Deții o platformă, un magazin online sau o aplicație mobilă? Sau chiar un simplu site de prezentare/blog pe care sunt postate diverse articole?

Fără a face o analiză exhaustivă a tuturor prevederilor legale, în acest articol, vei vedea aspecte principale prevăzute de GDPR, de care ar trebui să ții cont atunci când deții/operezi un o platformă as a service (PaaS), un magazin online, o aplicație mobilă sau chiar un simplu site de prezentare/blog (pe care le vom numi general “site/aplicație mobilă”).

Sintagma “conformitate cu GDPR” apare din ce în ce mai des în discuțiile legate de tehnologie și protecția datelor cu caracter personal. Dacă dezvolți sau ai dezvoltat deja un site/o aplicație mobilă, probabil te-ai ”lovit” de „problema GDPR-ului”.

Dar ce înseamnă acest GDPR și ce ar trebui să faci?

GDPR este un regulament european care reglementează modul în care pot fi prelucrate date cu caracter personal.

Concret, GDPR stabilește o serie de obligații în sarcina celor care prelucrează astfel de date, precum obligația de informare a utilizatorilor, obligația de a obține acordul pentru trimiterea mesajelor de marketing etc.

1. Politica de confidențialitate (en., Privacy policy)

Un prim pas în conformarea cu GDPR este să publici pe site/în aplicația mobilă o politică privind prelucrarea datelor cu caracter personal (adică politica de confidențialitate / privacy policy). Rolul acestei politici este de a informa utilizatorii despre cum colectezi și cum prelucrezi ulterior datelor acestora.

Ce conține o politică de confidențialitate?

Această politică trebuie să conțină o serie de informații obligatorii potrivit GDPR, printre care:

• date despre compania ta (denumirea companiei, date de identificare și date de contact);
• care sunt scopurile și temeiurile legale în baza cărora prelucrezi datele;
• dacă și către cine transferi datele (e.g., transmiți datele către compania de curierat care livrează produsele utilizatorului);
• pentru cât timp stochezi datele (durata se stabilește de la caz la caz, dar trebuie să fie o durată minimă și pe care să o poți justifica);
• drepturile pe care le are utilizatorul (care sunt prevăzute de GDPR) și modul în care și le poate exercita.

Cum trebuie publicată politica de confidențialitate?

Politica de confidențialitate trebuie să fie ușor accesibilă utilizatorilor:

• în cazul site-ului web, politica trebuie să fie disponibilă pe fiecare pagină a acestuia (de exemplu, în footer);
• iar în cazul aplicațiilor mobile, politica trebuie să fie disponibilă “la două click-uri distanță”.

Bifa pentru politica de confidențialitate

Politica de confidențialitate are ca scop informarea utilizatorilor. Astfel, fiind doar o informare privind prelucrarea datelor, nu este necesar ca utilizatorul să fie de acord cu politica de confidențialitate, ci trebuie doar să confirme că a citit-o și a înțeles-o.

Exemplu: printr-un check-box (pe care utilizatorii trebuie să îl bifeze) și cu un text precum „Am citit și am înțeles politica de confidențialitate”.

Atenție: nu confunda bifa pentru politica de confidențialitate cu bifa pentru luarea consimțământului utilizatorului atunci când este utilizat ca temei al prelucrării – sunt diferite.

Acordul de marketing al utilizatorilor

Distinct de bifa pentru politica de confidențialitate, ar trebui să ai în vedere că pentru a trimite mesaje de marketing ai nevoie de acordul prealabil și expres al utilizatorului – așa-numitul subscribe.

Cum faci asta? Printr-o bifă și un text precum „Sunt de acord să primesc mesaje cu promoții și alte informații utile”.

Bine de știut:

• poți pune bifa și textul oriunde în site/aplicația mobilă, de mai multe ori, inclusiv în flow-ul de onboarding;
• bifa nu trebuie să fie prebifată (să o poată bifa utilizatorul);
• bifa trebuie să fie opțională.

2. Politica de cookie-uri (en., Cookie Policy)

Atunci când folosești cookie-uri, trebuie să informezi utilizatorul despre acest lucru, informare ce în practică se face prin intermediul politicii de cookie-uri.

Ce ar trebui inclus în politica de cookie-uri?

De regulă, politica de cookie-uri conține următoarele informații:

• date despre compania ta (denumirea companiei, date de identificare și date de contact);
• date despre categoriile de cookie-uri utilizate, scopul și durata lor de viață;
• date despre cum poate utilizatorul să gestioneze utilizarea cookie-urilor;
• informații despre cookie-uri proprii utilizate de tine și cookie-urile utilizate de terți.

Unde trebuie publicată politica de cookies?

În mod similar politicii de confidențialitate, și politica de cookies trebuie să fie ușor accesibilă utilizatorilor – de exemplu, poți include un link către aceasta în footer.

Trebuie cerut consimțământul utilizatorului pentru utilizarea de cookie-uri?

Trebuie făcută distincție între cookie-urile strict necesare pentru funcționarea corectă a platformei și celelalte cookie-uri care nu sunt strict necesare (cum ar fi cookie-urile de analiză sau cele de marketing).

Pentru cookie-urile strict necesare NU este necesar să obții consimțământul utilizatorului.

Pentru celelalte categorii de cookie-uri trebuie să obții acordul prealabil. De regulă, obținerea consimțământului se face prin implementarea unui pop-up banner, care trebuie să aibă atât buton de „accept”, cât și buton de “refuz”.

Iată ce ar trebui să ai în vedere atunci când utilizezi un pop-up banner:

• nu trebuie să fie prebifat cu privire la cookie-urile care nu sunt necesare – cu alte cuvinte, pentru a obține un consimțământ valabil, trebuie ca utilizatorul însuși să bifeze căsuțele corespunzătoare;
• trebuie să obții consimțământul pentru fiecare categorie de cookie-uri utilizate în parte – adică utilizatorul trebuie să bifeze separat pentru cookie-uri analitice, de marketing etc.;
• pop-up banner-ul trebuie să fie accesibil utilizatorului, astfel încât acesta să aibă posibilitatea de a reveni în orice moment asupra opțiunii sale cu privire la cookie-uri.

Ce mai trebuie avut în vedere cu privire la cookie-urile care nu sunt strict necesare

Până când utilizatorul nu acceptă cookie-urile care nu sunt necesare, nu trebuie să folosești astfel de cookie-uri. La fel, nu poți utiliza aceste cookie-uri dacă utilizatorul le refuză.

De asemenea, nu trebuie să condiționezi utilizarea platformei de acceptarea cookie-urilor care nu sunt strict necesare.

3. Alte obligații potrivit GDPR

Bun, acum că ai văzut principalele documente pe care trebuie să le publici pe site/în aplicația mobilă, ar trebui să ai în vedere că GDPR mai stabilește o serie de alte obligații la fel de importante. Astfel, trebuie să fii atent și la următoarele aspecte:

• reducerea la minim a datelor – colectează numai acele date cu caracter personal care sunt necesare pentru scopul prelucrării; Cu alte cuvinte, stabilește clar care sunt datele de care ai nevoie și nu colecta date care nu sunt strict necesare;
• durata stocării – datele trebuie stocate pe o perioadă minimă, adică doar atât timp cât sune necesare pentru îndeplinirea scopurilor de prelucrare;
• transferul datelor – dacă transferi datele către alte părți, inclusiv dacă, de exemplu, utilizezi servicii de hosting de la furnizori din US, ar trebui să închei cu aceste părți contracte de transfer care să reglementeze obligațiile lor cu privire la datele pe care le primesc;
• securitatea datelor – implementează măsuri de securitate care să asigure protecția împotriva prelucrării neautorizate sau ilegale, pierderii sau distrugerii (criptează datele, auditează periodic sistemele etc.);
• privacy by design și by default – trebuie să ții permanent cont de cerințele GDPR, încă din stadiul dezvoltării site-ului/aplicației mobile, inclusiv prin luarea unor măsuri tehnice și organizatorice care să asigure implementarea principiilor de protecție a datelor și a garanțiilor necesare pentru a proteja drepturile utilizatorilor;
• politici interne – conformarea cu GDPR presupune, de asemenea, stabilirea unor politici și proceduri la nivel intern, cum ar fi: politică de prelucrare a datelor internă (distinct de politica de confidențialitate prin care se realizează informarea utilizatorilor), politică de stocare a datelor, politică de securitate și administrare a incidentelor de securitate etc.

Protecția datelor cu caracter personal este unul dintre aspectele principale pe care trebuie să le ai în vedere dacă operezi un site/aplicație mobilă.

Un alt aspect, la fel de important, îl reprezintă reglementarea relației cu utilizatorii site-ului/aplicației mobile, care se realizează, de regulă, prin termenii și condițiile site-ului/aplicației mobile. Află ce trebuie să ai în vedere cu privire la termeni și condiții în articolul nostru aici .