Documente Academic
Documente Profesional
Documente Cultură
RO
Marca de Încredere
din comerțul electronic
românesc
TRUSTED.RO
Temele propuse
• GDPR
• Noțiuni esențiale legate de date personale
• 2 ani implementare GDPR – principalele 3
cazuri în care un magazin online riscă
• Cu...soluții și sugestii
• Și cu un joc în real-time..
TRUSTED.RO
GDPR – basics
Date cu caracter personal
• orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”);
• o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un
element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la
unul sau mai multe elemente specifice, proprii identității
sale fizice, fiziologice, genetice, psihice, economice, culturale
sau sociale.
TRUSTED.RO
GDPR – basics pt online
1. Datele clienților obținute ca urmare a unei comenzi/contract
2. Datele persoanelor înscrise la newsletter
3. Datele vizitatorilor paginii Web
4. Datele vizitatorilor paginii de Facebook
5. Datele angajaților
6. Datele clienților dintr-un CRM
7. Datele celor care apealează la support (online, telefonic, email)
8. Datele candidaților la job-uri
Etc.?
TRUSTED.RO
GDPR – deci sunt date personale
●
Nume și prenume (și orice date asociate cu acestea)
●
Email, număr de telefon
●
Numărul comenzii
●
Adresă IP, adresă MAC
●
Istoricul de navigare al unui client
●
Orice date care ar putea* duce la identificarea unei persoane fizice
*Cam orice legat de o persoană fizică. În realitate este un efort mare de a anonimiza date legate de o persoană fizica, daca nu faceți nimic, probabil sunt date personale.
TRUSTED.RO
Principii
prelucrate în mod legal, echitabil, transparent
a.k.a Upps, ai uitat să-mi zici că te profilez...
colectate în scopuri determinate, explicite și legitime
a.k.a Ce-i aia “Putem folosi datele noi si partenerii noștrii in
orice scop”
Datele procesate sunt adecvate, relevante și limitate
a.k.a N-am nevoie de data nașterii ca să cumpăr de pe site-
ul tău
Datele procesate sunt exacte, actualizate
a.k.a Mă cheamă Manolea, nu Manole, nu Manulea, nu
Manoela
TRUSTED.RO > Marca de Încredere din comerțul electronic
Principii (2)
●
Putem să facem un cont unui client care a comandat făra cont?
●
Scopul prelucrării datelor – crearea unui cont pentru client
pentru ca firma să îl folosească pentru a) administrarea mai
buna a stării comenzii? b)marketing viitor? c) profilare pe site?
●
Temeiul legal – consimțamânt, executarea contractului,
obligație legală, interes legitim (?)
●
Concluzie – Nu. Dacă clientul a putut sa opteze între comandă
fara cont și cu cont .
●
Dar magazinul trebuie să păstreze datele legate de o comandă pt obligații legale sau
contractuale.
●
Și dacă flow-ul magazinului este cu crearea automată a unui cont la fiecare
comandă?
– Scop – urmărirea comenzii respective (inclusiv garanție sau acces la factură). Alte scopuri nu
sunt permise.
– Temei legal – executarea contractului
– Ce date am nevoie – exclusiv email
– Pot fi corectate? Se poate refuza contul?
– Cât timp le păstrez – comanda + 3 ani după (pt garanție, de ex.)
– Securitate – doar utilizatorul are acces...
TRUSTED.RO
Top 3 probleme
TRUSTED.RO
1. GDPR și mesaje comerciale
●
Risc – amenzi – 2000-3000 de euro.
●
Întâi să diferențiem între mesaje tranzacționale și comerciale.
●
Newsletter-ul este un mesaj comercial. Pot fi și altele..
1. Abonarea
Temei legal posibil (consimțământ și interes legitim)
a) Consimțământ - (Safest version)= acordul explicit al persoanei pentru a primi mesaje
comerciale prin email/SMS/Facebook
b) Interes legitim – (Tricky version)
TRUSTED.RO
1. GDPR și mesaje comerciale
a) Formular = consimțământ
Nu există vreo obligație expresă de a avea o bifă de tipul “Sunt de acord cu primirea newsletter-
ului” sau “Politica de prelucrare a datelor personale”
Dar trebuie sa fie o actiune:
●
clară și lipsită de ambiguitate a utilizatorului (cum ar fi apăsarea butonului “Abonează-mă”);
●
liberă (vizitatorul nu este obligat să se înscrie la newsletter în vreun mod);
●
specifică (deci nu combinată cu alte acorduri sau confirmări);
●
informată (utilizatorul știe ce date oferă și la ce sunt folosite)
TRUSTED.RO
1. GDPR și mesaje comerciale
TRUSTED.RO
1. GDPR și mesaje comerciale
2. Confirmarea abonării
●
Asigură că cineva nu s-a înscris cu o adresă greșită (intenționat sau nu) și aceea este
chiar adresa la care are acces;
●
Cea mai buna dovada a consimtamantului
●
Respectarea principiului acuratetii datelor (deci obligatoriu cf GDPR)
3. Dovada abonării
●
IP-ului, data și ora introducerii adresei de e-mail pe site;
●
IP-ul, data și ora confirmării adresei de e-mail, eventual cu alte date tehnice, dacă este
cazul – pentru double opt-in;
●
Doveda faptului că sistemul nu permite abonarea fără double opt-in.
TRUSTED.RO
1. GDPR și mesaje comerciale
TRUSTED.RO
GDPR & Newsletter (3)
1. GDPR și mesaje comerciale
4. Conținut
De-subscriere funcțională (dar și pastrarea dovezii)
Link Politică de confidențialitate (care descrie cum se colectează adresele de e-mail pentru newsletter, în ce
scop, durata de retenție etc.)
Date contacte (cel puțin numele firmei, adresa sediului, CUI, CIF, adresa de e-mail și telefonul de
contact)
Explica de ce il primeste
Ce să NU fie (disimularea numelui sub care face comunicarea, linkuri
neclare catre alte site-uri, linkuri afiliere fără marcaj)
TRUSTED.RO
1. GDPR și mesaje comerciale
TRUSTED.RO
2. Securitatea datelor personale
●
Risc – 2000 euro< + publicarea informației pe site
●
Aveți obligația de a asigura securitatea datelor personale prelucrate
●
Obligația este nu doar pentru voi, ci și pentru toți sub-contractorii
(GDPR= persoane împuternicite, data processor) care prelucreaza date
în numele vostru (platformă ecommerce, dezvoltator IT, găzduire,
furnizori email marketing, etc.)
●
O încălcare a securității va avea loc – întrebare e când si cum sunteți
pregătiți
TRUSTED.RO
2 – Încalcarea securității
●
Art 33 GDPR
●
În cazul în care are loc o încălcare a securității datelor cu
caracter personal, operatorul notifică acest lucru (...), fără
întârzieri nejustificate și, dacă este posibil, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta
(…)
TRUSTED.RO
2 – Încalcarea securității
●
„încălcarea securității datelor cu caracter personal” înseamnă o
încălcare a securității care duce, în mod accidental sau ilegal, la
distrugerea, pierderea, modificarea, sau divulgare a datelor cu
caracter personal transmise, stocate sau prelucrate într-un alt
mod, sau la accesul neautorizat la acestea;
TRUSTED.RO
2 – Încalcarea securității
TRUSTED.RO
Caz – Încalcarea securității
TRUSTED.RO
Caz – Încalcarea securității
TRUSTED.RO
Caz – Încalcarea securității
TRUSTED.RO
Caz – Încalcarea securității
TRUSTED.RO
Caz – Încalcarea securității
TRUSTED.RO
Exemple de amenzi
●
Un set de fișiere cu privire la detaliile tranzacțiilor, ce conținea nume,
prenume, adresa de corespondență, email, telefon, loc de muncă și detalii
tranzacții efectuate, era accesibil public prin intermediul a două link-
uri. Amendă: 3000 euro
●
Încălcarea securității prin faptul că doi angajați ai Raiffeisen Bank S.A.,
utilizând datele din documentele de identitate ale unor persoane
fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin
intermediul aplicației mobile WhatsApp, au efectuat interogări ale
sistemului Biroului de Credit pentru a obține datele necesare în vederea
determinării eligibilității la creditare a respectivelor persoane fizice, prin
simulări de prescoring. Amendă: 150 000 euro
TRUSTED.RO
Exemple de amenzi (2)
●
Încălcarea securității prin accesarea neautorizată, de către un angajat
propriu, a aplicației de rezervări și fotografierea unei liste conținând
datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea
neautorizată în mediul on-line a acestei liste. Amendă: 20 000 Euro
●
Operatorul Compania Națională Poșta Română a fost sancționat
deoarece nu a luat măsurile tehnice şi organizatorice adecvate care să
prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail
și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând
Companiei Naționale Poșta Română, ceea ce a dus la compromiterea
confidențialității datelor personale a 81 de persoane vizate. Amendă: 2000
euro
TRUSTED.RO
2 – Încalcarea securității
●
Problema nu mai este dacă se întâmplă, ci când se întâmplă
●
Principiu – Notificarea autorității în 72 de ore din momentul când “ia la
cunoștiință”
●
Dar poate și către persoanele vizate, daca “este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”
●
Detalii în Opinia Grupului de Lucru Art. 29 – WP250rev.01 (6.02.2018)
TRUSTED.RO
Luarea la cunoștință
TRUSTED.RO
Exemple
●
Acces neautorizat (inclusiv accesului unui fost angajat) la baza de date cu clienti
●
Crearea unei copii a unei CI (deși nu este permis de politica voastră internă)
●
Trimiterea unor informații despre clienți la alte persoane care nu trebuiau să le
primească
●
Trimiterea informațiilor personale prin alte canale decât cele autorizate (ex. Prin
email sau în grup de whatsapp)
●
Pierderea unui memory stick/laptop/telefon cu date personale
TRUSTED.RO
Ce să faceți
●
Să fim onești – securitatea costă (mult!) și nu este o prioritate pentru majoritatea
business-urilor. Soluția perfectă (e.g certificare ISO 27 001) este scumpă și
complexă.
●
Dar – sunt chestiuni basic pe care le puteți face, de ex:
– Identificarea riscurilor și zonelor de date personale care trebuie protejate (ex. Baza de date
cu clienți);
– Una din principalele probleme de securitate sunt angajații vostri. Instruiți-i!
– Reguli interne (ce și cum sa facă cu datele personale)
– Acces limitat la ce este realmente nevoie (need-to-know)
TRUSTED.RO
Ce să faceți - tehnic
●
Impunere parole puternice, unice, schimbate la x luni
●
Adăugare 2FA pentru zone critice cu baze de date clienți
●
Criptare sisteme de operare (mai ales laptop și telefon)
●
Actualizări software & related
●
Backup și verificare backup
●
Gestionarea drepturilor de acces
●
Transmiterea securizata a datelor personale
●
Mai multe – vezi ghid ENISA -
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing
TRUSTED.RO
3. Nerespectarea drepturilor
TRUSTED.RO
3. Drepturi specifice
●
Art 21 GDPR
●
Cunoscut ca “right to object” sau “unsubscribe”
●
Este un fel de frate mai mic al “dreptului de ștergere”, cu acțiune
mai restransă
Dă dreptul persoanei vizate să se opună unei anume prelucrări:
●
Se poate opune oricănd mesajelor de marketing online
(unsubscribe)
●
Se poate opune prelucrărilor pe “interes legitim” dacă are un
motiv intemeiat
Provocări:
●
De-subscrierea persoanei din toate sistemele active și
imposibilitatea de a retrimite mesaje comerciale din greșeală
●
Păstrarea dovezilor că s-au șters datele
●
De obicei problemele apar în comunicările de marketing care
tot ajung la persoane ce au cerut ștergerea datelor
●
Pentru cazurile în care prelucrarea se face pe bază de interes
legitim, analiza corectă a posibilității dreptului de opoziție (cu
excepția cazurilor de marketing direct).
Q&A
Mulțumesc!
Bogdan@trusted.ro TRUSTED.ro