Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online

2,750 views

Published on

Introducere in obligatiile de prelucrare a datelor personale dupa intrarea in vigoare a Regulamentului General privind protectia Datelor Personale (GDPR) pentru magazinele online - 5 intrebari esentiale.

Published in: Internet
  • Be the first to comment

Prezentare Regulamentul Date Personale - 5 intrebari esentiale pentru magazinele online

  1. 1. Regulamentul General privind protec iaț Datelor Personale (GDPR) Noută i i obliga ii pentru magazinele onlineț ș ț 5 întrebări esen ialeț 20 iulie 2017, Webinar Trusted.ro & Silkweb Bogdan Manolea Trusted.ro Legi-internet.ro
  2. 2. Cine Suntem: Trusted.ro - Marca de Incredere pt. magazine online - 24 de criterii verificate de un tert (Noi :-) - De peste 6 ani pe pia ăț - 159 magazine certificate azi - Sistem de feedback independent – OpiniideIncredere.ro
  3. 3. GDPR GDPR – General Data Protection Regulation – Regulamentul general privind protec ia datelor –ț Regulamentul UE 2016/679  Directă aplicare în legisla ia internă (va înlocui legea 677/2001)ț din 25 mai 2018  Sanc iuni impresionanteț − Până la 10 milioane euro sau 2% din cifra de afaceri − Până la 20 milioane euro sau 4% din cifra de afaceri
  4. 4. Câteva noută i pentru Româniaț  Fără notificare/înregistrare  Responsabilitate i conformare (ș compliance)  Principiul “one stop shop”  Notificarea pentru încălcarea securită iiț  Responsabilul pentru protec ia datelorț  Coduri de conduită i certificareș
  5. 5. Responsabilitatea operatorului Art 24. inând seama de natura, domeniul deȚ aplicare, contextul i scopurile prelucrării,ș precum i de riscurile cu grade diferite deș probabilitate i gravitate pentru drepturile iș ș libertă ile persoanelor fiziceț , operatorul pune în aplicare măsuri tehnice i organizatoriceș adecvate pentru a garanta iș a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament.
  6. 6. Adică cum? Art 5 (2) Operatorul este responsabil de respectarea alineatului (1) i poate demonstra această respectareș („responsabilitate”): Principii:  prelucrate în mod legal, echitabil, transparent  colectate în scopuri determinate, explicite i legitimeș  adecvate, relevante i limitateș  exacte, actualizate  stocate pe o perioadă determinată  în condi ii de iț ntegritate i confiden ialitateș ț
  7. 7. Ca să fim clari...  Până în 25 mai 2018 NU se aplică GDPR, obliga iile actuale din legea română (inclusivț notificarea – în anumite cazuri) fiind obligatorie;  Cele 5 întrebări nu reprezinta un test complet de a demonstra responsabilitatea pentru prelucrarea datelor cu caracter personale pentru un magazin online.
  8. 8. 1. Ce date personale colecta i?ț
  9. 9. Domeniu de aplicare date cu caracter personal - orice informa iiț privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identită iiț sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
  10. 10. Pentru magazine online ar putea fi:  Datele consumatorilor ob inute ca urmare aț unei comenzi  Datele persoanelor înscrise la newsletter  Datele vizitatorilor paginii web  Datele vizitatorilor paginii de Facebook  Datele angaja ilorț  Datele clien ilor dintr-un CRMț  Datele candida ilor la joburile voastreț  Etc?
  11. 11. 2. Legalitate - Pe ce bază colecta i dateleț personale?
  12. 12. GDPR – Art 6 (1)  Consim ământ Art 6 (1) a)ț  Executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract Art 6 (1) (b)  Prelucrarea este necesară în vederea îndeplinirii unei obliga ii legale care îi revineț operatorului Art 6 (1) (c)  Interesele legitime ale Operatorului - Art 6 (1) (f) (poate include marketing – vezi Considerent 47) – Dar mare aten ie!ț
  13. 13. La un magazin online ar putea fi:  Datele pentru comandă - art 6 (1) b)  Datele pentru factură – art 6 (1) c)  Datele pentru marketing: − Fie bazate pe consim ământț  Ac iune fără echivoc (ex. bifă, nu căsu ă bifată) – Art 4ț ț pct.11  Prezentată într-o formă care o diferen iază în mod clar deț celelalte aspecte(ex. NU parte din Termeni i Condi ii) art 7ș ț (2) − Fie bazate pe interes legitim (dar atunci nu trebuie să prevaleze în fa a interesului persoanei vizate)ț  Interes legitim – comunicari comerciale prin email către clien i deja existen i? (legea 506/2004, Art 12 (2)ț ț
  14. 14. 3. Cui îi mai da i datele personale?ț
  15. 15. GDPR – Art 4 Pct 7&8  Operator - înseamnă persoana fizică sau juridică, (...) care, singur sau împreună cu altele, stabile te scopurile i mijloacele deș ș prelucrare a datelor cu caracter personal; (eng – data controller)  Persoană împuternicită de operator - înseamnă persoana fizică sau juridică (...) care prelucrează datele cu caracter personal în numele operatorului; (eng – data processor)
  16. 16. La un magazin online ar putea fi:  Operator – Firma care administrează magazinul  Împuternici i:ț − Platforma magazinului (Hello Gomag.ro!) − Găzduirea sau Programatorii − Curierii − Procesatorii de plă iț − Furnizori de marketing (integrali sau specializa i – de ex.ț Newsletter, Retargeting, etc.) − Ter i care sunt integra i în site – Google Analytics, Facebookț ț Login, Zopim Chat, etc.
  17. 17. Obliga iiț  Contract scris între operator i împuternicit (artș 28 (3)) − Prelucrează datele cu caracter personal numai pe baza unor instruc iuni documentate din parteaț operatorului − Obliga ii de confiden ialitateț ț − Etc.  Nu pot delega opera iunile unui alt împuternicitț (sub-processor) fără acordul operatorului.
  18. 18. 4. Ce măsuri lua i pentru a asigura securitateaț datelor?
  19. 19. GDPR  Securitatea prelucrării (art 32) (1) Având în vedere stadiul actual al dezvoltării, costurile implementării i natura,ș domeniul de aplicare, contextul iș scopurile prelucrării, precum iș riscul cu diferite grade de probabilitate i gravitate pentruș drepturile i libertă ile persoanelor fizice,ș ț operatorul i persoana împuternicită de acestaș implementează măsuri tehnice i organizatorice adecvateș în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
  20. 20. GDPR - securitate  Deci poate include (art 32) (a) pseudonimizarea iș criptarea datelor cu caracter personal; (b) capacitatea de a asigura confiden ialitatea,ț integritatea, disponibilitatea i rezisten aș ț (resilience) continue ale sistemelor i serviciilorș de prelucrare; (c) capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul laș acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  21. 21. GDPR – securitate (2)  Aderarea la un cod de conduită aprobat (Art 40), sau la un mecanism de certificare aprobat (Art 42) poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerin elor deț securitate
  22. 22. La un magazin online ar putea fi:  Securitatea datelor folosite de către magazin − Inclusiv păstrarea de către angaja i a securită iiț ț prelucrărilor (clauze contractuale)  Securitatea datelor de către împuternici iț − Contract − “oferă garan ii suficiente pentru punerea în aplicareț a unor măsuri tehnice i organizatorice adecvate”ș
  23. 23. 5. Pute i să informa i autoritatea în cazulț ț încălcării securită ii datelor?ț
  24. 24. GDPR – art 33  Notificarea privind încălcarea securită ii datelorț personale  În cazul în care are loc o încălcare a securită iiț datelor cu caracter personal, operatorul notifică acest lucru (...), fără întârzieri nejustificate i, dacăș este posibil, în termen de cel mult 72 de ore de la data la care a luat cuno tin ă de aceasta (…)ș ț  „încălcarea securită ii datelor cu caracter personal”ț înseamnă o încălcare a securită ii care duce, în modț accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea (...), sau la accesul neautorizat la acestea;
  25. 25. GDPR – Notificarea (2) Notificarea privind încălcarea securită ii datelorț personale:  Către Autoritate (ANSPDCP)  Sau către persoanele vizate, daca “este susceptibilă să genereze un risc ridicat pentru drepturile i libertă ile persoanelor fizice”ș ț − Excep ie: criptarea (sau alte măsuri tehniceț similare) sau riscul ridicat nu mai este susceptibil să se materializeze;
  26. 26. La un magazin online ar putea fi:  O procedură pentru − A detecta incălcările de securitate la date personale − A stabili cum i ce notifici către Autoritateș − A primi informări similare de la împuternici iț  Obliga ia de a impune obliga ii similare pentruț ț împuternici iț
  27. 27. Întrebări? Mul umescț 20 iulie 2017 Bogdan Manolea

×