Termenul limita pentru introducerea noului regulament este 25 mai 2018, iar amenzile anuntate pentru firmele care nu adereaza la aceasta noua legislatie pot ajunge pana la 20 milioane de euro sau 4% din cifra de afaceri.

Date personale si acord

Din perspectiva business-urilor care isi desfasoara activitatea si in mediul online, noul regulament va avea impact asupra:

  1. tipului de date personale colectate despre utilizator si
  2. modului in care utilizatorul isi ofera acordul pentru colectarea acestor date.

Redefinirea tipurilor de date colectate de site-urile online

Cu privire la tipul de date colectate, GDPR largeste spectrul de date incluse sub sigla ”personale”, fiind din aceasta perspectiva cea mai stricta reglementare europeana de pana acum. Noua lege defineste datele personale ca incluzand orice fel de informatie despre o persoana fizica care poate duce, direct sau indirect, la identificarea acestei persoane. In aceasta categorie sunt incluse numele, numerele de identificare, date despre locatie dar si orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

Spre deosebire de vechile reglementari in vigoare - Directiva 95/46/EC care va fi inlocuita de GDRP – informatiile despre locatie sau identificatorii online vor fi de anul viitor considerate date personale. GDPR puncteaza asupra faptului cum identificatorii online oferiti de device-uri, de aplicatii sau de protocoale, markeri de tipul adrese internet protocol, chiar si cookies sau tag-uri de radio frecventa, vor intra sub incidenta noii legi.

O noua abordare asupra conceptului de Acord

In ceea ce priveste modul in care un utilizator online isi da acordul pentru colectarea acestor date, GDPR include reglementari noi despre cum este definit acordul. Incepand cu mai 2018, legislatia europeana va defini acordul ca fiind o actiune afirmativa si informata realizata de catre utilizator, oferita liber, intr-un context specific si lipsit de ambiguitati. Implicatiile aici vin din mentiunea ”actiune afirmativa”, detaliu nou introdus in lege care elimina astfel tipurile de consimtamant de tip ”Acord implicit”.

Altfel spus, incepand de la anul, cel mai probabil nu vom mai vedea anunturi de tipul ”Navigarea pe acest site se considera acceptarea Dvs. cu privire la politica de utilizare a cookie-urilor”, consensul fiind exemplificat in GDRP sub forma unei actiuni concrete din partea utilizatorului:

# Bifarea unei casute pe un website.
# Alegerea unei setari tehnice in cadrul utilizarii serviciilor informatice.
# Orice alt tip de afirmatie sau comportament care clarifica fara echivoc oferirea acordului.

GDPR puncteaza de asemnea si pe practicile actuale, care NU vor fi considerate acordul utilizatorului sub noua legislatie:
# Lipsa unei actiuni/ inactivitate.
# Casute pre-bifate.

Audit de conformitate si schimbari pe site-uri

Expertii in legislatie recomanda o pregatire timpurie a business-urilor online pentru noile reglementari europene, tragand un semnal de alarma ca procesul de tranzitie va fi lung si, in multe cazuri, complex. Acestia recomanda realizarea unui audit de date in cadrul fiecarei companii, audit care sa includa urmatoarele etape:

# Inventarierea tuturor tipurilor de informatie despre utilizatori stocate de business. Cu cat organizatia este mai mare, cu atat creste dificultatea in gasirea tutoror acelor date colectate, date care vin din sisteme si de pe canele diferite si sunt stocate in varii medii.
#
# Listarea modurilor in care informatiile despre utilizatori sunt folosite in prezent. Cum sunt procesate aceste date odata ce au fost stocate? In vederea informarilor pe care le vei face de la anul clientilor tai este important sa stii din timp procesul caruia sunt supuse aceste date.

# Clarificarea acordului: ce tip de acord a fost oferit pana in prezent. Noua legislatie va permite revocarea acordului oferit in trecut. Fiecare business trebuie asadar sa cunoasca cum a fost obtin acordul in trecut si daca a fost ulterior revocat in timp.

# Asigurarea securitatii datelor colectate. GDRP puncteaza importanta securitatii si criptarii datelor in toate etapele de tranzactionare, nu doar cea de colectare.

La nivel de schimbari vizibile, proprietarii de site-uri din Uniunea Europeana sunt asteptati sa introduca modificari precum cele listate mai jos in viitorul apropiat.

Citeste si:

1) Renuntarea la pop-urile de cookies. Cel mai probabil vom vedea o inlocuiere a acestora cu alte tipuri de mesaje de oferire acord colectare/stocare informatii. Noile mecanisme vor cere de data aceasta o actiune fizica din partea utilizatorului, si nu se vor mai baza pe acordul implicit de tipul ”Continuarea navigarii pe acest site reprezinta acordul Dvs. cu privire la politica site-ului de colectare si stocare informatii”.

2) Setarile de browser vor putea semnala acordul utilizatorului. Textul noii legislatii sugereaza faptul ca va exista o posibilitate de obtinere implicita a acordului utilizatorului pentru colectarea datelor, in functie de setarile sale din browser. Astfel, daca utilizatorul isi va marca in setarile web browserului folosit acordul sau refuzul pentru colectarea datelor, exista posibilitatea ca site-ul sa nu-i mai ceara utilizatorului acordul, respectand insa decizia sa marcata in browser. Este de retinut totusi ca, daca setarea din browser va marca refuzul, site-ul nu va mai putea colecta datele acelui utilizator, chiar daca acesta fusese oferit anterior.

3) Revizuirea acordurilor de consimtamant de pe site-uri. Paginile si documentele de tip Acord de Confidentialitate folosite de companii vor trebui rescrise intr-un limbaj accesibil omului de rand. GDPR puncteaza asupra nevoii de transparenta si simplitate in informarea utilizatorilor cu privire la datele colectate, indemnand ca orice informatie sa fie transmise pe site cat mai ”concis, usor accesibil, usor de inteles, in limbaj simplu si, in masura in care este posibil, vizualizata cu imagini”.

4) Optiunea de retragere acord. Chiar si atunci cand utilizatorul isi ofera acordul ca datele sa ii fie colectate si prelucrate, site-urile vor trebui ii puna acestuia la dispozitie optiunea de a-si retrage acordul. Prin urmare, proprietarii de site-uri sunt asteptati sa pregateasca mesaje si zone noi in site, de unde utilizatorul sa isi poata usor si rapid retrage acordul de colectare a datelor.

Ce inseamna aceste schimbari legislative pentru proprietarii de site-uri? Modificari la site si la sistemele lor interne sau, altfel spus, munca si cheluieli extra. Un studiu din 2014 calculase ca politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care GDPR vine sa o inlocuiasca) genera o cheltuiala anuala de peste 2 miliarde de euro in cadrul Uniunii Europene.

Costul investit in aducerea site-ului si a sistemelor interne in conformitate cu reglementarile in vigoare fusese atunci estimat la €900/ site.

Cheltuielile aduse de aceasta noua modificare nu sunt asteptate nici in cazul GDPR sa fie mai mici. Bani dati programatorului, costuri cu consultanti legali si avocati, costuri la care se adauga complexitatea intregului proces. Complex pentru ca, in prezent, majoritatea proprietarilor de site nici macar nu au o viziune foarte clara asupra tuturor sistemelor din spatele business-ului detinut. Un alt studiu gasea in 2015 ca proprietarii de business-uri online subestimau cu 90% volumul de sisteme folosite in afacerea lor. Pana sa nu fie schimbate in conformitate cu GDPR, aceste sisteme trebuie mapate intai, fapt ce implica resurse si costuri investite.

Site si gazduire site

Dincolo de modificarile la nivel de mesaje si interactiune pe site, descrise mai sus, GDPR va impacta si modul in care responsabilitatea pentru aceste date este impartita intre cei care colecteaza datele (site-ul tau de business) si intre procesatorii de date (furnizorii de solutii de gazduire si de cloud).

Mai 2018 se apropie cu repeziciune, de aceea poti profita de aceste cateva luni ramase pentru a verifica daca furnizorul tau de gazduire se aliniaza reglementarilor GDPR. Easyhost, unul dintre cei mai mari furnizori de solutii de gazduire web din piata de la noi, a inceput demersurile de implementare a noilor obligatii pentru a se ralia reglementarilor GDPR. Easyhost recomanda tuturor proprietarilor de site-uri care colecteaza informatii personale sa aduca in discutie aceste schimbari cu partenerul lor de hosting.

Registrarii de domenii si proprietarii de site-uri sunt incurajati sa verifice daca cei care le furnizeaza infrastructura au luat masurile necesare pentru aceste schimbari. In lipsa informarii din partea furnizorului tau de gazduire, iata ce tipuri de intrebari ai putea sa ii pui pentru a verifica modul in care implemeneeaza reglementarile GDPR.

  • In ce tara are datacentrul?
  • Datele sunt stocate in cadrul Uniunii sau in afara UE?
  • Ce masuri de siguranta are activate pentru protejarea datelor pe care tu le colectezi si le stochezi pe infrastructura sa?

Informandu-se din timp si incepand de pe acum procesul de aliniere la noile reglementari, proprietarii de site-uri pot astepta schimbarea de anul viitor fara stresul unei amenzi iminente si pot incepe deja informarile adresate propiilor utilizatori pe acest subiect.