Anul trecut vă anunţam că este posibil să fie mai puţine situaţiile în care să fii nevoit să te notifici la ANSPDCP, dacă decizia aflată atunci în discuţii se va adopta. Ei bine, la finalul anului
trecut s-a publicat decizia ANSPDCP (fișier PDF) care restrânge
foarte mult tipurile de operaţiuni pentru care este necesară notificarea.
Ce trebuie să faci dacă ai un magazin online
Pentru un magazin online, notificarea nu mai este necesară pentru
colectarea datelor personale doar în scop de marketing sau livrare a
produselor (care sunt cazurile majoritare întâlnite de noi în practică), dar este obligatorie dacă se prelucrează date din categoriile speciale:
- date legate de originea rasială sau etnică
- date despre convingerile politice, religioase, filozofice ori de natură similară
- date despre apartenenţa sindicală
- date despre starea de sănătate şi viaţa sexuală
Sau daca magazinul colectează date care:
- permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice (de ex. GPS)
- au ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum comportamentul sau alte asemenea aspecte (de ex., sistemele de profilare)
- sunt despre minori.
Cu alte cuvinte, magazinele care colectează date personale doar pentru propriile servicii de marketing sau pentru efectuarea comenzilor nu mai sunt obligate să se notifice la ANSPDCP.
Sistemul de evaluare TRUSTED.ro
Pentru TRUSTED.ro, acest lucru înseamnă modificarea modului în care vom verifica respectarea standardelor 1 și 9 (fișier PDF), care includ şi înregistrarea la ANSPDCP. De acum înainte, vom analiza site-urile magazinelor online pentru a vedea dacă acestea conţin o politică de confidenţialitate care să precizeze cel puțin:
- cine face prelucrarea datelor (denumirea firmei);
- scopul prelucrării datelor respective (de obicei efectuarea comenzii şi livrarea, dar şi marketing);
- drepturile utilizatorilor și modalitatea de exercitare:
- dreptul la informare (operatorul este obligat să încunoştinţeze persoana vizată cu privire la prelucrarea datelor sale cu caracter personal);
- dreptul de acces la date (inclusiv procedura exactă de urmat, adresa de e-mail folosită);
- dreptul de intervenție asupra datelor (inclusiv procedura sau posibilitatea de remediere prevăzută în site); orice persoană vizată are dreptul de a obţine de la
operator, în mod gratuit, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte; - dreptul de opoziţie (persoana vizată are dreptul de a se opune în orice moment ca datele care o vizează să facă obiectul unei prelucrări);
- dreptul de a nu fi supus unei decizii individuale luate în baza unei prelucrări automate;
- dreptul de a se adresa justiţiei.
- cine sunt terţii care au acces la aceste date (de obicei companiile de livrare,
procesatorii de plăti, serviciile de e-mail marketing).
Această pagină nu trebuie să conţină doar informaţii generice (de ex. „Toate datele personale sunt procesate legal în conformitate cu…“), ci trebuie să explicaţi în termeni practici şi clari ce anume face firma dvs. cu datele personale colectate de pe site.
Explicații de background
Ce sunt datele cu caracter personal?
Sunt orice informaţii referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Cum se face colectarea datelor?
Pentru a colecta date personale, trebuie obţinut consimţământul persoanei şi colectarea se face pe baza unor principii:
- Datele să fie procesate legal şi cu bună credinţă; procesarea cu bună credinţă cere că o persoană ale cărei date personale au fost colectate să fie informată cu privire la: identitatea procesatorului, scopurile procesării, terţele părţi cu care datele sunt partajate, existenţa drepturilor sale legale (de ex. acces sau rectificare);
- Datele să fie colectate în scop determinat şi explicit;
- Datele să fie adecvate şi neexcesive în raport cu scopul urmărit;
- Datele să fie exacte şi actualizate şi să fie şterse când nu mai sunt necesare;
- Datele să fie păstrate doar cât sunt necesare scopului;
În concluzie, magazinele online au scăpat de grija notificării la ANSPDCP dacă nu intră într-una dintre excepţiile enumerate mai sus, dar trebuie să-şi revizuiască (sau să creeze) pagina cu informaţiile despre confidenţialitatea datelor.
Nu mi-e clar cum in cazul magazinelor online care fac livrari (livrari ale comenzilor pe care multi le plaseaza printr-un cont de utilizator, deci unde si-au trecut numele si prenumele) sa nu fie nevoie de notificare – nu ar intra la partea cu localizarea indirecta a persoanelor fizice? Pentru ca s-ar putea face anumite corelatii intre IP si numele utilizatorului – poti vedea de exemplu ca X-ulescu a vizitat pagina produsului la o anumita ora, dintr-o anumita zona + sa ai si adresa de livrare a unei persoane din zona respectiva, facand astfel corelatii si localizandu-l pe X-ulescu. Sau cum e pana la urma?
Daca e sa citim literal, localizarea se poate face la perfectie pentru ca oricum ai adresa clientului pentru a-i trimite produsul. Dar citind textul integral „localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice”, intelegem că se referă la localizarea prin GPS a persoanelor prin intermediul telefonuluil mobil, contextul definitiei de comunciatii electronice din OUG 111/2011.
Deci daca magazinul ar colecta datele din GPS-ul telefonului mobil cu care se intra pe site, da – am intra in categorie unde notificarea este obligatorie. Dar noi nu stiu de magazine care sa faca asa ceva, desi probabil ca sunt.
Buna ziua, am o intrebare oarecum in afara topicului, dar nu stiu unde sa gasesc un raspuns corect: colaborez cu o firma de rectrutare, ocupandu-ma de gestionarea postarilorpe pagina de Facebook, iar la anunturile de joburi solicitam candidatilor sa ne lase numerele de telefon pentru a-i apela noi, oferindu-le alternativele sa ne trimita CV / sa ne apeleze ei. De regula insa le solicitam numarul de telefon, pentru a le oferi informatii suplimentare despre posturi. Incalca o astfel de cerere vreo reglementare din domeniul datelor cu caracter personal? Multumesc frumos!
Cererea în sine nu încalcă, din moment ce-i preveniți pe candidați despre asta și ei sunt de acord. Dar trebuie să îndepliniți cerințele legii privind stocarea datelor în siguranță, informarea în prealabil etc.
Buna ziua
Va rog sa-mi spuneti daca este necesara notificarea A.N.S.P.D.C.P in cazul in care detin un bazin de inot supravegheat video.
Va multumesc!
Vă încadrați în excepțiile despre care se vorbește în articol? Atunci, da. Iar din mai 2018, nu, pentru că intră în vigoare GDPR și de atunci aveți alte obligații.
Am citit atatea articole ca nu mai am răbdare.Sunt in ceata totala.
Am un magazin naturist online.Daca nu cer cnp -ul, ci doar datele de livrare, Ma încadreze în directivă?
Sunt foarte interesat si eu de raspuns.
Articolul este clar. Vă încadrați în excepțiile din articol? Dacă da, trebuie să vă notificați la ANSPDCP.
Oricum, din 25 mai 2018, cînd se va aplica GDPR, totul va fi diferit.
Intersant articol. GDPR ne-a cam bulversat pe toti. Vad ca aveti o serie de articole legate de aceasta tema… o sa le citesc cu atentie.
Voiam sa va intreb, ce parere aveti despre utilizare sistemele de analytics (ex: Google Analytics); o companie care utilizeaza un astfel de sistem pentru evalua traficul unui website trebuie sa notifice ANSPDCP? Datele nu sunt stocate sau procesate de compania care detine website-ul ci de cel care ofera astfel de servicii (Google). SRL-ul din Romania avand doar acces la date anonimizate de despre vizitatorii website-ul pe care nu le proceseaza/salveaza in nici un fel.
Tin sa precizez ca pentru functionare website-ului sunt salvate doar adresa de email (folosind one way encryption – administratorul bazei de date nu are acces la adresa propriuzisa ci doar la un hash din care nu poate recupera adresa initial – md5 encryption), un nume de utilizator si o parola – acestea fiind strict folosite pentru accesul in contul creat.
Multumesc.
Este greu de răspuns rapid la o asemenea întrebare și răspunsul depinde de mai mulți factori legați de GDPR. Urmăriți acest blog, vom mai publica unele articole utile.
Buna ziua,
Ne puteti spune care vor fi, din mai, obligatiile pentru un magazin online care foloseste datele strict in scopul livrarii produselor si eventual newsletter? Sunt obligata sa angajez pe cineva part-time sau sa fac cursuri de prelucrare a datelor? Am citit ca pentru mediul privat, aceasta este o recomandare si nu obligativitate
Este greu de răspuns rapid la o asemenea întrebare și răspunsul depinde de mai mulți factori legați de GDPR. Urmăriți acest blog, vom mai publica unele articole utile.
si de maine intra gdrp si trusted nu stie inca sa raspunda la intrebarile simple de mai sus.
Ba știe, știe, dar nu este scopul nostru să acordăm consultanță GDPR, pentru că ea depinde de specificul afacerii, de mărimea ei etc. De azi, notificarea la ANSPDCP nu mai este obligatorie nici măcar în cazurile excepționale amintite în articol.
ah , multumesc atunci. deci nu mai facem notificari la ANSPDCP.