personale din organiza╚Ťie? Nu vorbim doar de partea de completare a formularelor de contact, comand─â, ├«nscriere la newsletter sau similare ci ╚Öi de colectarea datelor pentru loguri, de monitorizarea activit─â╚Ťii utilizatorului pe site de c─âtre tine sau de c─âtre ter╚Ťe p─âr╚Ťi gen Facebook Connect sau Google Analytics. ╚śtii TOATE prelucr─ârile?
  • Odat─â prelucr─ârile identificate, este momentul s─â identific─âm toate ter╚Ťele p─âr╚Ťi. Cu siguran╚Ť─â ai urm─âtoarele: hosting, procesator de pl─â╚Ťi, curier. Pe astea le ai sigur. Mai po╚Ťi avea newsletter externalizat (gen Mailchimp), tracking (Google, Facebook, Hubspot, Hotjar, Exponea etc), live chat (LiveZilla), diverse integr─âri de marketing automation oferite de ter╚Ťe p─âr╚Ťi etc. Toate acestea trebuie identificate, ╚Öi odat─â cu ele rolul lor (operator, persoan─â ├«mputernicit─â sau operator asociat), temeiul legal al transferului, garan╚Ťiile suplimentare dac─â vorbim de transfer ├«n afara UE (cam tot ce ├«nseamn─â Mailchimp, Google, Facebook, Hubspot, Hotjar ÔÇô aten╚Ťie s-ar putea s─â nu po╚Ťi DELOC transfera date c─âtre ele, vezi cazul Schrems II), ce anexe de prelucr─âri de date trebuie semnate cu fiecare, dac─â pot fi negociate etc.
  • Odat─â ce am stabilit prelucr─ârile ╚Öi ter╚Ťele p─âr╚Ťi implicate, trebuie s─â identific─âm temeiurile legale pentru fiecare prelucrare. Consim╚Ť─âm├óntul este unul dintre ele, merge pentru consim╚Ť─âm├óntul cookie-urilor ╚Öi pentru ├«nscrierea la newsletter. La restul avem alte temeiuri legale.
  • Odat─â ce am stabilit cele de mai sus, trebuie s─â ne asigur─âm c─â respect─âm toate principiile GDPR. Recomand s─â ├«ncepe╚Ťi cu minimizarea datelor, de obicei se colecteaz─â prea multe date personale pentru un scop. Continua╚Ťi cu claritatea scopului fiec─ârei prelucr─âri, cu modalit─â╚Ťi de a verifica corectitudinea datelor (procedur─â pentru identificarea corect─â a clientelei, pentru update-ul datelor personale), stabilirea de termene de ╚Ötergere pentru fiecare categorie de date personale (nu exist─â ÔÇ×c├ót timp ne oblig─â legeaÔÇŁ ÔÇô trebuie spus clar un an, trei ani, ╚Öapte ani, cincizeci de ani etc). Mai sunt c├óteva principii dar ne ocup─âm imediat de ele.
  • Odat─â ce am minimizat datele personale prelucrate, am clarificat fiecare scop ╚Öi fiecare temei legal asociat fiec─ârui scop, am stabilit ce ╚Öi c├ónd expir─â (nu uita╚Ťi c─â fiecare cont de utilizator are un expiration date ÔÇô recomand s─â se ia ├«n considerare ultimul login ╚Öi s─â se pun─â o perioad─â rezonabil─â de timp, de la 1 la 3 ani), ╚Ötim s─â identific─âm corect clientul f─âr─â s─â ├«i cerem copia de carte de identitate, este momentul s─â identific─âm ce drepturi au persoanele vizate ╚Öi cum ╚Öi le pot exercita. Aten╚Ťie ÔÇô nu oricine are toate drepturile! Dreptul de export al datelor nu se aplic─â la toate datele personale prelucrate ╚Öi nici dreptul de opozi╚Ťie!
  • Identific─âm c─âi de extragere a tuturor datelor personale prelucrate pentru o persoan─â vizat─â. Este CRITIC s─â putem s─â scoatem o copie a tuturor datelor personale, drepturile se pot exercita doar c├ónd ╚Ötim ce date prelucr─âm. La cererea de acces (art 15) oricum trebuie s─â d─âm o copie complet─â a datelor. Aten╚Ťie, un client poate fi ╚Öi un fost angajat, curier, responsabil la partener, etc. Deci trebuie s─â avem datele digitalizate, bine indexate, metadate asociate astfel ├«nc├ót s─â le g─âsim repede!
  • Odat─â ce am stabilit toate cele de mai sus, este momentul s─â le comunic─âm ╚Öi persoanelor vizate. Acest lucru se face prin notific─âri de confiden╚Ťialitate sau de prelucrare a datelor scrise pe limbajul clien╚Ťilor. Mai multe detalii AICI. Aten╚Ťie, NU COPIA╚ÜI aceste notific─âri de pe alte site-uri. Fiecare are prelucr─ârile lui. De asemenea, limbajul trebuie s─â fie ÔÇ×customer-friendlyÔÇŁ, nu avoc─â╚Ťesc. Nu men╚Ťiona╚Ťi articole, paragrafe etc, ci chestii citibile ╚Öi u╚Öor de ├«n╚Ťeles. Pute╚Ťi face ╚Öi filmule╚Ťe, infografice, etc. Uite ce treab─â bun─â a f─âcut EasyJet. A╚Öa demonstra╚Ťi respectarea principiului transparen╚Ťei.
  • Aten╚Ťie la ce cookies ave╚Ťi pe site. La mul╚Ťi clien╚Ťi m-am trezit cu cookies ÔÇ×uitateÔÇŁ de programatori. Aten╚Ťie la ce cookies v─â ÔÇ×injecteaz─âÔÇŁ diverse plug-in-uri, gen filmule╚Ť Youtube embedded (a╚Öa, vreo 10). Nu uita╚Ťi c─â trebuie s─â respecta╚Ťi principiul minimiz─ârii datelor! Cookie-urile non-necesare (cele f─âr─â de care site-ul nu merge) trebuie blocate by-default p├ón─â la consim╚Ť─âm├óntul explicit al utilizatorului. Nu folosi╚Ťi plug-in-uri gen ÔÇ×prin continuarea navig─ârii v─â exprima╚Ťi consim╚Ť─âm├óntul…ÔÇŁ c─â sunt ilegale. Nu lansa╚Ťi cookie-urile ├«nainte de plug-in-ul de consim╚Ť─âm├ónt c─â orice tool de detectare cookies gen Ghostery le vede. ╚śi v─â trezi╚Ťi cu pl├óngeri.
  • Nu uita╚Ťi de restul documenta╚Ťiei ╚Öi a task-urilor: training angaja╚Ťi, training call-center (╚Öi documentare prelucr─âri), registrul prelucr─ârilor de date, anexe la contractele de munc─â, ad─âugarea politicii interne de prelucrare a datelor la regulamentul de ordine interioar─â, politici ╚Öi proceduri interne de prelucrare a datelor, documentarea tuturor riscurilor ╚Öi a m─âsurilor tehnice ╚Öi organiza╚Ťionale de atenuare a lor, testarea m─âsurilor, calendarul auditorilor interne etc.

Da, ╚Ötiu, nu este deloc simplu. ├Äns─â c├ó╚Ťiva pa╚Öi se pot face ╚Öi acum, pentru ├«nceput. Mor c├ónd aud de la cineva ÔÇ×noi nu vrem s─â fim perfec╚Ťi, vrem s─â avem acolo un GDPR micÔÇŁ ÔÇô nu exist─â a╚Öa ceva. Cei cu GDPR mic se expun amenzilor ╚Öi business-ului pierdut. Conformitatea este treaba fiec─âruia ╚Öi fiecare trebuie s─â ╚Ötie ce poate ╚Öi ce nu poate face.

Cabinetul de consultan╚Ť─â Tudor Galo╚Ö Consulting lucreaz─â cu peste 90 de clien╚Ťi ╚Öi ╚Öi-a dezvoltat o metodologie proprie de asisten╚Ť─â a clien╚Ťilor ├«n proiectele de conformitate la GDPR. De asemenea avem ╚Öi training-uri pentru angaja╚Ťii clien╚Ťilor (unele gratis) ╚Öi un training de cinci zile de Data Protection Officer, training acreditat la ANC (urm─âtorul chiar ├«n Noiembrie).

Adaug─â un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.