UNIVERSITATEA “PETRU MAIOR” DIN TÎRGU MUREȘ

FACULTATEA DE ȘTIINȚE ECONOMICE, JURIDICE ȘI

ADMINISTRATIVE
Programul de studii: Curs postuniversitar
Formare și pregătire a responsabilului cu protecția datelor cu
caracter personal

ASPECTE PRIVIND GDPR ȘI COMERȚUL ELECTRONIC

Coordonator științific:
Conf. Univ. dr. Nicolae – Dragoș Ploeșteanu

Absolvent:
HOȚA (KILYEN) ILDIKO

TÎRGU MUREȘ

2018

1
CUPRINS

1. Ce este GDPR și care sunt domeniile de aplicare

1.2 Datele personale
2. Aplicabilitate în comerțul electronic:
2.1 Conștientizare și Conformitate
2.2 Consimțământul și baza legală
2.3 Drepturile persoanei vizate
2.4 Ce date se colectează, cum și cât timp sunt stocate
2.5 Politica de confidențialitate
2.6 Politici de securitate
2.7 Breșa de securitate și procedura de notificare
2.8 Câteva aspecte privind marketingul și social media
3. Concluzii
4. Bibliografie

2
 1. Ce este GDPR și care sunt domeniile de aplicare

Regulamentul UE 679/2016 cunoscut ca și Regulamentul General privind Protecția

Datelor Personale este prima reglementare completă cu privire la protecția datelor din
ultimii 20 de ani. Înlocuiește fosta Directivă 95/46/CE din momentul intrării în vigoare
în 25 mai 2018 și se aplică oricărei organizații care operează în cadrul UE, precum și
oricărei organizații din afara UE care oferă bunuri sau servicii clienților sau
întreprinderilor din UE.
Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel
încât cetățenii și întreprinderile să poată beneficia pe deplin de economia digitală.
Contribuie la asigurarea unei zone de libertate, securitate și justiție pe teritoriul Uniunii
Europene, o zonă în care este asigurat atât progresul economic și social, cât și binele
individual.
Domeniul de aplicare:
• este direct aplicabil în toate statele membre UE
• protejează drepturile tuturor persoanelor fizice aflate pe teritoriul UE,
indiferent de situarea geografică a operatorului de date
• extinde sfera de aplicare și asupra operatorilor de date stabiliți în afara UE,
în măsura în care bunurile și/sau serviciile acestora sunt adresate (și)
persoanelor aflate pe teritoriul UE
Toate organizațiile trebuie să revizuiască datele pe care le colectează și să
înțeleagă dacă sunt supuse cerințelor privind datele cu caracter personal ale GDPR. În
special, aceștia trebuie să fie conștienți de extinderea domeniului de aplicare a datelor
sensibile, pentru a include date genetice și date biometrice, care să atragă mai multă
protecție, în special necesitatea consimțământului explicit, cu excepția cazului în care
există alte prelucrări legale.
Orice persoană care colectează, păstrează sau procesează o informație, care intră
în categoria datelor cu caracter personal, cu privire la persoane fizice este considerat
operator de date și este obligat să respecte toate prevederile GDPR și să și demonstreze
această respectare. Sancțiunile pot fi foarte mari astfel că se impune un grad ridicat de
atenție.

3
 Punctul de plecare pentru conformarea cu prevederile GDPR o formează
principiile1 prevăzute de aceasta:
• Prelucrarea datelor cu caracter personal să se facă în mod legal, echitabil și
transparent adică să existe un temei legal2 al prelucrării iar prelucrarea să se facă
cu informarea persoanei vizate
• Colectarea datelor să se facă în scopuri determinate - prestabilite de operator,
explicite și legitime
• Datele să fie adecvate, relevante și limitate – să se colecteze datele minim și
strict necesare pentru atingerea scopurilor stabilite
• Datele să fie exacte și actualizate
• Stocarea datelor să se facă pentru perioade determinate
• Prelucrarea datelor să se facă într-un mod adecvat ce asigură siguranța datelor
prin apelare la măsuri tehnice și organizatorice corespunzătoare.
Sub guvernarea GDPR individul poate solicita informații exacte privind felul în care
datele lor personale sunt utilizate, poate cere acces la acestea, are dreptul de a le
corecta sau a le înlătura3.

1
Art. 5 Regulamentul General privind Protecția Datelor Personale
2
Art. 6 din Regulamentul General privind Protecția Datelor Personale

Legalitatea prelucrării
(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre
următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal
pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte
sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public
sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte
terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale
persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când
persoana vizată este un copil.
3
Dreptul de a fi uitat

4
 Câteva dintre noutățile aduse de GDPR pentru țara noastră ar fi:
• Responsabilitate și conformitate ( compliance )
• Fără notificare/ înregistrarea la ANSPCD (privind colectarea de date
personale)
• Principiul ”one stop shop4”
• Notificarea pentru încălcarea securității
• Responsabilul pentru protecția datelor
• Coduri de conduită și certificare

Privitor la bazele de date colectate anterior intrării în vigoare a Regulamentului

putem spune că prelucrarea începând cu 25 mai 2018 poate avea loc doar în acord cu
cerințele acesteia, se solicită consimțământul explicit sau se prelucrează în baza unui
temei legal5.
Dacă prelucrarea s-a efectuat în temeiul consimțământului persoanei vizate
dat anterior GDPR, continuarea prelucrării ulterior datei de 25 mai 2018 poate
fi făcută doar în situația în care consimțământul prelevat respectă cerințele
GDPR. Dacă nu respectă aceste cerințe, va fi necesară obținerea unui nou
consimțământ sau datele trebuie șterse.

Acțiunile principale în aplicarea GDPR sunt6 :

Procese IT Legal Documentație
- Inventarierea - Criptarea datelor - Stabilirea - Elaborarea politicii
datelor - Controlul accesului temeiului de confidențialitate
- Informarea la date prelucrării - Elaborarea
persoanelor - Asigurarea - Modificarea planurilor de
privind disponibilității contractului răspuns în caz de
prelucrarea datelor cu furnizorii incident
datelor - Evaluarea periodică a - Desemnarea - Elaborarea
- Colectarea controalelor de DPO termenilor de
consimțământului securitate prelucrare a datelor
- Notificarea - Analiza riscurilor - Elaborarea
incidentelor de modelelor de
- Securitate răspuns

4
armonizarea procedurilor decizionale la nivelul UE
5
Obligație legală, interes legitim, obligație contractuală
6
Ghid Practic pentru pregătirea conform politicii GDPR elaborat de ContentSpeed

5
1.2 Datele personale

În lumina Regulamentului General privind Protecția Datelor Personale,

datele personale se definesc ca fiind “orice informații privind o persoană fizică
identificată sau identificabilă („persoana vizată”); o persoană fizică
identificabilă este o persoană care poate fi identificată, direct sau indirect, în
special prin referire la un element de identificare, cum ar fi un nume, un număr
de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice,
psihice, economice,
culturale sau
sociale;7”

Date personale sunt

toate acele
informații prin
intermediul cărora
– chiar dacă este
vorba despre un
număr de cont, un
cod unic de
identificare sau un
pseudonim – un
individ poate fi
identificat.

7
Art. 4. 1
8
Sursă infografic : www.legalup.ro

6
 2. Aplicabilitate în comerțul electronic

În cea ce privește comerțul electronic cea mai mare schimbare survenită în urma
intrării în vigoare a Regulamentului este acela că nu se mai pot colecta datele personale
după bunul plac. Impune o abordare riguroasă a problemei privind respectarea
drepturilor individuale prevăzute, transparență și măsuri de securitate. Consumatorul
are dreptul să știe în ce mod se colectează informațiile9, pentru ce anume se folosește
precum durata și modalitatea stocării. Politicile de confidențialitate10 precum modul de
folosire a cooki-urilor, datele colectate în vederea facturării11, marketingul online,
comunicarea via social media cu clienții, preluarea comenzilor telefonice (în baza
ofertei de pe site12) trebuie regândite în așa fel încât normele legale să fie respectate. În
mare parte, în ceea ce privește magazinele online, obligațiile nu diferă foarte mult de
normele prevăzute de Legea 677/2001 doar că pentru majoritatea magazinelor asta a
însemnat doar notificarea autorității privitor la colectarea de date personale.
Zona de online prezintă
multe capcane din punct de
vedere al securității datelor
personale iar nivelul de
încredere al utilizatorilor
este destul de scăzut după
cum se vede și în datele
alăturate. Menirea GDPR
este printre altele și acela de
a conferii utilizatorilor din
mediul online un plus de
siguranță astfel că după părerea mea personală va conduce la o creștere exponențială a
comerțului online.
Marea provocare pentru magazinele online o reprezintă abordarea clienților
invizibili, aceștia pot fi reticenți, latenți, pasivi și chiar super activi. În procesul de
atragere a clientelei mijloacele tehnice sunt cele care susțin campaniile uneori de a

9
Dreptul de a fi informat
10
Limbaj simplu și formulări clare
11
Minimalizare informațiilor colectate. Fără CNP și informații nejustificabile din prisma scopului.
12
Se impune înregistrarea convorbirii cu acordul persoanei vizate

7
dreptul agresive de promovare. Funcționalitatea website-ului, viteza de încărcare,
adresabilitatea și posibilitatea de a vizualiza și a comanda de pe diverse dispozitive
cântăresc greu în succesul pe care îl are afacerea. De aici provin și dimensiunile
covârșitoare a impactului GDPR asupra acestor tipuri de afaceri :
• Trebuie adaptată la noile cerințe tehnologia – sistemele și aplicațiile de gestiune
a datelor trebuie să permită, fără excepții, accesul clienților și modificarea lor
privitor la soarta datelor personale.
• Din punct de vedre tehnologic trebuie să se adauge alte funcționalități cum ar fi
anonimizarea chiar pseudonimizarea datelor. Pentru o afacere mică cu puțini
angajați aceste măsuri tehnice costisitoare pot părea exagerate însă trebuie să ne
punem printre altele problema gândindu-ne la ce se întâmplă daca unul dintre
angajați pleacă la concurență cu baza de date a clienților sau le vinde unor hoți
de locuințe.
• Echipa de relații cu clienții pe lângă gestionarea retururilor, a reclamațiilor va
trebui să răspundă și la solicitările legitime ale clienților care vor dori să li se
șteargă datele, iar modul de abordare nu poate fi haotic și nepredictibil
impunându-se necesitatea unei proceduri în acest sens.
• Serviciile externalizate de către magazinul online (recrutare, salarizare,
contabilitate, call-center, curierat, firmă IT, găzduire etc.) constituie centre de
procesare a datelor și fiecare dintre aceste centre va trebui să fie conformă
GDPR, în caz contrat putem asista la un efect domino în care un procesator de
date pătează credibilitatea și integritatea afacerii celorlalți.
• Necesitatea documentării sub forma unor registre electronice sau pe suport de
hârtie, registre care să ateste respectarea tuturor cerințelor GDPR, inclusiv
solicitările persoanelor vizate și modul de soluționare a acestora, pentru ca în
eventualitatea uni incident de securitate - destul de probabil având în vedere
numărul ridicat de atacuri cibernetice – toate măsurile luate și descrise vor fi
supuse unui test de foc.

Magazinele online sunt extrem de expuse și ca urmare orice greșeală se

transformă rapid în publicitate negativă cu consecințe dramatice și costisitoare. Pe
lângă autorități, clienții sunt cei care vor judeca și este de așteptat să migreze la alt
magazin online care gestionează în mod responsabil datele lor personale.

8
SĂ FIE CONFORM CU GDPR

9
2.1 Conștientizare și Conformitate

Scopul principal al GDPR este acela de a conferii individului mai multe drepturi și
mai mult control asupra datelor personale proprii precum și să asigure că aceste date
sunt în siguranță. GDPR-ul reglementează modul de colectare, stocare, folosire și
partajare al datelor personale.
Pasul principal pe care trebuie să-l facă operatorii de date în domeniul analizat și nu
numai este acela de a fii conștienți de prevederile GDPR și de ceea ce înseamnă în mod
concret aceste norme pentru afacerea lor. Dacă se creează o cultură organizațională ce
respectă normele GDPR atunci totul va decurge natural. Problema o reprezintă aducerea
la zi a magazinelor online (aspecte tehnice, securitate) și educarea angajaților.
Conștientizarea și conformitatea se poate asemăna cu schimbarea de stil de viață, dacă
dorești să fii fit și sănătos nu ajunge să ții dietă două săptămâni și să faci mișcare
aleatoriu, ci presupune să conștientizezi că este necesară schimbarea, informarea,
efortul constant, zilnic, în acest sens până devine natural acest stil de viață.
Nu există scurtături, este necesară parcurgerea pașilor și alocarea resurselor care se
impun: cartografierea datelor colectate, evaluarea riscurilor, investirea in aparatură de
ultimă generație, certificări, sisteme de securitate, updatarea site-urilor/softurilor, a
politicilor de confidențialitate și a modalităților de obținere a consimțământului și nu în
ultimul rând formarea profesională a celor implicați.
Obligațiile pe care le au magazinele online în mare parte se rezumă la respectarea
principiilor colectării. Astfel că este important ca deținător de shop online să
conștientizeze ce date se colectează, prin ce metode, în baza cărui temei legal și să
securizeze pagina după cele mai înalte standarde.
Conformitatea cu GDPR-ul presupune în majoritatea cazurilor13 :

13
Ghid Practic pentru pregătirea conform politicii GDPR elaborat de ContentSpeed

10
 2.2 Consimțământul și baza legală

Consimțământul este una dintre cele mai controversate aspecte ale GDPR. Noile
reglementări impun obținerea consimțământului persoanei vizate în vederea prelucrării
datelor sale personale în condițiile în care nu există alt temei legal. Modul în care se
obține acest consimțământ trebuie să fie clar, fără echivoc și verificabil.
Caracteristicile mecanismului de obținere al consimțământului sunt:
• Să fie activ: acordat fără constrângere, specific și lipsit de ambiguitate
• În momentul obținerii consimțământului, persoana vizată trebuie informată
asupra posibilității de a-și retrage consimțământul.
• Consimțământul activ trebuie de asemenea să fie pozitiv14. Trebuie acordat
printr-o acțiune afirmativă neechivocă care să constituie o manifestare de
voință liber exprimată, specifică, în cunoștință de cauză15.
• Să fie granular, să ofere variante16. Consimțământul să se acorde separat pentru
fiecare scop în parte pentru care datele sunt prelucrate
• Să fie necondiționat – utilizatorul nu poate fi constrâns să fie de acord cu o
anume prelucrare pentru a-și putea da acordul pentru o altă prelucrare cu care
ar fi de acord17
• Să fie numite terțele persoane la care vor ajunge datele colectate și să se
motiveze de ce anume se partajează datele18cu aceștia. Persoanele
împuternicite de operator19 pot fii: platforma magazinului, găzduirea,
programatorii, curierii, procesatorii de plăți, furnizorii de marketing20 și terții
care sunt integrați în site; Google Analitycs, Facebook Login, Zopim Chat etc.
Între Operator și Împuternicit trebuie să existe un contract scris21 iar

14
Fără căsuțe pre-bifate, sau fără varianta în care nu trebuie bifat în mod activ opțiunea aleasă
15
Absența unui astfel de răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu constituie un
consimțământ în accepțiunea Regulamentului.
16
Exemplu : Ești de acord să ți-se prelucreze datele în vederea participării la programul de fidelizare dar
nu dorești să primești newsletter
17
Exemplu : să condiționezi participarea la programul de fidelizare de acordarea consimțământului
pentru trimiterea newsletterului
18
Exemplu: GoogleAnalitics
19
persoanele juridice sau fizice care prelucrează datele cu caracter personal în mumele operatorului
20
integrali sau specializați, ex. Newsletter, Retargeting etc.
21
Art 28 (3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un
contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter
obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul
și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de

11
 împuternicitul prelucrează datele exclusiv în baza unor instrucțiuni
documentate din partea operatorului cu îndeplinirea obligației de
confidențialitate. Nu pot delega operațiunile unui sub-procesator fără acordul
operatorului și se partajează cu ei doar datele minim necesare pentru
îndeplinirea scopului.22
• Să fie bine echilibrat – acordarea consimțământului să nu conducă la crearea
unei relații injuste între utilizator și operatorul de date
• Să fie documentat și verificabil – este necesar să se facă dovada acordării
consimțământului ( cine, când și pentru ce și-a dat acordul, dacă cumva și-la
retras și dacă da, ce s-a făcut în acest sens)
• Întotdeauna trebuie separată obținerea acordului pentru scopuri de publicitate,
marketing23, cooki-uri și profilare. Utilizatorul trebuie să aibă posibilitatea ca
în mod activ să își exprime acordul sau dezacordul în aceste cazuri. Sub nici o
formă nu este suficientă o informare în cadrul secțiunii de politică de
confidențialitate a magazinului online.
• În cazul în care produsele comercializate se adresează minorilor 24 și prin
urmare clientul/ utilizatorul este acesta25, intervine obligativitatea obținerii
consimțământului părintelui / tutorelui în vederea prelucrării datelor personale
ale acestuia

Consimțământul poate fi retras oricând de către persoana vizată fără ca aceasta să

aibă obligativitatea de a da explicații privitor la motivele pentru care o face.

persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede în
special că persoană împuternicită de operator:
22
Cu Curierul nu este necesar să partajăm alte date decât cele necesare pentru livrarea efectivă a
coletului.
23
Se poate baza pe interes legitim în cazul în care putem invoca comunicări comerciale prin email către
clienți deja existenți ( Legea 506 / 2004, art, 12(2) Fără a aduce atingere prevederilor alin. (1), dacă o
persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia
vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001,
persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări
comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu
condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și
gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui
mesaj, în cazul în care clientul nu s-a opus inițial. ?
24
Copiilor sub 16 ani conform GDPR
25
Spre exemplu platforme online educaționale unde informațiile se accesează contra cost și se
creează un profil al utilizatorului în vederea accesării unor lecții/ tutoriale etc.

12
 Registrul trebuie să conțină date privind:
• Cine și-a acordat consimțământul și cum
• Cum a fost informat și pentru ce anume și-a dat acordul
• Când s-a acordat consimțământul26
• Dacă și când și-a retras consimțământul, respectiv dacă a solicitat ștergerea/
portarea datelor
În ceea ce privește legitimitatea prelucrării datelor colectate în cazul comerțului
electronic ne referim în principal la temeiul legal prevăzut în Preambul (45)27, la Art. 6
alin (1)lit. B și anume la faptul că ”prelucrarea este necesară pentru executarea unui
contract la care persoana vizată este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui contract”.
Privitor la stocarea datelor personale necesare pentru facturare, mai precis
pentru stocarea acestor date pe facturi28, se invocă temeiul legal prevăzut în Preambul
la considerentul 4529, Art. 6(1)lit. c, Art.6 alin (3) și anume faptul că prelucrarea este
necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului. Potrivit
art. 25 din Legea nr. 82/1991 – Legea contabilității: ”Registrele de contabilitate
obligatorii și documentele justificative care stau la baza înregistrărilor în

26
Ideal ar fi stocarea momentului exact, timestamp-ul
27
(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui
contract sau în vederea încheierii unui contract.
28
Pe suport de hârtie sau în format electronic
29
În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în
cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public
sau care face parte din exercitarea autorității publice, prelucrarea ar trebui să aibă un temei în dreptul
Uniunii sau în dreptul intern. Prezentul regulament nu impune existența unei legi specifice pentru
fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multe operațiuni
de prelucrare efectuate în conformitate cu o obligație legală a operatorului sau în cazul în care
prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care
face parte din exercitarea autorității publice. De asemenea, ar trebui ca scopul prelucrării să fie stabilit
în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să specifice
condițiile generale ale prezentului regulament care reglementează legalitatea prelucrării datelor cu
caracter personal, să determine specificațiile pentru stabilirea operatorului, a tipului de date cu caracter
personal care fac obiectul prelucrării, a persoanelor vizate, a entităților cărora le pot fi divulgate datele
cu caracter personal, a limitărilor în funcție de scop, a perioadei de stocare și a altor măsuri pentru a
garanta o prelucrare legală și echitabilă. De asemenea, ar trebui să se stabilească în dreptul Uniunii sau
în dreptul intern dacă operatorul care îndeplinește o sarcină care servește unui interes public sau care
face parte din exercitarea autorității publice ar trebui să fie o autoritate publică sau o altă persoană
fizică sau juridică guvernată de dreptul public sau, atunci când motive de interes public justifică acest
lucru, inclusiv în scopuri medicale, precum sănătatea publică și protecția socială, precum și gestionarea
serviciilor de asistență medicală, de dreptul privat, cum ar fi o asociație profesională.

13
contabilitatea financiară se păstrează în arhiva persoanelor prevăzute la art. 1 timp de
10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost
întocmite, cu excepția statelor de salarii, care se păstrează timp de 50 de ani.”

2.3 Drepturile persoanei vizate

Persoanei vizate trebuie să i-se asigure următoarele drepturi :

• Dreptul de a fi informat 30- Politica de confidențialitate a magazinului online
trebuie să conțină toate informațiile necesare persoanei vizate – într-un limbaj
simplu, clar și fără ambiguități – pentru ca acesta să înțeleagă ce date se
colectează, pentru atingerea cărui scop, cu cine se partajează și de ce, pentru ce
perioadă se stochează și cum, modul în care își poate retrage consimțământul și
modul în care poate solicita ștergerea datelor sale. Trebuie evidențiat cine este
operatorul și oferite datele de contact al persoanei responsabile cu conformitatea
GDPR sau daca este cazul al DPO-ului.
• Dreptul de acces31 – presupune ca persoana vizată să-și poată accesa și descărca
propriul istoric
• Dreptul de rectificare32 – presupune acordarea posibilității de a corecta sau
modifica datele furnizate
• Dreptul de restricționare a prelucrării33 – persoana vizată își poate retrage
consimțământul acordat pentru prelucrarea în anumite scopuri.
• Dreptul la opoziție 34- Dacă utilizatorul și-a exprimat opțiunea de dezabonare
de la newsletter spre exemplu, atunci nu mai trebuie contactat deloc.
• Dreptul la portabilitate 35– Utilizatorul poate solicita transferarea datelor sale la
lat operator, având drept scop prevenirea blocării persoanelor vizate la un
anumit serviciu („lock-in”) și facilitarea mutării datelor de la un furnizor la altul
fără restricții în funcție de formatul ales de furnizor.

30
Articolul 13 din Regulament
31
Articolul 15 din Regulament
32
Articolul 16 din Regulament
33
Articolul 18 din Regulament
34
Articolul 21 din Regulament
35
Articolul 20 din Regulament

14
 • Dreptul de a fi uitat36 – acordă persoanei vizate posibilitatea de a solicita ca
datele sale să fie șterse definitiv și din toate mediile de stocare ale operatorului,
limita fiind doar interesul legitim al operatorului privind îndeplinirea unor
obligații legale.
• Drepturi privitoare la profilare și luarea de decizii automatizate37, incluzând aici
partajarea de informații în scopuri de marketing și de analiză comportamentală.
Pentru magazinele online aici întâlnim impactul cel mai semnificativ al GDPR
dat fiind faptul că utilizatorul se poate împotrivii ca datele sale personale să fie
partajate pentru scopuri de marketing și profilare.
• Dreptul de a depune o plângere

4.2Ce date se colectează, cum și cât timp sunt stocate

Pasul cel mai important în conformarea la nomele GDPR o reprezintă maparea

corectă a tuturor datelor colectate de către operator, motivul pentru care colectează
fiecare tip de date în parte, unde le stochează și cu cine le partajează. Pentru majoritatea
magazinelor online colectarea de date se face în mod regulat și poate include date
personale sensibile.
Maparea privind conformitate cu GDPR ar trebui să evidențieze următoarele
aspecte :
• scopul colectării
• descrierea categoriilor de persoane a căror date le procesează
• descrierea tipologiei datelor colectate
• descrierea persoanelor împuternicite
• descrierea eventualelor transfere de date către o zonă non-Eu și garanțiile oferite
• evaluarea impactului privind protecția datelor
• descrierea procedurilor de stocare, durata de stocare pentru fiecare tip de date în
parte, momentul la care se vor șterge și procedura de verificare a ștergerii
efective

36
Articolul 17 din Regulament
37
Articolul 22 din Regulament

15
 • descrierea măsurilor tehnice de securitate
• descrierea măsurilor organizaționale incluzând formarea profesională a
angajaților
• evidențierea politicilor / strategiilor aplicabile în cazul unei breșe de securitate

Tipurile de date care se colectează în general de către magazinele online sunt :

- Datele consumatorilor obținute ca urmare a unei comenzi ( IP, Nume,
Domiciliu, email, număr de telefon )
- Datele de facturare
- Datele persoanelor care se înscriu la newsletter
- Datele vizitatorilor paginii de Facebook
- Datele angajaților
- Datele clienților dintr-un CRM38
- Datele angajaților ( procesare comenzi, ambalare, facturare, relații cu clienții
etc )
Regulamentul nu prevede scopurile în care datele colectate nu se pot folosi, doar că
scopul trebuie raportat la temeiul legal al prelucrării.
Magazinele online colectează datele personale ale consumatorilor în vederea
vânzării unor produse. Scopul astfel că este realizarea legală a procesului de cumpărare
respectiv livrarea comenzii. Articolul 6 alin 2 din Regulament prevede că prelucrarea
este legitimă dacă este necesară pentru executarea unui contract la care persoana vizată
este parte.
Datele problemei se schimbă în momentul în care magazinul online dorește să
folosească datele astfel obținute pentru marketing. Va trebui să definească scopul, să
găsească temeiul legal (executarea contractului nu asigură legitimitatea și în acest caz),
va trebui să informeze persoana vizată privitor la datele colectate și perioada de retenție.
Pentru marketing și utilizarea cooki-urilor va trebui să solicite consimțământul în mod
explicit39.

38
CRM (Customer Relationship Managament), în traducere Managementul Relațiilor cu Clienții,
reprezintă un ansamblu de instrumente, proceduri și strategii ce au în vedere îmbunătățirea relației
cu clienții.
Sistemul CRM are rolul de a gestiona atât activitățile externe ale unei companii, referitoare la clienți,
prospecți și parteneri de afaceri, cât și cele interne, legate de angajați și departamente, contribuind
pe această cale la punerea în aplicare a unei strategii integrate de CRM.
39
Acordul trebuie să fie o acțiune clară și liberă a utilizatorului

16
 Datele pot fi folosite exclusiv în scopurile declarate.
2.4 Politica de confidențialitate

O dată cu intrarea în vigoare a Regulamentului privind protecția generală a datelor

personale, antreprenorii sunt nevoiți să-și modifice politica de confidențialitate de pe
site-urile deținute, dacă doresc să mai facă afaceri.
Orice pagină web/ magazin online care colectează
datele utilizatorilor săi are nevoie de politică de
confidențialitate.
VpnMentor40 a testat peste 2500 de pagini
web din UE și a constatat că doar 34% dintre acestea
erau conforme cu normele GDPR.
Colectarea datelor utilizatorilor fără
detalierea acestei activități, fără informarea corectă și
prealabilă a persoanelor vizate se pedepsește de lege.
Sancțiuni se aplică și în condițiile în care nu se
respectă prevederile trecute în politica de
confidențialitate sau daca se modifică modul de
colectare / procesare și politica de confidențialitate
nu se actualizează.
Politica de confidențialitate ar trebui să fie cât
mai clară și concisă posibil. Unele politici de
confidențialitate sunt atât de stufoase și de
complicate încât nimeni nu le citește. S-a făcut un
studiu conform căreia ar dura circa 30 de zile
lucrătoare ca o persoană să citească politicile de confidențialitate ale tuturor site-urilor
pe care navighează într-un an41.
Pentru platformele e-commerce politica de confidențialitate ar trebui să conțină
și date privind garanțiile informațiilor financiare42 private ale unui utilizator colectate
în vederea procesării plăților.

40
https://www.vpnmentor.com/blog/report-only-34-percent-of-websites-in-the-eu-are-ready-for-
gdpr/
41
www.vpnmentor.com
42
Numere de card de credit, numere de securitate socială sau informații de cont bancar

17
 Informațiile pe care trebuie să le conțină politica de confidențialitate sunt 43 :
• Datele de identificare ale operatorului
o Denumirea societății comerciale
o Adresa
o Număr de telefon
o Formular de contact / exemplu : dataprotection@emag.ro
• Cum și când se colectează datele personale
• Ce date se colectează
• Ce drepturi de confidențialitate are utilizatorul
• Unde sunt stocate datele
• Dacă se partajează datele cu terți, cine sunt aceștia, de ce se partajează
datele și ce garanții oferă
• Cât timp sunt păstrate datele
• Pentru ce anume se folosesc
• Prelucrarea comenzilor și furnizarea serviciilor
• Aspecte privind relația cu clienții
• Politica privind Cookiurile
• Marketingul
• Amendament: politica de confidențialitate poate fi modificată dacă ceva
se schimbă privitor la procesul de colectare / prelucrare / stocare de date

2.5 Politici de securitate

Una dintre cele mai importante aspecte a activității organizațiilor moderne o

formează manipularea informațiilor. Această componentă, din ce în ce mai
complexă, implică măsuri speciale de asigurare a securității informațiilor.
Principalele pericole la adresa informațiilor deținute o reprezintă :
• Distrugerea accidentală / intențională a mediilor de stocare (hard – discuir,
CD-uri, benzi magnetice)

43
Exemplu : https://www.ikea.com/ms/ro_RO/privacy_policy/privacy_policy.html

18
 • Accesul neautorizat la informații
Tote aceste riscuri sunt potențate de către existența rețelelor de calculatoare,
inclusiv Internetul, în cadrul cărora asigurarea securității presupune :
➢ Confidențialitate44
➢ Integritate45
➢ Autenticitatea46
➢ Non-repudierea47

În cazul magazinelor online importanța securizării informațiilor este evident

pregnantă, Articolul 32 aliniatul 1 din regulament spune : ”Având în vedere stadiul
actual al dezvoltării, costurile implementării și natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și riscul cu diferite grade de
probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice,
operatorul și persoana împuternicită de acesta implementează măsuri tehnice și
organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea
și rezistența continue ale sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea în timp util în cazul în care are loc un incident de natură
fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacității măsurilor tehnice și organizatorice pentru a garanta
securitatea prelucrării. ”
Astfel că se conturează necesitatea asigurării securității sistemului informatic
prin următorii pași:
o Evaluarea riscului și definirea vulnerabilităților
o Securizarea sistemului în vederea izolării și protejării
o Stabilirea unei proceduri pentru recuperarea datelor în cazul unui

44
Menținerea caracterului privat al informației
45
Dovada că respectiva informație nu a fost modificată
46
Dovada identității celui ce transmite mesajul
47
Siguranța că cel ce generează mesajul nu poate să-l nege mai târziu

19
 incident
o Cercetare – Preocupare și rezultate – Evaluarea constantă a
nivelului de securitate
o Definirea și aplicarea unei politici de securitate

Politica de securitate are doi piloni importanți:

1. Unul tehnic ( privind diverse nivele ale sistemului informatic
și informațional)
2. Unul organizațional 48

În procesul de evaluare a riscurilor se pot căuta răspunsuri la

următoarele :
➢ Ce anume poate fi sustras
o Echipamente, informații, servicii, servicii către alții
➢ Cine le poate sustrage
o Hackeri experimentați
o De ce sunteți o țintă49
➢ Ce poate și ce nu poate fi înlocuit
o Pot fi înlocuite oamenii și echipamentele
o Nu poate fi înlocuit timpul, efortul, banii, resursele, încrederea
➢ Ce poate fi recuperat, de unde, în cât timp și cu ce pierderi pe
termen lung

Pentru un magazin online este imperios necesar folosirea unui certificat SSL
care să crească nivelul de securitate și să ofere clienților certitudinea că deținătorul
magazinului online oferă garanții privind securitatea datelor lor.

48
La adresa securităţii unui sistem informatic pot exista mai multe tipuri de ameninţări: dezastre sau
calamitaţi naturale (incendii, explozii, inundaţii), pene ale echipamentelor, erori umane de concepţie,
realizare, operare sau manipulare, furturi, sabotaje, atacuri logice. Unele studii de securitate a
calculatoarelor estimează că jumătate din costurile implicate de incidente sunt datorate acţiunilor voit
distructive, un sfert dezastrelor accidentale şi un sfert greşelilor umane.
49
În mediul online ușor poți devenii ținta unor atacuri, uneori chiar în mod aleatoriu alte ori voit, chiar
orchestrat de concurență sau de un client nemulțumit

20
 Pe lângă necesitatea utilizării tehnologiilor cât mai avansate de securizare,
criptare, pseudonimizare, este imperios necesar instruirea angajaților privind:
➢ Utilizarea parolelor
➢ Utilizarea antivirusului
➢ Utilizarea corectă a e-mailului (acesta reprezentând un nivel ridicat de
vulnerabilitate)
➢ Utilizarea USB / bluetooth dacă este permisă și în ce mod
➢ Filtrarea traficului pe internet și limitarea accesului la conturile
personale ale angajaților
➢ Limitarea accesului / autorizării pe platforma de e-commerce doar la
datele necesare pentru îndeplinirea atribuțiilor de serviciu50

Securitatea datelor trebuie analizată și din punct de vedere al celor împuterniciți :

➢ Prelucrarea să se facă doar în baza unui contract
➢ Împuternicitul să ofere garanții suficiente pentru punerea în aplicare a unor
măsuri tehnice și organizatorice adecvat

2.7 Breșa de securitate și procedura de notificare

Breșa de securitate presupune afectarea securității datelor cu caracter personal și

conduce de obicei la pierderea, alterarea sau la accesul neautorizat la acestea. Într-un
asemenea caz51 se impune notificarea Autorității Naționale de Supraveghere în
conformitate cu Art. 33 din Regulament ” În cazul în care are loc o încălcare a
securității datelor cu caracter personal, operatorul notifică acest lucru autorității de
supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă
este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de

50
Pentru a expedia produsul comandat nu are nevoie de exemplu de acces la date precum parola
contului de utilizator.

51
Mai ales dacă există riscul compromiterii libertăților și drepturilor indivizilor, spre exemplu o breșă
de securitate a datelor clienților, n caz care supune indivizii riscului de furt de identitate. Dacă însă
obiectul furtului de date este o listă a numerelor de telefon ale angajaților, riscul pentru indivizi este
diminuat.

21
aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru
drepturile și libertățile persoanelor fizice.”
În cazul în care există pericolul ca breșa de securitate să afecteze drepturile și
libertățile individuale, este necesară anunțarea și a persoanelor afectate. Persoanele
împuternicite de operator trebuie să anunțe imediat ce au aflat de breșa de securitate
operatorii. Iar operatorii trebuie să anunțe autoritatea în maxim 72 de ore. Dacă datele
furate sunt criptate informarea persoanelor afectate nu mai este necesară.
Pentru anunțarea unei breșe de securitate există un formular tipizat52 care solicită
includerea următoarelor informații :
- Identificarea operatorului
- Date privind persoana care poate furniza mai multe informații
- Dacă este o notificare nouă sau o completare a notificării inițiale
- Data și ora incidentului
- Caracterul încălcării securității datelor53
- Rezumatul incidentului
- Numărul persoanelor fizice vizate
- Eventualele consecințe și efecte adverse pentru persoanele vizate
- Măsurile tehnice și organizatorice luate de operator în scopul atenuării
eventualelor efecte negative
- Natura și conținutul datelor cu caracter personal în cauză
- Măsurile tehnice și organizatorice aplicate
- Utilizarea relevantă a altor operatori dacă este cazul
- Eventuale informări suplimentare
-conținutul informării sau motivele pentru care nu s-a făcut informarea
persoanelor fizice vizate
- mijloacele de comunicare utilizate pentru transmiterea informațiilor
- Eventualele aspecte transfrontaliere

52
http://www.dataprotection.ro/
53
Confidențialitate, integritate, disponibilitate

22
2.8Câteva aspecte privind marketingul și social media

Subiectul este unul foarte vast astfel că voi face referire doar la partea de direct
marketing și la pagina de fani al magazinului online.
În ceea ce privește marketingul, cel mai important aspect o reprezintă modalitatea
de obținere a consimțământului . Se recomandă :
• Utilizarea pe site a căsuțelor de tip opt-in, sub nici o formă pre-bifată, în
vederea obținerii unui consimțământ valabil
• Specificarea expresă a modalității de comunicare în scopuri de marketing54
• În condițiile în care datele se partajează cu terții se solicită consimțământ
separat și se oferă detalii privind identitatea terților
• Se înregistrează momentul și modalitatea colectării precum și scopul pentru
realizarea căruia s-a acordat consimțământul

Privitor la bazele de date cumpărate trebuie verificat dacă vânzătorul este

membru al unui organism profesional, nu folosesc aceste listele pentru Sms, e-mail,
apeluri înregistrate fără dovada consimțământului pe bază de opt-in acordat în ultimele
6 luni, unde am fost listați și noi în mod specific, produsele / serviciile noastre trebuie
să fie similare cu cele privitor la care și-au dat acordul să primească informații.
Informațiile astfel obținute se folosesc exclusiv în scopuri de marketing, se renunță la
datele excesive, se verifică dacă lista include persoane care s-au dezabonat din lista
noastră și aceștia se înlătură. Începem folosirea bazei de date prin trimiterea unor
”mostre” de marketing pentru a testa validitatea listei.
Trebuie să existe proceduri pentru corectarea inexactităților și a cererilor
persoanelor vizate. Mesajele de marketing întotdeauna trebuie să conțină:
• Date de identificare a celui care trimite sms, e-mail , etc.
• Sursa din care s-au obținut datele
• Informații privind prelucrarea datelor cu caracter personal55

54
E-mail, sms, telefon, apel înregistrat
55
Un link spre pagina cu politica de confidențialitate

23
 Întotdeauna se încheie un contract cu vânzătorul bazei de date, un contract în care
se precizează că acesta își asumă răspunderea cu privire la informațiile furnizate și că
permite efectuarea unui audit.

Metoda de comunicare Pers. fizice Companii

Apeluri telefonice Persoanele se pot retrage Persoanele se pot retrage

Apeluri telefonice Consimțământ expres Consimțământ expres pentru

înregistrate pentru această operațiune
Consimțământ expres sau o
E-mail / sms variantă de soft –opt in56
Numele și adresa sunt
Poștă obținute legal, au
posibilitatea de a se retrage
această operațiune
Putem trimite e-mail/ sms către
companii
Trebuie oferită posibilitatea de
retragere
Angajații individuali se pot retrage
Putem trimite scrisori către
companii
Angajații individuali se pot retrage

În condițiile în care magazinul online are o pagină de fani pe Facebook, trebuie să

conștientizeze faptul că este considerat operator asociat cu Facebook Ireland în ceea ce
privește prelucrarea datelor personale. În acest sens CJUE57 s-a pronunțat în cazul unei
societăți germane, Wirtschaftsakademie Schleswig-Holstein, care oferă servicii de
formare prin intermediul unei pagini pentru fani. Administratorii paginilor pentru fani,
precum Wirtschaftsakademie, pot obţine date statistice anonime privind vizitatorii
acestor pagini cu ajutorul unei funcţii intitulate Facebook Insight, puse în mod gratuit
la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate.
Aceste date sunt colectate cu ajutorul unor fişiere-martori („cookies”) care conţin
fiecare câte un cod de utilizator unic, active timp de doi ani şi salvate de Facebook pe
discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani.
Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor
înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor
pentru fani. Faptul că un administrator al unei pagini pentru fani utilizează platforma
instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate

56
Client anterior sau care deține un produs similar, a avut oportunitatea de a se retrage
57
Prin decizia din 3 noiembrie 2011, Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein

24
exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter
personal.
3. Concluzii

Subiectul ales este unul care presupune foarte mult studiu și documentare având
în vedere că atinge zone sensibile precum aspecte tehnice și organizatorice legate de
securitate și marketing, subiecte care trebuie tratate cu foarte mare seriozitate.
Zona de online este una extrem de vulnerabilă datorită faptului că orice greșeală
se plătește foarte scump, astfel că este important să se acorde atenție sporită
următoarelor aspecte :
• Cartografierea datelor colectate
• Colectarea în mod legal al datelor
• Stocarea datelor pentru perioada minim necesară
• Numirea unui DPO
• Politică organizațională concordantă cu GDPR
• Protejarea datelor angajaților
• Asigurarea posibilității de a modifica/șterge cu ușurință datele
• În caz de breșă de securitate să se asigure posibilitatea de a-i informa pe cei
implicați
• Politica de confidențialitate să fie întotdeauna în concordanță cu realitatea
• Verificarea terților din punct de vedere al concordanței cu GDPR

Deși la prima vedere pare să dea multe bătăi de cap, alinierea la normele privind
protejarea datelor personale va asigura un grad ridicat de credibilitate în mediul online
și astfel va conduce la creșterea exponențială a vânzărilor magazinelor online.

25
4.Bibliografie:

• Regulamentul General privind Protecția Datelor Personale

• The eCommerce Guide to GDPR – Freshworks
• Interviu GOMAG cu Bogdan Manolea privitor la GPDR in comerțul online
https://www.youtube.com/watch?v=8n706N7G_pI
• http://blog.avocatoo.ro/
• https://legalup.ro/
• Heather Burns & Dan Barker: GDPR: Ecommerce Guide
• www.vpnmentor.com
• ContentSpeed: GDPR pentru Ecommerce

26