Am un website. Ce am de făcut?

/ 3 noiembrie 2017

 

Pentru a fi conform cu GDPR orice site trebuie să adauge explicații cu privire la CE date personale colectează și CUM le prelucrează. Cele ce urmează nu au pretenția de a fi răspunsul la toate situațiile care există ci un scurt rezumat fără pretenție de opinie juridică.

Termeni și condiții

Această secțiune trebuie adaptată pentru a reflecta terminologia din GDPR.

Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important în special în situații în care datorită multitudinii actorilor și a complexității, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să știe și să înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop, cum este cazul publicității online. – Recital 58

Ar fi bine ca Informarea să nu fie inclusă/ascunsă în Termeni și condiții ci să fie separată. Fiind vorba de formă și nu de tehnicisme cel mai bine este să ai o opinie juridică!

Formularul de contact/înregistrare

Una din secțiunile care conține date personale mai „„palpabile„: nume și prenume, adresă de email…(eventual telefon).

Din punct de vedere tehnic, informațiile furnizate de persoana vizată ajung într-o bază de date (împreună cu un timestamp, adresă IP) și apoi, via email, la un angajat responsabil.

Dacă nu s-a menționat deja în Termeni și Condiții, aici ar trebui precizate operațiile de prelucrare, condițiile și perioada de stocare (nu există cerință legală. Se poate menționa de exemplu că datele de identificare for fi șterse/anonimizate dar conținutul mesajului va fi păstrat X zile/luni/ani pentru analize comparative privind îmbunătățirea serviciilor oferite). Este posibil însă ca și în textul mesajului să existe date cu caracter personal (de exemplu menționată adresa de domiciliu). În funcție de impact/conținut, emailul ar trebui să dispară și de pe calculatorul angajatului.

Pe cît posibil „uitarea„ ar trebui să se poată face din aceeași pagină de unde s-a făcut înregistrarea. La fel de bine poate fi o pagină dedicată.

Newsletter

Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. – Recital 32

Deși consimțămîntul nu este necesar în orice situație, în cazul de față este obligatoriu. Operatorul trebuie să poată să facă dovada existenței consimțămîntului în acest caz. Și at fi bine să fie check box și nu buton radio cu „Da„ implicit :)…..Opt-in și Opt-out în aceeași secțiune.

Cookie

Dacă:

  • cookie-ul este folosit pentru a realiza transmiterea unei comunicări prin intermediul unei rețele de comunicații electronice;
  • cookie-ul este strict necesar pentru a furniza un „serviciu al societății informaționale” (de exemplu, un serviciu prin internet) solicitat de abonat sau de utilizator.

Atunci:

  • un cookie folosit pentru a aminti bunurile pe care un utilizator dorește să le cumpere atunci când le adaugă în coșul online sau să plătească pe un site de cumpărături;
  • cookie de sesiune (este stocat în memorie și șters odată cu închiderea browserului) care furnizează securitate esențială pentru respectarea cerințelor de securitate privind protecția datelor pentru un serviciu online pe care utilizatorul l-a solicitat (internet banking).

nu va fi nevoie de consimțămînt.

Web tracker/analytics/profilare

Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. – Recital 24

Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii sau ale organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și-a dat în mod explicit consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil. –Recital 71

„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia; – Art.4(4)

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. –Art. 22(1)

După cum menționează Ghidul WP251, profilarea implică 3 elemente:

  • trebuie să fie o formă automatizată de prelucrare
  • prelucrează date personale
  • sînt evaluate aspecte personale ale persoanei vizate

Browserele oferă opțiune Do Not Track (DNT) (la IE era inițial „enable„ setată în mod implicit): de fapt este o formă prin care mă opun profilării.

Websitul fiind al nostru, vom fi „operatori„. Dacă softul (fie și de la terț) pe care îl folosim în site execută acțiuni contrare GDPR, responsabilitatea este a noastră în primul rînd!

Articole similare

2 gânduri despre “Am un website. Ce am de făcut?

  1. Aici o să fie interesant cu datele de Analytics. Eu îl am implementat, de exemplu, pe toate site-urile dar nu mai fac nici o analiză pe ele și, probabil că-l scot și, eventual îmi fac eu un counter propriu doar pentru a număra vizitele. Dar sunt mulți care îl au pus și rămas așa.

    Apreciază

    Răspunde

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.