Ești magazin online și te pregătești să rupi prețurile și să dai cu BF-ul în clienți? Ei bine, fii pregătit să primești multe plângeri de la clienți supărați că nu au mai prins produsul mult dorit, că nu le plac reducerile, produsele, site-ul, latența și care se înfurie că comanda le este livrată cu întârziere. Dacă până acum clienții supărați se îndreptau către ANPC care încerca să o dea la pace, de acum clienții supărați găsesc mici sau mari încălcări ale GDPR pe site-ul tău și se vor duce țintă la ANSPDCP. Care nu cade la pace. Deci, pas cu pas:
- Ai identificat toate prelucrările de date personale din organizație? Nu vorbim doar de partea de completare a formularelor de contact, comandă, înscriere la newsletter sau similare ci și de colectarea datelor pentru loguri, de monitorizarea activității utilizatorului pe site de către tine sau de către terțe părți gen Facebook Connect sau Google Analytics. Știi TOATE prelucrările?
- Odată prelucrările identificate, este momentul să identificăm toate terțele părți. Cu siguranță ai următoarele: hosting, procesator de plăți, curier. Pe astea le ai sigur. Mai poți avea newsletter externalizat (gen Mailchimp), tracking (Google, Facebook, Hubspot, Hotjar, Exponea etc), live chat (LiveZilla), diverse integrări de marketing automation oferite de terțe părți etc. Toate acestea trebuie identificate, și odată cu ele rolul lor (operator, persoană împuternicită sau operator asociat), temeiul legal al transferului, garanțiile suplimentare dacă vorbim de transfer în afara UE (cam tot ce înseamnă Mailchimp, Google, Facebook, Hubspot, Hotjar – atenție s-ar putea să nu poți DELOC transfera date către ele, vezi cazul Schrems II), ce anexe de prelucrări de date trebuie semnate cu fiecare, dacă pot fi negociate etc.
- Odată ce am stabilit prelucrările și terțele părți implicate, trebuie să identificăm temeiurile legale pentru fiecare prelucrare. Consimțământul este unul dintre ele, merge pentru consimțământul cookie-urilor și pentru înscrierea la newsletter. La restul avem alte temeiuri legale.
- Odată ce am stabilit cele de mai sus, trebuie să ne asigurăm că respectăm toate principiile GDPR. Recomand să începeți cu minimizarea datelor, de obicei se colectează prea multe date personale pentru un scop. Continuați cu claritatea scopului fiecărei prelucrări, cu modalități de a verifica corectitudinea datelor (procedură pentru identificarea corectă a clientelei, pentru update-ul datelor personale), stabilirea de termene de ștergere pentru fiecare categorie de date personale (nu există „cât timp ne obligă legea” – trebuie spus clar un an, trei ani, șapte ani, cincizeci de ani etc). Mai sunt câteva principii dar ne ocupăm imediat de ele.
- Odată ce am minimizat datele personale prelucrate, am clarificat fiecare scop și fiecare temei legal asociat fiecărui scop, am stabilit ce și când expiră (nu uitați că fiecare cont de utilizator are un expiration date – recomand să se ia în considerare ultimul login și să se pună o perioadă rezonabilă de timp, de la 1 la 3 ani), știm să identificăm corect clientul fără să îi cerem copia de carte de identitate, este momentul să identificăm ce drepturi au persoanele vizate și cum și le pot exercita. Atenție – nu oricine are toate drepturile! Dreptul de export al datelor nu se aplică la toate datele personale prelucrate și nici dreptul de opoziție!
- Identificăm căi de extragere a tuturor datelor personale prelucrate pentru o persoană vizată. Este CRITIC să putem să scoatem o copie a tuturor datelor personale, drepturile se pot exercita doar când știm ce date prelucrăm. La cererea de acces (art 15) oricum trebuie să dăm o copie completă a datelor. Atenție, un client poate fi și un fost angajat, curier, responsabil la partener, etc. Deci trebuie să avem datele digitalizate, bine indexate, metadate asociate astfel încât să le găsim repede!
- Odată ce am stabilit toate cele de mai sus, este momentul să le comunicăm și persoanelor vizate. Acest lucru se face prin notificări de confidențialitate sau de prelucrare a datelor scrise pe limbajul clienților. Mai multe detalii AICI. Atenție, NU COPIAȚI aceste notificări de pe alte site-uri. Fiecare are prelucrările lui. De asemenea, limbajul trebuie să fie „customer-friendly”, nu avocățesc. Nu menționați articole, paragrafe etc, ci chestii citibile și ușor de înțeles. Puteți face și filmulețe, infografice, etc. Uite ce treabă bună a făcut EasyJet. Așa demonstrați respectarea principiului transparenței.
- Atenție la ce cookies aveți pe site. La mulți clienți m-am trezit cu cookies „uitate” de programatori. Atenție la ce cookies vă „injectează” diverse plug-in-uri, gen filmuleț Youtube embedded (așa, vreo 10). Nu uitați că trebuie să respectați principiul minimizării datelor! Cookie-urile non-necesare (cele fără de care site-ul nu merge) trebuie blocate by-default până la consimțământul explicit al utilizatorului. Nu folosiți plug-in-uri gen „prin continuarea navigării vă exprimați consimțământul…” că sunt ilegale. Nu lansați cookie-urile înainte de plug-in-ul de consimțământ că orice tool de detectare cookies gen Ghostery le vede. Și vă treziți cu plângeri.
- Nu uitați de restul documentației și a task-urilor: training angajați, training call-center (și documentare prelucrări), registrul prelucrărilor de date, anexe la contractele de muncă, adăugarea politicii interne de prelucrare a datelor la regulamentul de ordine interioară, politici și proceduri interne de prelucrare a datelor, documentarea tuturor riscurilor și a măsurilor tehnice și organizaționale de atenuare a lor, testarea măsurilor, calendarul auditorilor interne etc.
Da, știu, nu este deloc simplu. Însă câțiva pași se pot face și acum, pentru început. Mor când aud de la cineva „noi nu vrem să fim perfecți, vrem să avem acolo un GDPR mic” – nu există așa ceva. Cei cu GDPR mic se expun amenzilor și business-ului pierdut. Conformitatea este treaba fiecăruia și fiecare trebuie să știe ce poate și ce nu poate face.
Cabinetul de consultanță Tudor Galoș Consulting lucrează cu peste 90 de clienți și și-a dezvoltat o metodologie proprie de asistență a clienților în proiectele de conformitate la GDPR. De asemenea avem și training-uri pentru angajații clienților (unele gratis) și un training de cinci zile de Data Protection Officer, training acreditat la ANC (următorul chiar în Noiembrie).