TRUSTED.

RO
Marca de Încredere
din comerțul electronic
românesc

Cele mai comune 3 riscuri

GDPR pentru un business
online
- după 2 ani-
Bogdan GPeC Summit Online 2020, 2.11.2020
Manolea
Co-Fondator
TRUSTED.ro
Cine este TRUSTED.ro

• De peste 9 ani, acordăm Marca de Încredere

Trusted.ro, pe baza unui set de criterii legale
și de bune practici.

• De peste 20 de ani scriu (și învăț) despre drept

și tehnologie. Uneori și predau.

TRUSTED.RO
Temele propuse

• GDPR
• Noțiuni esențiale legate de date personale
• 2 ani implementare GDPR – principalele 3
cazuri în care un magazin online riscă
• Cu...soluții și sugestii
• Și cu un joc în real-time..

TRUSTED.RO
 GDPR – basics
Date cu caracter personal
• orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”);
• o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un
element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la
unul sau mai multe elemente specifice, proprii identității
sale fizice, fiziologice, genetice, psihice, economice, culturale
sau sociale.

TRUSTED.RO
 GDPR – basics pt online
1. Datele clienților obținute ca urmare a unei comenzi/contract
2. Datele persoanelor înscrise la newsletter
3. Datele vizitatorilor paginii Web
4. Datele vizitatorilor paginii de Facebook
5. Datele angajaților
6. Datele clienților dintr-un CRM
7. Datele celor care apealează la support (online, telefonic, email)
8. Datele candidaților la job-uri
Etc.?

TRUSTED.RO
 GDPR – deci sunt date personale
●
Nume și prenume (și orice date asociate cu acestea)
●
Email, număr de telefon
●
Numărul comenzii
●
Adresă IP, adresă MAC
●
Istoricul de navigare al unui client
●
Orice date care ar putea* duce la identificarea unei persoane fizice
*Cam orice legat de o persoană fizică. În realitate este un efort mare de a anonimiza date legate de o persoană fizica, daca nu faceți nimic, probabil sunt date personale.

TRUSTED.RO
 Principii
prelucrate în mod legal, echitabil, transparent
a.k.a Upps, ai uitat să-mi zici că te profilez...
colectate în scopuri determinate, explicite și legitime
a.k.a Ce-i aia “Putem folosi datele noi si partenerii noștrii in
orice scop”
Datele procesate sunt adecvate, relevante și limitate
a.k.a N-am nevoie de data nașterii ca să cumpăr de pe site-
ul tău
Datele procesate sunt exacte, actualizate
a.k.a Mă cheamă Manolea, nu Manole, nu Manulea, nu
Manoela
TRUSTED.RO > Marca de Încredere din comerțul electronic
 Principii (2)

Datele sunt stocate pe o perioadă determinată

a.k.a “Nu ai voie să le păstrați la infinit”
Datele sunt păstrate în condiții de integritate și
confidențialitate
a.k.a “Femeia de serviciu nu ar trebui sa aiba acces
la datele mele”

TRUSTED.RO > Marca de Încredere din comerțul electronic

Să aplicăm principiile la un caz concret

●
Putem să facem un cont unui client care a comandat făra cont?
●
Scopul prelucrării datelor – crearea unui cont pentru client
pentru ca firma să îl folosească pentru a) administrarea mai
buna a stării comenzii? b)marketing viitor? c) profilare pe site?
●
Temeiul legal – consimțamânt, executarea contractului,
obligație legală, interes legitim (?)
●
Concluzie – Nu. Dacă clientul a putut sa opteze între comandă
fara cont și cu cont .

TRUSTED.RO > Marca de Încredere din comerțul electronic

 Să aplicăm principiile -caz concret (2)

●
Dar magazinul trebuie să păstreze datele legate de o comandă pt obligații legale sau
contractuale.
●
Și dacă flow-ul magazinului este cu crearea automată a unui cont la fiecare
comandă?
– Scop – urmărirea comenzii respective (inclusiv garanție sau acces la factură). Alte scopuri nu
sunt permise.
– Temei legal – executarea contractului
– Ce date am nevoie – exclusiv email
– Pot fi corectate? Se poate refuza contul?
– Cât timp le păstrez – comanda + 3 ani după (pt garanție, de ex.)
– Securitate – doar utilizatorul are acces...

TRUSTED.RO > Marca de Încredere din comerțul electronic

2 ani de GDPR

• Amenzi de 500 de milioane de euro în Uniunea

Europeană
• Autoritatea are tot 34 de oameni angajati (cu tot cu soferi
si alt personal TESA)
• Aprox 5000 de plângeri pe an
• Aprox 1000 de investigații pe an(de obicei la distanța)
• Tracker de amenzi - http://www.enforcementtracker.com/

TRUSTED.RO
Top 3 probleme

1. Newsletter și mesaje comerciale prin email

2. Securitatea datelor personale și notificarea încălcării
securității
3. Respectarea drepturilor persoanelor vizate

TRUSTED.RO
1. GDPR și mesaje comerciale

●
Risc – amenzi – 2000-3000 de euro.
●
Întâi să diferențiem între mesaje tranzacționale și comerciale.
●
Newsletter-ul este un mesaj comercial. Pot fi și altele..
1. Abonarea
Temei legal posibil (consimțământ și interes legitim)
a) Consimțământ - (Safest version)= acordul explicit al persoanei pentru a primi mesaje
comerciale prin email/SMS/Facebook
b) Interes legitim – (Tricky version)

TRUSTED.RO
1. GDPR și mesaje comerciale

a) Formular = consimțământ
Nu există vreo obligație expresă de a avea o bifă de tipul “Sunt de acord cu primirea newsletter-
ului” sau “Politica de prelucrare a datelor personale”
Dar trebuie sa fie o actiune:
●
clară și lipsită de ambiguitate a utilizatorului (cum ar fi apăsarea butonului “Abonează-mă”);
●
liberă (vizitatorul nu este obligat să se înscrie la newsletter în vreun mod);
●
specifică (deci nu combinată cu alte acorduri sau confirmări);
●
informată (utilizatorul știe ce date oferă și la ce sunt folosite)

TRUSTED.RO
1. GDPR și mesaje comerciale

TRUSTED.RO
 1. GDPR și mesaje comerciale

2. Confirmarea abonării
●
Asigură că cineva nu s-a înscris cu o adresă greșită (intenționat sau nu) și aceea este
chiar adresa la care are acces;
●
Cea mai buna dovada a consimtamantului
●
Respectarea principiului acuratetii datelor (deci obligatoriu cf GDPR)
3. Dovada abonării
●
IP-ului, data și ora introducerii adresei de e-mail pe site;
●
IP-ul, data și ora confirmării adresei de e-mail, eventual cu alte date tehnice, dacă este
cazul – pentru double opt-in;
●
Doveda faptului că sistemul nu permite abonarea fără double opt-in.

TRUSTED.RO
 1. GDPR și mesaje comerciale

b. Temei legal - Interes legitim (tricky version)

●
Art 6 (1) (f) GDPR (și atunci nu trebuie să prevaleze în fața interesului persoanei
vizate)– de ex. comunicări comerciale prin e-mail către clienți deja existenți (Legea
506/2004, Art. 12 (2)).
Dar:
●
- toți cei care plasează o comandă sunt clienți existenți?
●
- newsletter = “produse sau servicii similare pe care acea persoană le comercializează”?
●
- există opțiunea de opt-out la colectarea email-ului?
●
- există confirmarea și dovada abonării (vezi slide-ul precedent) ?
●
- care este reacția subiectivă a clienților?
●

TRUSTED.RO
GDPR & Newsletter (3)
 1. GDPR și mesaje comerciale

4. Conținut
De-subscriere funcțională (dar și pastrarea dovezii)
Link Politică de confidențialitate (care descrie cum se colectează adresele de e-mail pentru newsletter, în ce
scop, durata de retenție etc.)

Date contacte (cel puțin numele firmei, adresa sediului, CUI, CIF, adresa de e-mail și telefonul de
contact)

Explica de ce il primeste
Ce să NU fie (disimularea numelui sub care face comunicarea, linkuri
neclare catre alte site-uri, linkuri afiliere fără marcaj)

TRUSTED.RO
 1. GDPR și mesaje comerciale

Probleme mai complicate:

- Intregistrare interactiuni newsletter (open, click)
- Email ref. la coș abandonat
- Retargeting
- Profilare actiuni site
- Chestionare satisfactie

TRUSTED.RO
2. Securitatea datelor personale

●
Risc – 2000 euro< + publicarea informației pe site
●
Aveți obligația de a asigura securitatea datelor personale prelucrate
●
Obligația este nu doar pentru voi, ci și pentru toți sub-contractorii
(GDPR= persoane împuternicite, data processor) care prelucreaza date
în numele vostru (platformă ecommerce, dezvoltator IT, găzduire,
furnizori email marketing, etc.)
●
O încălcare a securității va avea loc – întrebare e când si cum sunteți
pregătiți

TRUSTED.RO
2 – Încalcarea securității

●
Art 33 GDPR
●
În cazul în care are loc o încălcare a securității datelor cu
caracter personal, operatorul notifică acest lucru (...), fără
întârzieri nejustificate și, dacă este posibil, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta
(…)

TRUSTED.RO
2 – Încalcarea securității

●
„încălcarea securității datelor cu caracter personal” înseamnă o
încălcare a securității care duce, în mod accidental sau ilegal, la
distrugerea, pierderea, modificarea, sau divulgare a datelor cu
caracter personal transmise, stocate sau prelucrate într-un alt
mod, sau la accesul neautorizat la acestea;

TRUSTED.RO
2 – Încalcarea securității

TRUSTED.RO
Caz – Încalcarea securității

TRUSTED.RO
Caz – Încalcarea securității

TRUSTED.RO
Caz – Încalcarea securității

TRUSTED.RO
Caz – Încalcarea securității

TRUSTED.RO
Caz – Încalcarea securității

TRUSTED.RO
Exemple de amenzi

●
Un set de fișiere cu privire la detaliile tranzacțiilor, ce conținea nume,
prenume, adresa de corespondență, email, telefon, loc de muncă și detalii
tranzacții efectuate, era accesibil public prin intermediul a două link-
uri. Amendă: 3000 euro
●
Încălcarea securității prin faptul că doi angajați ai Raiffeisen Bank S.A.,
utilizând datele din documentele de identitate ale unor persoane
fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin
intermediul aplicației mobile WhatsApp, au efectuat interogări ale
sistemului Biroului de Credit pentru a obține datele necesare în vederea
determinării eligibilității la creditare a respectivelor persoane fizice, prin
simulări de prescoring. Amendă: 150 000 euro

TRUSTED.RO
Exemple de amenzi (2)

●
Încălcarea securității prin accesarea neautorizată, de către un angajat
propriu, a aplicației de rezervări și fotografierea unei liste conținând
datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea
neautorizată în mediul on-line a acestei liste. Amendă: 20 000 Euro
●
Operatorul Compania Națională Poșta Română a fost sancționat
deoarece nu a luat măsurile tehnice şi organizatorice adecvate care să
prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail
și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând
Companiei Naționale Poșta Română, ceea ce a dus la compromiterea
confidențialității datelor personale a 81 de persoane vizate. Amendă: 2000
euro

TRUSTED.RO
2 – Încalcarea securității

●
Problema nu mai este dacă se întâmplă, ci când se întâmplă
●
Principiu – Notificarea autorității în 72 de ore din momentul când “ia la
cunoștiință”
●
Dar poate și către persoanele vizate, daca “este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”
●
Detalii în Opinia Grupului de Lucru Art. 29 – WP250rev.01 (6.02.2018)

TRUSTED.RO
Luarea la cunoștință

“un grad rezonabil de certitudine” că s-a produs un incident de securitate care

a condus la compromiterea datelor cu caracter personal.
Exemple:
●
intruziune in sistemul informatic, cunoscută de operator
●
cerere de răscumpărare de la un atacator
●
pierderea unui memory stick cu date necriptate
●
un terț vă anunță că a primit accidental alte date personale de la operator

TRUSTED.RO
Exemple

●
Acces neautorizat (inclusiv accesului unui fost angajat) la baza de date cu clienti
●
Crearea unei copii a unei CI (deși nu este permis de politica voastră internă)
●
Trimiterea unor informații despre clienți la alte persoane care nu trebuiau să le
primească
●
Trimiterea informațiilor personale prin alte canale decât cele autorizate (ex. Prin
email sau în grup de whatsapp)
●
Pierderea unui memory stick/laptop/telefon cu date personale

TRUSTED.RO
Ce să faceți

●
Să fim onești – securitatea costă (mult!) și nu este o prioritate pentru majoritatea
business-urilor. Soluția perfectă (e.g certificare ISO 27 001) este scumpă și
complexă.
●
Dar – sunt chestiuni basic pe care le puteți face, de ex:
– Identificarea riscurilor și zonelor de date personale care trebuie protejate (ex. Baza de date
cu clienți);
– Una din principalele probleme de securitate sunt angajații vostri. Instruiți-i!
– Reguli interne (ce și cum sa facă cu datele personale)
– Acces limitat la ce este realmente nevoie (need-to-know)

TRUSTED.RO
Ce să faceți - tehnic

●
Impunere parole puternice, unice, schimbate la x luni
●
Adăugare 2FA pentru zone critice cu baze de date clienți
●
Criptare sisteme de operare (mai ales laptop și telefon)
●
Actualizări software & related
●
Backup și verificare backup
●
Gestionarea drepturilor de acces
●
Transmiterea securizata a datelor personale
●
Mai multe – vezi ghid ENISA -
https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing

TRUSTED.RO
3. Nerespectarea drepturilor

• Nerespectarea drepturilor - acces, opoziție, ștergerea datelor sau

neprimirea de răspunsuri, înclusiv către Autoritate
• Risc – 2000 -3000 de euro
• Toate amenzile s-au aplicat pentru nerăspunsuri către persoane
fizice!!
• Pentru exercitarea drepturilor persoanele trebuie să vi adreseze intâi
vouă!
• Înainte de a le răspunde s-ar putea să trebuiască să verificați dacă
persoana respectivă este cine spune ca este!!

TRUSTED.RO
 3. Drepturi specifice

informare (directă/indirectă) = Publicarea politicii de confidențialitate pe site

si la momentul colectări
acces
dreptul la rectificare
dreptul la ștergerea datelor (“dreptul de a fi uitat”)
dreptul la restricționarea prelucrării
dreptul la portabilitatea datelor
dreptul la opoziție
dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea
automată,inclusiv crearea de profiluri

TRUSTED.RO > Marca de Încredere din comerțul electronic

 Dreptul la ștergerea datelor (“dreptul de
fi uitat”)
Art 17 GDPR
Cunoscut ca “right to erasure” sau “right to be forgotten”
Dă dreptul persoanei vizate să șteargă datele personale
Acest drept se poate aplica doar în unele circumstanțe speciale (pe scurt):
 Temeiul legal al colectării este consimțâmăntul ( și acesta este retras) – e.g.
abonare la newsletter
Temeiul legal a fost interesul legitim pentru marketing direct si persoana se
opune (e.g trimitere de oferte comerciale ca și client/fost client)
Temeiul legal a fost interesul legitim și persoana se opune și nu exista alte
interese care să prevaleze.

TRUSTED.RO > Marca de Încredere din comerțul electronic

 Dreptul la ștergerea datelor (“dreptul de
fi uitat”)
●
Nu se aplică dacă temeiul prelucrării datelor este contractul cu persoana
vizată, obligația legala sau dacă datele sunt necesare pentru “constatarea,
exercitarea sau apărarea unui drept în instanță.”
●
→
●
Dacă un client al unui magazin online cere ștergerea datelor, trebuie să îi
răspundeți că:
●
Datele legate de comandă sau factură nu se pot șterge (vezi temeiul de mai
sus)
●
Datele legate de marketing se șterg.
●
Se poate șterge si contul, dar aceasta înseamna denunțarea contractului
dintre cele 2 părți (deci nu pe dreptul de a fi uitat).

TRUSTED.RO > Marca de Încredere din comerțul electronic

 Dreptul la ștergerea datelor (“dreptul de
fi uitat”)
●
Dacă datele au fost făcute publice, trebuie informați și alți operatorii
care prelucrează datele cu caracter personal că “persoana vizată a
solicitat ștergerea de către acești operatori a oricăror linkuri către datele
respective sau a oricăror copii sau reproduceri ale acestor date cu
caracter personal.”
●
Dacă datele au fost trimise și altor destinatari și aceștia trebuie să
șteargă datele.
●
Trebuie șterse din back-up?
●
De principiu nu, dacă demonstrezi ca acel back-up nu este folosit. Dar
trebuie avut un sistem de ștergere daca este re-folosit. (Recomandări
DPA)

TRUSTED.RO > Marca de Încredere din comerțul electronic

Dreptul la ștergerea datelor (“dreptul de
fi uitat”)
Provocări:
●
Identificarea cazurilor corecte în care trebuie sau nu șterse datele
●
Ștergerea datelor din toate sistemele active și imposibilitatea de
a păstra din greșeală datele
●
Păstrarea dovezilor că s-au șters datele
●
Existența unui sistem de a șterge datele, daca se refolosește un
backup.
●
De obicei problemele apar în comunicările de marketing care tot
ajung la persoane ce au cerut ștergerea datelor

TRUSTED.RO > Marca de Încredere din comerțul electronic

Dreptul la opoziție

●
Art 21 GDPR
●
Cunoscut ca “right to object” sau “unsubscribe”
●
Este un fel de frate mai mic al “dreptului de ștergere”, cu acțiune
mai restransă
Dă dreptul persoanei vizate să se opună unei anume prelucrări:
●
Se poate opune oricănd mesajelor de marketing online
(unsubscribe)
●
Se poate opune prelucrărilor pe “interes legitim” dacă are un
motiv intemeiat

TRUSTED.RO > Marca de Încredere din comerțul electronic

Dreptul la opoziție

Provocări:
●
De-subscrierea persoanei din toate sistemele active și
imposibilitatea de a retrimite mesaje comerciale din greșeală
●
Păstrarea dovezilor că s-au șters datele
●
De obicei problemele apar în comunicările de marketing care
tot ajung la persoane ce au cerut ștergerea datelor
●
Pentru cazurile în care prelucrarea se face pe bază de interes
legitim, analiza corectă a posibilității dreptului de opoziție (cu
excepția cazurilor de marketing direct).

TRUSTED.RO > Marca de Încredere din comerțul electronic

 TRUSTED.RO
Marca de Încredere
din comerțul electronic
românesc

Q&A
Mulțumesc!

Bogdan@trusted.ro TRUSTED.ro