GDPR
Denumirea operatorului de date cu caracter personal este: SUDOMET DISTRIBUTION GROUP SRL cu sediul ZONA METROPOLITANA ORADEA, COMUNA SANTANDREI, SAT SANTANDREI, STRADA CAPRIOAREI 12, CUI RO26342937 / J05/1603/2009 www.sdg-shop.ro
POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Prezenta politica este in conformitate cu cu Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date si Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
Protecția datelor dumneavoastră cu caracter personal este foarte importantă pentru societatea noastra , ale caror date sunt specificate in sectiunea de contact, si ne dorim ca dumneavoastră să fiţi informat corespunzător cu privire la modul şi scopurile în care prelucrează datele dumneavoastră cu caracter personal.
Scopul acestei Politici de Securitate a Prelucrării Datelor cu Caracter Personal (denumită în continuare „Politica de Securitate”) este de a stabili măsurile tehnice şi organizatorice adecvate și responsabilitățile angajaților Societatea noastra cu atribuții de prelucrare a datelor cu caracter personal și/sau, după caz, ale persoanelor împuternicite de Societatea noastra, pentru îndeplinirea obligaţiilor referitoare la garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
În cazul în care constataţi orice erori intervenite în furnizarea datelor cu caracter personal care vă privesc, vă rugăm să ne informaţi în cel mai scurt timp posibil, folosind oricare dintre mijloacele indicate în secţiunea 7 din prezenta Politică de Securitate.
Acest site foloseste masuri de securitate impotriva pierderii, alterarii sau folosirii gresite a informatiilor care se afla in controlul nostru.
Principiile prelucrării datelor cu caracter personal
Datele cu caracter personal sunt prelucrate de Societatea noastra cu bună-credință și în conformitate cu dispozițiile legale în vigoare.
Datele cu caracter personal sunt colectate de Societatea noastra în scopuri bine determinate, explicite și legitime, iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
Datele cu caracter personal sunt adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate.
Datele cu caracter personal nu se stochează de Societatea noastra pentru o perioadă mai lungă decât este necesar pentru realizarea scopurilor în care au fost colectate.
Societatea noastra a luat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală, precum și cu privire la ștergerea sau rectificarea datelor inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate și pentru care vor fi ulterior prelucrate.
Categoriile de date și scopul utilizării datelor cu caracter personal
Datele cu caracter personal la care se face referire în prezenta Politică de Securitate includ elemente de identificare, dupa caz, de tipul nume şi prenume, numele şi prenumele reprezentanţilor legali, sex, data şi locul naşterii, vârstă, cetăţenie, telefon/ fax, adresa de domiciliu/ reşedinţă, adresă de e-mail, cod numeric personal, seria şi numărul actului de identitate/ paşaportului, date bancare sau alte asemenea, care servesc la identificarea dumneavoastră sau a persoanelor care vă reprezintă ori pe care le reprezentaţi.
Reguli generale
Prezenta Politică de Securitate stabilește măsuri tehnice şi organizatorice implementate de Societatea noastra, pentru îndeplinirea obligaţiilor referitoare la confidențialitatea și securitatea prelucrărilor efectuate în cadrul activităţii sale. Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice şi proceduri prin care se asigură un nivel minim de securitate al prelucrărilor, conform art. 20 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date („Legea nr. 677/2001”) şi în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal, aprobate prin Ordinul nr. 52/2002 emis de Avocatul Poporului („Ordinul nr. 52/2002”).
Societatea noastra a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală..
Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, Societatea noastra a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune
Identificarea şi autentificarea utilizatorului;
Tipul de acces
Colectarea datelor
Execuţia copiilor de siguranţă
Computerele şi terminalele de acces
Fişierele de acces
Instruirea personalului
Sistemele de telecomunicații
Folosirea computerelor si deviceurilor
Imprimarea datelor
Scopul prelucrarii si destinatarii datelor cu caracter personal
Datele dumneavoastra personale vor fi utilizate de catre societatea noastra pentru confirmarea comenzilor, informarea prin e-mail, mesaje scrise (SMS), posta sau alte mijloace de comunicare despre actiunile ulterioare si realizarea de rapoarte statistice.
Societatea noastra va colecta, utiliza, prelucra și furniza datele personale oferite de dumneavoastră în scopuri precum reclamă, marketing și publicitate, statistică, pentru emiterea oricăror documente financiar-contabile, încheierea de contracte, livrarea produselor, ori alte acte necesare în activitatea Societatea noastra. Datele personale sunt destinate utilizării de către Societatea noastra și sunt colectate prin persoane desemnate în acest sens.
O parte din aceste date pot fi comunicate către parteneri contractuali ai Societatii noastre (ex: firme de curier, firma de contabilitate, etc). Datele dumneavoastra personale vor putea fi transmise autoritatilor in drept cu scopul verificarii tranzactiilor comerciale sau altor autoritati in drept pentru efectuarea oricaror verificari justificate in baza legii. Datele furnizate sunt strict confidentiale. Societatea noastra se angajeaza in fata clientilor sai sa nu furnizeze aceste date unor terte persoane sau companii si sa le utilizeze exclusiv in vederea derularii relatiei comerciale dintre parti. Colectarea și prelucrarea datelor cu caracter personal ale minorilor de către Societatea noastra se vor face doar cu acordul explicit al părinților sau al altor reprezentanți legali.
Drepturile persoanelor a căror date personale sunt colectate și/sau prelucrate
Conform Legii nr. 677/2001 si a Regulamentului 679 din 27 aprilie 2016 , beneficiaţi de următoarele drepturi cu privire la prelucrarea datelor cu caracter personal care vă privesc:
Dreptul de informare
Aveţi dreptul de a obţine de la Societatea noastra, conform art. 12 al Legii nr. 677/2001 cel puțin următoarele informații, cu excepția cazului în care sunteţi deja în posesia informațiilor respective:
- a) identitatea operatorului și a reprezentantului acestuia, daca este cazul;
- b) scopul in care se face prelucrarea datelor;
- c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
- d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
Dreptul de acces la date
Aveţi, de asemenea, dreptul de a obține de la Societatea noastra, conform art. 13 al Legii nr. 677/2001, la cerere și in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care vă privesc sunt sau nu sunt prelucrate de Societatea noastra.
Dreptul de intervenție asupra datelor
Totodată, aveţi dreptul de a obține de la operator, conform art. 14 al Legii nr. 677/2001, la cerere şi în mod gratuit, rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte.
Dreptul de opoziție
În plus, aveţi dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care vă privesc de către Societatea noastra, conform art. 15 al Legii nr. 677/2001.
Dreptul de a nu fi supus unei decizii individuale
Un alt drept de care beneficiaţi este dreptul conform art. 17 al Legii nr. 677/2001 de a cere şi de a obţine retragerea/ anularea/ reevaluarea oricărei decizii care produce efecte juridice în privinţa dumneavoastră, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii dumneavoastră, precum competenţa profesională, credibilitatea, comportamentul ori alte asemenea aspecte.
Dreptul de a vă adresa justiției
În acelaşi timp, aveţi, conform art. 18 al Legii nr. 677/2001 dreptul de a vă adresa justiției pentru apărarea oricăror drepturi garantate de lege, care v-au fost încălcate.
Pentru exercitarea acestor drepturi, vă puteți adresa cu o cerere scrisă, datată si semnată, transmisă prin utilizarea datelor de contact indicate la secțiunea 7 din prezenta Politică de Securitate.
Dezvăluirea datelor cu caracter personal către terți
Datele colectate sunt dezvăluite către terți numai în cazul în care Societatea noastra este ținuță de o obligație legală în acest sens. Orice dezvăluire către terți în alte condiții a datelor cu caracter personal va fi făcută numai cu acordul dumneavoastră expres, exprimat în prealabil.
Contact
Pentru solicitări sau întrebări cu privire la prezenta Politică de Securitate, vă rugăm să vă adresați societatii noastra, la datele de contact mentionate pe site (formulare de contact)
Dispoziții
DECLARATIE
Procesator de date
Sudomet Distribution Group srl in calitate de operatator de dat cu caracter personal, autorizeaza procesatorul/procesatorii de date si da posibilitate de a introduce date, ca ele sa fie prelucrate si stocate si ca operatorul de date, sa aiba acces la ele. Operatorul de date are nenumarate posibilitati la indemana (marketing, logistica, functii administrative), cu ajutorul careia trimite date personale unei terte persoane. In acest caz si tertul devine procesorul de date al operatorului. Ce trebuie documentat in aceasta relatie? Pe de o parte, operatorul de date trebuie sa numeasca toti procesatorii de date in politica magazinului privind prelucrarea datelor cu caracter personal si sa contracteze prelucratorul de date. Despre continutul politicii de prelucrarea datelor cu caracter personal este responsabil administratorul platformei online.
Permiterea cookie-urilor
Conform GDPR cookie-urile pot fi capabili de a identifica persoanele fizice, si asa acestea se extind si asupra aplicarii reglementarilor GDPR. Platforma online, ofera un consent cu explicitari detailate si sisteme de bifare. Cookie-urile interioare si cele folosite de catre terte (de ex. Google facebook, etc.) sunt imparite in categorii si nebifate (exceptie cookie-urile de operare apartin cele folosite pentru operarea generala a magazinului, care nu sunt capabile sa inregistrareze datele personale). Celelalte sunt folosite pentru o functionalitate mai larga, trasabilitate, remarketing. Se pot activa mai multe feluri de casete de cookie-uri. Daca folositi doar cookie-uri in platforma online, care nu sunt compatibile de a identifica persoane, este deajuns o singura caseta de confirmare. Bineinteles daca vizitatorul nu permite cookie-urile de marketing, sau altele, ele nu o sa ruleze. Dupa ce vizitatorul si-a exprimat intentia, bara de notificare o sa dispara, in locul lui o sa ramana un tab mic de "Setari Cookie-uri" in partea de jos a paginii, asigurand vizitatorului sa aiba posibilitatea de a-si modifica preferinta - acordul.
Acceptarea politicii legate de prelucrarea datelor cu caracter personal
Baza de date, pentru a fi conform cu GDPR este Politica prelucrarii datelor cu caracter personal. Este responsabilitatea administratorului de a crea aceasta politica conform proceselor folosita de aceasta, in care formuleaza ce date sunt cerute de catre persoanele fizice, acestea la ce sunt folosite, cum sunt stocate si carei terte sunt transmise. in platforma online astfel ca, aceasta politica de confidentialitate se regaseste la loc vizibil, in plattforma online, inclusiv se poate transmite atasat la email de confirmare a unei comenzi si/sau al unei informari. Acceptarea de catre vizitator/client a politicii de confidentialitate presupune (daca acesta astfel hotareste), si acceptul asupra prelucrarii datelor cu caracter personalIn acest sens, exista checkboxuri pentru a avea posiblitatea de a accepta politica de confidentialitate. Textele care apar langa checkbox-uri se editeaza de pe interfata de admin a platformei online.
Creare de profiluri
Din punct de vedere al platformei online, crearea de profiluri este o unealta de marketing la moda. Cu ajutorul carea bazat pe comportamentul cumparatorilor se pot aduce decizii automate, crea oferte inteligente, personalizate, reduceri, etc. Specialisti in marketing nu i-si pot imagina altfel promovarea produselor fara de a viza pe un public tinta pe baza anumitori factori sau pe anumite activitati anterioare. GDPR, fata de aceasta, da posibilitate vizitatorului de a refuza crearea de profil. Poate sa declara si ca datele personale sa nu fie folosite doar pentru a onora comanda predata. In setarile de administrare a datelor exist introduse setari legate de aceasta. Daca in platforma online, sunt create profiluri, checkbox-urile legate de aceasta, ele se pot activa. In afara de aceasta se pot seta care functiuni sa fie activate, fara a cere consimtamantul persoanelor.
Siguranta informatica a datelor
Intrucat GDPR contine multe reglementari de siguranta, din cauza carora este o necesitate sa se verifice metodele de stocarea a datelor si procesele de prelucrarea a acestora.
In platforma online, legat de GDPR s-a revizuit si sistemul backend din punct de vedere de acces la date, pierderi de date si de securitate, care au legatura cu datele personale, si s-au introdus protocoale noi legate de acestea. Datele sunt stocate si distribuite geografic, pe o retea tip cloud, sunt stocate in mod redundant, in sisteme inchise, si NU se folosesc sisteme open source.
Este o politica de baza securizarea fluxului de date si singurul care are acces la aceste date, este ca administratorul platformei, prin interfata de administrare a platformei, si de acolo are posibilitatea de a descarca date, baze de date, activa acces la terti. Controlul accesului la informatii, siguranta parolelor utilizatorilor lui este responsabilitatea administratorului platformei online.
La aceste date, are acces si responsabilul cu protectia datelor cu caracter personal (DPO).
Sudomet Distribution Group srl foloseste in relatia cu vizitatorul/clientul/partenerul, comunicari criptate, atat ca e-mail, cat si ca servere partajate licentiate. Softurile, atat din punct de vedere al platformei online, cat si al sistemelor de facturare/gestiune/contabilitate/HR, care sunt gazduite in cloud, respectiv conectate intre ele.
Sudomet Distribution Group srl nu lucreaza cu documentelor imprimate (pe suport hartie).
Documentele circula in format digital, respectiv se stocheaza in format digital, in conformitate cu prevederile OMFP 2634/2015 privind documentele financiar-contabile, emis în data de 05.11.2015 și publicat în monitorul oficial nr. 910/09.12.2015.
Facturile sunt emise in format electronic si nu contin ștampila si semnatura, in conformitate cu Art.319, alin.29, din legea 227/2015, si sunt transmise cu ajutorul e-ail-urilor criptate, descarcarea facandu-se de la linck transmis in e-mail, din contul de pe platforma online, sau de la caz la caz, din platforma cloud, partajata, unde exista idem cont creat special.
Toate softurile utilizate de Sudomet Distribution Group srl, proprii sau inchiriate, detin licente, sunt obtinute pe baza de contract si provin de la furnizori care indeplinesc conditiile GDPR si sunt operate criptat, in cloud.
Protejarea datelor, impotriva accesarii neautorizate prin online, este facuta utilizand Bitdeffender (atualizat permanent), si cu utilizarea solutiei VPN, oferita de Bitdeffender. Facturile se transmit in format digital utilizand o solutie de e-mail criptata, se descarca dintr-un linck si nu contin nume si alte date sensibile.
Reteauna de internet, este protejata de solutii criptate de ultima generatie (protocoale oferite de router wi-fi si VPN cu licenta).
Deviceuri-le folosite (telefon, tableta) sunt partajate cu tehnica de calcul si imprimare, prin aplicatiile conectate in cloud si folosind VPN, respectiv sunt protejate de Bitdeffender. Accesul la device-uri se face securizat (amprenta, iris, cod, etc), iar in cazul pierderii, datele se pot distruge de la distanta.
Riscurile aparitiei breselor de securitate, este diminuat la maxim, foloseste doar sisteme de stocare in cloud, operarea informatiei se face doar in cloud (module interconectate cu platforma online, precum sunt softurile de gestiune, contabilitate si HR) evitand astfel pierderea informatiei.
Sudomet Distribution Group srl, lucreaza strict online, in cloud, livrarile se fac cu firme de curierat. Sudomet Distribution Group srl a digitalizat integral businessul astfel ca nu stocheaza date in format imprimabil, toate documentele sunt in format electronic stocate in softuri digitalizate aflate in cloud si implicit
Proprietrul si/sau utilizatorul platformei indeplineste cerintele legislative GDPR
Ce este GDPR
GDPR (General Data Protection Regulation), a fost adoptat de Parlamentul European in aprilie 2016. Spre deosebire de directivele cu care ne-am obisnuit in trecut, Regulamentele Europene nu au nevoie de legi nationale care sa transpuna prevederile in legislatia fiecarui stat UE si intra in vigoare direct din data de 25 mai 2018, fara nicio formalitate, in toate statele Uniunii Europene. Regulamentul reglementeaza drepturile persoanelor vizate, obligatiile controlorilor de date si ale prelucratorilor de date, competentele autoritatilor procedurale etc. GDPR este regula principala pe care un webshop ca operator de date trebuie sa o ia in considerare.
GDPR protejeaza datele personale ale persoanelor fizice (afectate)
GDPR protejeaza dreptul persoanei fizice asupra protectiei datelor cu caracter personal, "datele personale" pot fi interpretate pentru o persoana fizica, o companie nu are date personale sau drepturi pentru date cu caracter personal.
Cine trebuie sa respecte reglementarile GDPR
Toti cei care gestioneaza datele personale ale unei persoane fizice. Exista exceptii de la aceasta, atunci cand operarea datelor este efectuata de persoane fizice numai in contextul activitatilor personale sau cele de acasa, regulamentul nu se aplica acestora. De exemplu, se considera activitate personala sau de acasa, schimbul de emailuri, stocare de adrese, si schimbul de date a retelelor sociale, activitati online. Dar deja pe o administrare de date trebuie sa se aplice reglementarea GDPR
Ce sunt datele personale?
Date cu caracter personal – orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale
Specificatii juridice si informatice
Unul dintre principiile de baza a GDPR este dovada conformitatii, a trasabilitatii si a verificabilitatii. Cea ce inseamna ca persoana care detine si/sau exploteaza platforma, in calitate de administrator de date (operator) nu e de ajuns sa fiti in concordanta cu reglementarile, ci trebuie sa le si POATA dovedi. Pe de alta parte, trebuie dovedit ca este de ex. responsabilitatea furnizorului de servicii de gazduire a platformei online, a programului de facturarea sau celui care trimite newslettere, etc. Administratorul de date (operator) a fost si inainte, si este responsbil si dupa aparitia GDPR. Din aceasta rezulta ca nu doar conditiile de prelucrare a datelor cu caracter personal trebuie sa fie in concordanta cu GDPR, ci si operatiunile informatice si organizatorice sa fie in concordanta cu GDPR.
Cine este administratorul de date (operatorul) in activitatile de baza ale unei platforme online
Compania care administreaza platforma online sau antreprenorul individual, adica o persoana fizica sau juridica care determina scopurile si mijloacele de prelucrare a datelor cu caracter personal sau in comun cu alte persoane.
Cine este procesatorul de date in activitatile unuunei platforme online?
In cazul pltforme online, procesator de date este acea persoana care prelucreaza date personale conform cerintei administratorului platformei de exemplu furnizorul de hosting (aici se stocheaza datele personale), Curieratul (primeste numele si adresa destinatarului, furnizorii de servicii newsletter (primesc accees la adresele de mail etc.). Conform GDPR procesator de date este fiecare persoana juridica, fizica, autoritate publica, agentie sau orice alt organism care gestioneaza datele cu caracter personal in numele administratorului de date(operatorului).
Obligatiile platformelor online in legatura cu GDPR
Platforma online este obligat sa informeze in prealabil despre prelucrarea datelor cu caracter personal. La cererea persoanei in cauza operatorul este obligat ca sa informeze daca sunt date personale folosite si prelucrate legate de acesta, daca da care este scopul acestora, care sunt categoriile datelor prelucrate, cine sunt destinatarii datelor. Daca persoana in cauza cere aplicarea dreptului de stergere sau cel de fi uitat, atunci magazinul online are obligatia de a face acest lucru. Daca a avut loc un incident de confidentialitate, pltformei online trebuie sa raporteze autoritatii de supraveghere in termen de 72 de ore de la primirea acestor informatii si sa pastreze o evidenta a incidentelor de confidentialitate. Daca incidentul reprezinta un risc ridicat asupra drepturilor si libertatii persoanei fizice, operatorul de date are obligatia sa informeze fara intarziere pe aceasta. Totodata trebuie sa tina o evidenta despre prelucrarea datelor care nu sunt ocazionale.
De ce sa modificati declaratia de prelucrarea datelor cu caracter personal?
Persoana in cauza trebuie instiintata despre fiecare detaliu legat de prelucrarea datelor acestuia, in special cu privire la scopul si temeiul juridic al prelucrarii datelor, asupra dreptului operatorului si prelucratorilor datelor, durata prelucrarii si informatii cine are acces la acestea. Modificarile GDPR se refera in special la drepturile persoanelor vizate: dreptul de a fi uitat si dreptul de a porta datele respective. Si despre acestea trebuie instiintate cei in cauza. Daca participa si un responsabil cu protectia datelor, numele si adresa acestuia trebuie indicate.
Exemple specifice - Trimitere Newsletter
Daca cineva se aboneaza la newsletter in platforma online, atunci trebuie sa fie asigurate conditiile tehnice si legale:
- Este nevoie de o informare a prelucrarii datelor cu caracter personal, care are continut care este conform cerintelor GDPR si care informeaza persoana respectiva la scopul, temeiul juridic, care dintre datele lui o sa fie folosite, ce drepturi are. Aceasta fiind obligatia administratorului pltformei sa o puna la dispozitie
- Informarea trebuie sa fie afisata pe pltforma. chiar inainte de abonare la newsletter, iar persoana in cauza trebuie sa accepte. Aceasta se poate face cu un link catre "Prelucrarea datelor cu caracter personal" si cu un checkbox care nu e bifat. Responsabilitatea SDG Tech este ca checkbox-ul sa fie activabil pe frontend si ca sa asigure posibilitatea sa bifarii, debifrii.
- Mai tarziu daca persoana se dezaboneaza de la newsletter ea va fi stersa din lista abonatilor si poate solicita dovedirea ca stergerea sa intamplat.
Ce trebuie facut?
Pregatirea implica un numar de procese construite unul pe celalalt, urmand pasii urmatori:
- Cazurile de prelucrare a datelor trebuie evaluate (cand, de ce, etc.)
- Aceste prelucrari de date trebuie sa apara si intr-un registru
- Este necesar sa se determine ce si cum trebuie modificat legat de operarea datelor (procesul si pe site) pe baza GDPR
- Trebuie create regulile necesare interne si externe
- Daca este necesar, trebuie numit responsabilul cu protectia datelor
- Trebuie introdus noul proces de operare a datelor
- Practica conform GDPR trebuie mentinuta.
Evaluarea cazurilor de tratare a datelor
Practic aceste campuri de input intra in considerare:
- Instalare de cookie-uri functionale si/sau de marketing la vizitarea paginii (inregistrare adresa IP)
- Inregistrare, comanda, abonare newsletter
- Contact(formular sau email), orice popup marketing unde se colecteaza date personale(de ex pentru introducerea adresei de email -> cod cupon, etc.)
- jocuri cu premii
- solicitari de garantie, tratare reclamatii privind protectia consumatorilor
In plus fata de cele enumerate mai sus, pot fi mult mai multe scopuri de operare a datelor, dar cele enumerate acopera functionarea unei platforme online. Fiecare tip de operare de date este inregistrate intr-un registru, care contine Baza juridica, scopul, durata, si care date sunt gestionate (nume, cnp, etc.) aferent la fiecare tip de operare.
Ce fel de procesari de date efectuam in platforma online
- Instalare de cookie-uri functionale si/sau de marketing la vizitarea paginii (inregistrare adresa IP)
- Prelucrari de date pentru a contracta si pentru a indeplini contractul: contact, comanda, facturare, livrare, etc.
- Prelucrari de date pt scopuri de marketing: aceasta include si trimiterea de newsletter, remarketing, jocurile cu premii, etc.
Care este baza legala a operarii datelor in platforma online
Schimarea importanta in GDPR este, ca se schimba baza legala a operarii datelor. Un magazin online, tipic efectua operarea datelor doar cu acordul persoanei in cauza, aceasta se schimba partial, fiindca executarea contractului este deja considerat o baza legala de operare a datelor. De exemplu datele operate la implinirea comenzii sau la livrare. Operarea datelor cu privire la marketing raman neschimbate adica necesita acordul persoanei acarei date dorim sa le prelucram. Raman totodata importante datele operate conform legii (tratarea reclamatiilor consumatorilor, tratarea reclamatiilor, facturarea.)
Remarketing Google si Facebook
Remarketingul nu este inca clar si este dificil de declarat cine este operatorul de date, administratorul pltformei online sau de ex Google. Ceea ce putem preciza este, daca un administrator nu foloseste cookie-uri pentru identificare, atunci operarea datelor personale nu va fi realizata. Dar daca persoana afectata se poate identifica prin cookie-urile folosite, atunci activitatea de remarketing devine o operare de date personale, si este necesar sa pastreze fereastra de acceptare cookie-uri.
Ce este crearea de profiluri?
„orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia”. Crearea de profil la un magazine online se poate crea automat in doua feluri. Pe deoparte la crearea contului la o comanda predata, sau cu datele stranse cu ajutorul cookie-urilor. Daca pe aceste date creeam automat prelucrare de date, acestea trebuie sa fie conform cu reglementarea GDPR si e obligatoriu ca persoanele a caror date sunt prelucrate sa aiba dreptul si posibilitatea ca sa decida pe deasupra crearii de profil si decizia bazata pe aceasta. De exemplu daca pe baza comenzilor anterioare dorim sa oferim un cupon la client, aceasta o sa fie o decizie bazata pe crearea de profil. In cazul lui google de exemplu care ne arata produse bazate pe baza cautarilor noastre anterioare, nu este luata o decizie clara, dar practicile juridice o sa decida in aceste cazuri.
Drepturile persoanelor afectate
Modificarile din GDPR se refera in special la drepturile persoanelor vizate: A aparut dreptul de a fi uitat, si dreptul de a porta datele personale, si persoanele afectate trebuie sa fie informate. In politica de confidentialitate trebuie trecut ca un nou element, ca datele introduse sunt necesare pentru indeplinirea contractului, informare despre crearea de profil, si ca acordul oricand se poate revoca.
- dreptul de revocare
- accesul la datele personale si informatii legate de prelucrarea datelor cu caracter personal
- dreptul de corectare
- limitarea operarii datelor
- dreptul la stergere
- dreptul de a protesta
- dreptul de portabilitate
Setari functionalitati in platforma www.sdg-shop.ro:
a. Functionalitati folosibilie fara a accepta cookie-uri (bifare/debifare):
|
b. Cookie-uri necesare pentru functionare:
|
Link-uri utile