Documente Academic
Documente Profesional
Documente Cultură
GDPR.
2 5 0 5 2 0 1 8
CUPRINS
10 POLITICI INTERNE
GDPR PENTRU ECOMMERCE
DESPRE GDPR
DOMENIUL DE APLICABILITATE
• Operatori publici si privati din afara UE, daca prelucreaza date ale unor cetateni UE
CONFORMITATEA CU GDPR
Schimbari de Transparenta
procese
Protectia
DPO
datelor
GDPR
Drepturi Sanctiuni
GDPR PENTRU ECOMMERCE
• CNP • Fotografii
• Telefon • IP
2. Trebuie sa aveti contracte incheiate cu clientii Dvs. si sa le asigurati suport in situatia in care vreun
angajat de la client isi exercita drepturile mentionate in GDPR (dreptul de access, de stergere, de
De exemplu: daca primiti CV-uri direct de la candidati, atunci trebuie sa ii informati, cu prima
ocazie/la primul contact, despre scopurile pentru care le colectati si prelucrati datele cu caracter
personal.
• Consimtamant nou - explicit sau temei (obligatie legala, interes legitim obligatie contractuala)
Ca regula generala, prelucrarea datelor colectate anterior datei de 25 mai 2018 vor putea fi prelucrate
De exemplu: daca prelucrarea s-a efectuat in temeiul consimtamantului persoanei vizate dat ante-
GDPR, continuarea prelucrarii ulterior datei de 25 mai 2018 poate fi facuta doar in situatia in care
consimtamantul prelevat respecta cerintele GDPR. In caz contrar, va fi necesara obtinerea unui nou
consimtamant.
GDPR PENTRU ECOMMERCE
liber exprimat, specific si lipsit de ambiguitate. demonstreze ca persoana vizata si-a dat
informata asupra posibilitatii de a-si retrage • Analizam daca poate fi identificat un alt temei
consimtamantul. al prelucrarii.
• Daca prelucrarea datelor se face in mai multe Daca nu se obtine din nou consimtamantul
scopuri, consimtamantul ar trebui dat pentru persoanei vizate sau nu se identifica un alt
fiecare scop in care datele sunt prelucrate. temei al prelucrarii, datelor vor trebui sterse,
clara a acordului persoanei vizate pentru trebuie colectat in momentul in care ii solicitati
prelucrarea datelor sale cu caracter personal. datele pentru un anumit scop de prelucrare.
Acest lucru semnifica faptul ca absenta unui Inainte ca persoana sa furnizeze datele, trebuie
raspuns, casutele bifate in prealabil sau sa fie informata asupra scopurilor prelucrarii si
Trebuie sa asigurati urmatoarele drepturi catre persoanele ale caror date le-ati colectat:
Consimtamantul persoanei vizate trebuie exprimat in mod liber, fara a constrange in vreun fel
optiunea persoanei.
GDPR PENTRU ECOMMERCE
• Daca utilizatorul si-a exprimat optiunea de dezabonare, atunci NU mai trebuie contactat deloc.
Pentru ca, in acest caz, si-a exercitat dreptul la opozitie (conf. Art.21), ceea ce inseamna ca Dvs. NU
mai trebuie sa ii prelucrati datele cu caracter personal, pentru scopurile pentru care si-a exprimat
opozitia.
• Nu exista prevederi specifice privind modalitatea de functionare a linkului de dezabonare, insa exista
Art. 21: Dreptul la opozitie (1) In orice moment, persoana vizata are dreptul de a se opune, din motive
legate de situatia particulara in care se afla, prelucrarii datelor cu caracter personal care o privesc,
inclusiv crearii de profiluri pe baza respectivelor dispozitii.
• Operatorul NU prelucreaza datele cu caracter care sunt colectate si prelucrate datele lor cu
legitime si imperioase care justifica prelucrarea • In cazul in care datele cu caracter personal
drepturilor si libertatilor persoanei vizate sau persoana vizata ar trebui sa aiba dreptul de a
ca scopul este constatarea, exercitarea sau se opune unei astfel de prelucrari, inclusiv
• GDPR nu trateaza caracterul retroactiv al daca prelucrarea in cauza este cea initiala sau
aplicarii sale. Daca este fezabil, se recomanda una ulterioara, in orice moment si in mod
la clientii existenti. Daca este un efort prea explicit in atentia persoanei vizate si prezentat
mare, care ar perturba functionarea in mod clar si separat de orice alte informatii.
pentru a-i informa asupra scopurilor pentru unor garantii adecvate pentru drepturile si
garantii ar trebui sa asigure faptul ca au fost trebuie pastrate timp de 50 ani, conform Legii
instituite masuri tehnice si organizatorice Arhivarii Nationale.
necesare pentru a se asigura, in special,
principiul reducerii la minimum a datelor. • Daca nu mai aveti nevoie de datele cu caracter
• Trebuie respectat dreptul la opozitie, al momentul in care scopul pentru care au fost
personal, in scopuri de marketing direct. • Daca persoana isi exercita dreptul de a fi uitat
• In primul rand, trebuie sa stabiliti care este nici unei legi de a pastra acele date, atunci
personale si care este temeiul legal care va datelor din toate sursele (aplicatii IT, arhive,
• Notificare catre persoana vizata daca incidentul este de natura sa genereze un risc ridicat pentru
• Este persoana de contact in relatia cu persoana vizata, in aspecte ce tin de protectia datelor cu
caracter personal
• Operatorul este responsabil de respectarea tuturor acestor principii si trebuie sa poata demonstra
aceasta respectare.
PRINCIPII GDPR
• Prelucrarea datelor cu caracter personal sa se faca in mod legal (adica sa existe un temei al
prelucrarii dintre cele prevazute la Art. 6 din Regulament), echitabil si transparent (cu informarea
persoanei vizate).
• Datele sa fie colectate in scopuri determinate, explicite si legitime (operatorul trebuie sa stabileasca
aceste scopuri).
• Datele sa fie adecvate, relevante si limitate (scopul este reducerea la minimum a datelor, operatorul
• Datele sa fie prelucrate intr-o modalitate care asigura securitatea adecvata a acestora, prin luarea de
GDPR nu specifica frecventa actualizarii, insa trebuie luate masuri rezonabile pentru a Organizatia sa
fie, in mod continuu, in conformitate cu GDPR.
• Bineinteles, fiindca in spatele oricarui magazin • Daca serverele nu sunt in Romania, atunci
online se afla o societate si dincolo de website trebuie asigurate masuri tehnice adecvate
exista cu siguranta date cu caracter personal pentru protectia datelor cu caracter personal.
caracter personal.
• Noutate: conform GDPR, persoana vizata trebuie sa isi dea acordul printr-o actiune afirmativa si
informata realizata de catre aceasta, oferita liber, intr-un context specific si lipsit de ambiguitati.
• Impact: daca vorbim de un vizitator, in ipoteza in care website-ul foloseste cookies-uri, simpla
informare ca ” Navigarea pe acest site se considera acceptarea Dvs. cu privire la politica de utilizare a
privind consimtamantul.
• Se elimina astfel tipurile de consimtamant implicit. In plus, atat clientii, cat si vizitatorii, in calitate de
persoane vizate ale caror date sunt colectate, trebuie sa aiba mereu optiunea de a-si retrage acordul
• In ceea ce priveste datele vizitatorilor: trebuie tinut cont ca si alte detalii ale simplilor vizitatori vor fi
• Solutii: un exemplu de acord acceptat prin GDPR este bifarea unei casute de catre vizitator; casuta NU
poate fi pre-bifata.
• Modul prin care un magazin online colecteaza datele personale ale vizitatorilor se va schimba.
3. Executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea
4. Prelucrare necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului
6. Pentru fiecare categorie de date cu caracter personal prelucrata, trebuie identificat un temei, altfel
De exemplu: Datele solicitate pentru o comanda – temei art. 6 alin. (1) lit. b): prelucrarea este
Datele solicitate pentru o factura - temei art. 6 alin. (1) lit. c): prelucrarea este necesara in vederea
indeplinirii unei obligatii legale care ii revine operatorului
Datele pentru marketing: exista o dezbatere in sensul in care ar putea fi bazate:
Fie pe baza consimtamantului persoanei vizate, care trebuie sa fie conform GDPR
Fie pe baza interesului legitim – discutabil
GDPR IMPUNE
1. Existenta unui contract scris
GDPR impune ca si obligatie existenta unui contract scris intre operator si persoana imputernicita,
De avut in vedere: NU se poate adauga un alt imputernicit fara acordul prealabil al operatorului.
operatorul despre incidentele de securitate privind datele prelucrate in numele si pe seama acestuia.
Foarte important: contractul trebuie sa prevada cum se partajeaza raspunderea in cazul unui
TO DO LIST
2. Pentru a putea evalua masurile care se impun in vederea asigurarii conformitatii cu GDPR, este
3. Astfel spus, nu se pot identifica aspectele de neconformitate, riscurile si punctele slabe ale prelucrarii
si securizarii datelor pe care le procesati, pana cand nu este clarificat: ce date sunt procesate, cum
sunt procesate, cine are acces la ele, unde ajung datele, cat timp sunt stocate si sub ce forma.
4. Aceasta prima operatiune permite ulterior elaborarea unor proceduri interne privind prelucrarea
1. Executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea
2. Prelucrare necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului
4. Consimtamantul expres
Odata ce avem informatii privind datele cu caracter personal prelucrate si scopul in care acestea sunt
prelucrate, este obligatoriu sa identificam si un temei al prelucrarii; in caz contrar, in lipsa unui temei,
POLITICI INTERNE
• Instruire
• Regulamente/procedura
Ceea ce aduce nou GDPR si va fi dificil pentru operatori este faptul ca acestia trebuie sa demonstreze
respectarea cerintelor Regulamentului.
Cu alte cuvinte, pentru a putea demonstra autoritatii ca tot ceea ce se face cu datele cu caracter
personal (de la modalitatea de colectare a lor, pana la stergeri la cererea utilizatorului, procesari,
trebuie documentate prin intermediul unor politici interne care sa fie implementate.
INFORMARE. CONFIDENTIALITATE
• GDPR pune foarte mult accent pe transparenta, mai ales in relatia cu persoana vizata, care ar trebui
• La nivelul website-urilor, aceasta transparenta se traduce, din punctul nostru de vedere, prin
existenta, pe langa pagina de ”Termeni si conditii”, a unei pagini de confidentialitate sau prelucrare a
descris procesul prin care este asigurata confidentialitatea datelor colectate, securitatea lor, precum
si alte informatii; de exemplu, entitatile care acces la datele colectate si scopul in care acestea au
acces).
GDPR PENTRU ECOMMERCE
De asemenea, persoana vizata ar trebuie sa fie informata cu privire la toate drepturile pe care le are
in virtutea GDPR.
2. Consimtamant expres
• Pentru asigurarea implementarii principiului privacy by design al GDPR, trebuie eliminate paginile in
cadrul carora casutele de abonare la newsletter sau alt tip de colectare a unor date cu caracter
• Utilizatorul ar trebui sa poata fi capabil sa isi dea acordul pentru orice tip de actiune care priveste
datele personale ce-i apartin (abonare la newsletter, abonare la alte mesaje de marketing, pastrarea
datelor pentru statistici de utilizare a site-ului, pastrarea datelor pentru crearea contului de client in
site, etc.).
• In principiu, temeiul pentru marketing ar trebui sa fie consimtamantul explicit al utilizatorului. Este
discutabil daca se poate folosi ca temei interesul legitim, dat fiind ca acesta trebuie analizat temeinic
si sa fie justificat.
MECANISME JURIDICE
Implementarea unor mecanisme care sa permita persoanei vizate exercitarea drepturilor sale.
1. Retragerea consimtamantului
2. Stergerea totala
3. Portarea
• Astfel, vor trebui create mecanisme pentru ca utilizatorul sa isi poata retrage consimtamantul dat
pentru modul in care sunt folosite datele lui, la fel de usor precum si l-a dat, fie total (stergerea totala
a datelor atat din baza de data a operatorului, cat si din cea a tertilor carora le-au fost divulgate
datele), fie partial (dezabonarea de la newsletter, dar fara stergerea contului de client de pe site-ul).
• Mai mult, intrucat Regulamentul introduce dreptul la portabilitatea datelor, datele cu caracter
personal ale clientilor vor trebui pastrate intr-un format portabil (usor de transferat online in alte
sisteme), in eventualitatea in care acesta solicita portarea lor catre un alt operator.
Revizuirea contractelor
• Atentia se va indrepta asupra revizuirii sau inserarii clauzelor de confidentialitate si cele privind
• Va fi supusa analizei relatia dintre partile contractante in vederea identificarii raporturilor operator-
GDPR pune la dispozitie diferite instrumente pentru incadrarea transferurilor de date din UE intr-o
tara terta:
• in baza unei „decizii privind caracterul adecvat al nivelului de protectie” prin care Comisia Europeana
considera ca tara terta poate fi declarata ca oferind un nivel adecvat de protectie, caz in care
• in absenta unei decizii privind caracterul adecvat al nivelului de protectie, transferul se poate face
prin asigurarea unor garantii adecvate si cu conditia ca persoanele fizice sa beneficieze de drepturi
• in cazul unui grup de intreprinderi sau de societati implicat intr-o activitate economica comuna,
societatile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;
angajamente obligatorii si executorii din partea destinatarului de a aplica garantii adecvate pentru
• Transferul se poate realiza pe baza mai multor derogari pentru situatii specifice, de exemplu, in cazul
in care o persoana fizica si-a exprimat in mod explicit acordul cu privire la transferul propus dupa ce a
1. Este o Autoritate Publica sau un Organism public, cu exceptia instantelor care actioneaza in exercitiul
infractiuni
constau in:
• Operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o
• Prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal
caracter personal.
aceasta.
GDPR PENTRU ECOMMERCE
operatorul trebuie sa aiba mecanismele pentru a o detecta si raporta, dupa caz, trebuie sa ai
4. Disaster Recovery, back-up pentru ca in cazul unei brese de securitate sau accident informatic, datele
Exemple:
• Veti limita accesul tertilor cu care colaborati la datele cu caracter personal, oferindu-le acestora acces
• In cazul furtului unui dispozitiv pe care sunt stocate date cu caracter perosnal (de exemplu: HDD
• Securitatea datelor se refera si la angajatii care au acces la datele cu caracter personal, deoarece
exista riscul de aparitie a unor brese de securitate din interiorul companiei. In acest sens, trebuie
asigurate masuri tehnice adecvate pentru protectia datelor cu caracter personal, in cadrul companiei
(politica privind acordarea drepturilor de accces in aplicatiile IT care prelucreaza datele personale,
solutie de antivirus activa, care sa nu poata fi dezactivata de angajati, training periodic pentru
Criptarea este o cerinta a GDPR pentru toate companiile care colecteaza si prelucreaza date cu
caracter personal (conf. Art.32). In conformitate cu aceasta cerinta, este responsabilitatea Dvs. sa
selectati acei furnizori care va ofera servicii securizate, inclusiv din punct de vedere al criptarii.
In cazul in care a avut loc o incalcare a securitatii datelor cu caracter personal (bresa) care poate
genera riscuri asupra drepturilor si libertatilor persoanelor vizate, aceasta trebuie investigata si
GDPR PENTRU ECOMMERCE
Se poate apela la un consultant/expert extern in protectia datelor, care sa ofere consiliere cateva zile
Notificarea bresei prezentand riscuri asupra drepturilor si libertatilor trebuie efectuata fara intarzieri
aceasta.
Notificarea autoritatii
1. In masura in care, din investigatii, rezulta ca bresa poate genera riscuri asupra drepturilor si
libertatilor persoanelor vizate, operatorul va transmite catre ANSPDCP o notificare care sa contina
2. In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc
ridicat pentru drepturile si libertatile persoanelor fizice, operatorul trebuie sa instiinteze persoanele
afectate.
• Consimtamant expres al parintelui este necesar pentru prelucrarea datelor minorilor pana la varsta
13-16 ani.
GDPR PENTRU ECOMMERCE
• Datele cu caracter personal ale unui copil pot fi prelucrate numai daca aveti consimtamantul explicit
• Limita de varsta pentru obtinerea consimtamantului parintilor variaza intre 13 si 16 ani, in functie de
• Trebuie sa depuneti eforturi rezonabile, tinand seama de tehnologiile disponibile, pentru a va asigura
cuvinte, societatea/organizatia Dvs. trebuie sa puna in aplicare masuri de verificare a varstei (de
• Trebuie obtinut consimtamantul parintelui sau al tutorelui daca lucrati la site-uri de retele sociale
care pun la dispozitie jocuri gratuite pentru copii sau asigurari pentru familii, de exemplu.
• Daca sunteti o organizatie care vizeaza copiii, trebuie sa va asigurati ca orice informatii si comunicari
adresate unui copil sunt usor accesibile si sunt exprimate intr-un limbaj simplu si clar, astfel incat
3. DPO
Conform proiectul de lege publicat pe site-ul Senatului, CNP-ul este inclus in categoria mai larga
desemnata ca numar de identificare national (care cuprinde, de asemenea, numarul de asigurare de
sanatate, seria si numarul cartii de identitate, numarul de permis auto, numarul pasaportului),
prevazand ca poate fi prelucrat in conditiile Art. 6 (1) din GDPR. Rezulta astfel ca prelucrarea CNP-ului
se poate realiza si in absenta consimtamantul persoanei vizate.
GDPR PENTRU ECOMMERCE
Pentru situatiile in care CNP-ul este prelucrat in scopul indeplinirii unui interes legitim al operatorului
sau al unui tert, operatorul trebuie sa instituie urmatoarele garantii suplimentare:
1. Luarea de masuri tehnice si organizatorice pentru asigurarea minimizarii, a securitatii si
confidentialitatii prelucrarii;
Recomandare este ca CNP-ul sa se prelucreze doar in situatiile in care este strict necesar (temei legal
precum HG privind registrul de evidenta al salariatilor).
ANSPDCP recomanda numirea unui DPO avand in vedere efectul benefic al activitatii acestuia, in
asigurarea respectarii GDPR de catre Organizatie.
Ca regula generala: pozitiile conflictuale din cadrul organizatiei pot include pozitii de conducere (cum
ar fi seful executivului, seful operativ, seful financiar, sef-sef medical, seful departamentului de
• Pot fi pozitii conflictuale si rolurile inferioare in fi DPO. Cu conditia sa raporteze direct la cel
• Daca prin pozitia sa, persoana respectiva poate mai inalt nivel de management.
• Daca acel consilier juridic nu este responsabil de prelucrare a datelor, atunci ar putea fi
Nu este obligatoriu ca DPO sa fie extern. Poate fi si un angajat al Organizatiei, insa NU trebuie sa se
afle in conflict de interese cu atributiile pe care ca DPO versus pozitia pe care o ocupa in companie.
Adica NU trebuie sa fie o persoana din conducerea companiei sau care ar putea sa fie implicata in
determinarea scopurilor si mijloacelor in care sunt prelucrate datele cu caracter personal (altfel, ar fi
pus in situatia sa isi verifice propria munca).
• Persoanele vizate trebuie informate, conform • Ofiterul DPO NU poate detine o pozitie in
Art.14. De asemenea, trebuie sa aveti in vedere cadrul organizatiei, prin care poate sa
caracter personal. Art. 21. (3): In cazul in care Datelor sa isi desfasoare sarcinile in mod
marketingului direct, datele cu caracter conflict de interese intre pozitia din companie
GDPR spune ca: nu trebuie acordate atributii de DPO nici unei persoane care s-ar putea gasi intr-un
conflict de interese intre pozitia din companie si sarcinile privind protectia datelor (specifice unui
DPO).
GDPR PENTRU ECOMMERCE
REPONSABILITATILE OPERATORULUI
Pornind de la definita GDPR cu privire la operator, acesta poate fi reprezentat de o persoana fizica
sau juridica, autoritate publica, agentie sau alt organism care, singur sau impreuna cu altele,
stabileste scopurile si mijloacele de prelucrarea datelor cu caracter personal.
Responsabilitatea indeplinirii cerintelor GDPR este a Operatorului si colectorului de date cu caracter
personal.
De exemplu, Contentspeed va fi doar o persoana imputernicita care va ofera un serviciu si cu care
persoanei inainte de a-i colecta si prelucra Conditii, pentru a-l informa despre scopurile si
cazul Dvs., trebuie implementata o bifa privind contact, conf. Art.28, prin care sa se stipuleze
prelucrarea datelor sale cu caracter personal, conforma cerintelor GDPR, de a prelucra datele
acestor sarcini. Acesta nu este demis sau recomanda ca DPO sa fie o persoana cu
datelor raspunde direct in fata celui mai inalt Professionals) este un organism international
nivel al conducerii operatorului sau persoanei care emite certificari in domeniul protectiei
GDPR solicita desemnarea unui DPO atunci cand operatorul sau persoana imputernicita de operator
(Art.37.(1))
• Este o autoritate publica sau un organism
• Desfasoara o activitate principala care (cum ar fi: date privind originea rasiala sau
De exemplu: o farmacie prelucreaza datele privind starea de sanatate, atunci ar trebui sa desemneze
un DPO.
Daca veti colecta e-mailurile abonatilor, atunci intra in zona de GDPR, deoarece prelucreaza date cu
caracter personal. Conform Art.4.(1): prelucrare inseamna orice operatiune sau set de operatiuni
efectuate asupra (seturilor de) date cu caracter personal, cu/fara utilizarea de mijloace automatizate,
cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea,
extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la
dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
Nu trebuie sa colectati si sa procesati datele cu caracter personal fara consimtamantul persoanei.
GDPR PENTRU ECOMMERCE
• Trebuie sa informati persoana cu privire la • Daca urmeaza sa contactati persoane, ale caror
scopurile si modalitatile in care veti prelucra date nu le-ati primit in mod direct de la acestia,
modalitatile in care vor fi prelucrate datele sale despre sursa din care aveti datele cu sale cu
cu caracter personal, precum si despre sursa caracter personal, scopurile pentru care le veti
din care aceste date au fost obtinute. prelucra, durata pentru care le veti colecta,
Informarea trebuie realizata, respectand potentialii destinatari catre care veti trimite
De exemplu: daca in procesul de facturare exista date cu caracter personal, datele intra sub incidenta
GDPR.
pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului.
IP intra sub incidenta GDPR, deoarece este o data care poate duce la identificarea unei persoane
fizice.
Art.4. Definitii:
In sensul prezentului regulament: 1. date cu caracter personal inseamna orice informatii privind o
persoana fizica identificata sau identificabila (persoana vizata); o persoana fizica identificabila este o
persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de
dentificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online,
sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale.
GDPR PENTRU ECOMMERCE
• Continuarea navigarii pe site trebuie sa se faca doar in cazul in care userul accepta politica de
cookies.
trebuie informat asupra datelor cu caracter personal colectate despre el si asupra scopurilor pentru
care sunt prelucrate datele sale cu caracter personal (conform cerintelor Art.13).
Exemplu: aveti nevoie de e-mail si nume.prenume pentru a le trimite newsletters sau pentru a se
inscrie la un concurs sau pentru a-i contacta in scop de vanzare, atunci trebuie sa le colectati
ati colectat acest consimtamant). De asemenea, trebuie sa informati persoanele cu privire la ce date
Daca obtineti datele personale de la alti colaboratori, atunci trebuie sa informati persoanele (la
momentul primului contact) despre sursa din care ati obtinut datele si scopurile pentru care le
colectati si prelucrati (conf. Art.14).
• Trebuie sa asigurati dreptul de acces, opozitie, stergere, rectificare a datelor catre persoanele ale
• Trebuie sa aveti masuri tehnice de securitate implementate pentru a asigura securitatea datelor cu
caracter personal (criptarea bazelor de date, antivirus activ, firewall, controale de access logic in
aplicatiile IT utilizate).
• Trebuie revenit catre fiecare titular de card de fidelitate si sa le cereti acordul pentru prelucrarea
datelor cu caracter personal. Daca acesta este un efort prea mare, care ar perturba functionarea
optima a business-ului, atunci trebuie sa reveniti cu un mesaj de notificare catre titularii de carduri,
prin care sa-i informati despre scopurile prelucrarii datelor cu caracter personal.
GDPR PENTRU ECOMMERCE
SECURITATE INFORMATICA
Securitatea informatica devine de importanta vitala in contextual GDPR
Recomandam:
• Folosirea programelor de scanare a vulnerabilitatilor precum: Acunetix, Burp Suite sau Netsparker
ETAPE DE IMPLEMENTARE
1. Analiza GAP
SERVICIILE GDPR
1. Curs de introducere si instruire
2. Prezentarea cerintelor GDPR si a modalitatii in care aceste cerinte trebuie puse in aplicare de
1. Se documenteaza responsabil din timp si implementeaza noile functii pentru GDPR on deadline
2. Toti clientii platformei ContentSpeed care au serviciile de update active (ContentSpeed StartUP –
3. Sistemul de update-uri este un avantaj competitiv major oferit clientilor, deoarece update-ul de GDPR
se va publica simultan pentru toti clientii ContentSpeed pe 25 mai 2018 la ora 00:00.
Concluzie
Daca vrei sa ai un magazin compliant GDPR, atunci platforma de eCommerce ContentSpeed este ceea
compliant pe 25.05.18.
GDPR PENTRU ECOMMERCE
Lasa grijile in seama echipei noastre de specialisti si vom face totul pentru tine.
GDPR PENTRU ECOMMERCE