G.D.P.R. și magazinele online

Studiu de caz: G.D.P.R. și magazinele online

Odată cu apariţia Regulamentului UE 2016/679, comercianţilor care au o afacere în mediul online le revine o serie de noi obligaţii privind prelucrarea datelor personale ale clienţilor.

Această responsabilitate a magazinelor online este mult mai extinsă decât în legea 677/2001, care va fi aborgată de Noul Regulament.

Una dintre cele mai importante modificări vizează chiar transparenţa relaţiei dintre magazinul online şi client,  întrucât comerciantul trebuie să ofere clienţilor toate informaţiile legate de securitatea datelor sale personale.

Prin urmare, securitatea datelor presupune adoptarea unor măsuri tehnice şi organizatorice noi.

De exemplu, pentru platforme şi aplicaţii sunt obligatorii două noi principii şi anume Privacy by design & by default, ambele necesitând introducerea la nivelul platformei folosite a unor măsuri tehnice care să demonstreze că datele utilizatorului sunt protejate la cel mai înalt nivel şi că se prelucrează doar datelele necesare scopului specific (pentru facturare, de exemplu, prelucrarea C.N.P.-ului nu este justificată, întrucât din punct de vedere legal această dată nu este necesară pentru emiterea facturii).

Am făcut o analiză a celor mai mari magazine online din România pentru a vedea cum au implementat până la acest moment prevederile Regulamentului.

Ambele platforme au prevăzut în documentele legale faptul că, odată transmise datele personale, persoanele vizate îşi dau acordul ca magazinul online să transmită în mod automat şi terţilor parteneri aceste date.

O astfel prevedere nu îndeplineşte condiţia privind prelucrarea legală bazată pe consimţământul utilizatorului. 

Alte platforme de comerţ electronic vorbesc despre accesul nerestricţionat şi irevocabil la datele personale, precum şi despre dreptul de a utiliza, reproduce, afişa, modifica, transmite sau distribui aceste informaţii.

Prin prisma Regulamentului, acest acord expres integrat într-un document ce prevede multe alte chestiuni, printre care şi sintagma “Acces nerestricţionat şi irevocabil”, este în contradicţie cu unul dintre principiile care guvernează protecţia datelor.

Mai mult decât atât, chiar şi acest transfer de date trebuie să îndeplinescă condiţia prelucrării legale.

Ce se întâmplă dacă prelucrezi date fără consimţământul persoanei vizate?

În lipsa consimțământului persoanei vizate şi fără informarea acesteia cu privire la scopul pentru care sunt transmise datele către terţi, comerciantul efectuează o prelucrare a datelor nelegală şi este expus la plata amenzilor, iar în cel mai rău caz i se poate interzice să prelucreze date personale.

Cum dovedeşti securizarea datelor clienţilor tăi?

În privinţa securităţii datelor, marile magazine online din România se rezumă doar la a informa despre confidenţialitatea datelor colectate. Regulamentul, însă, vorbeşte şi despre acele garanţii care să dovedească în mod practic măsurile luate.

Niciunul din magazinele online analizate de noi, la momentul actual, nu face referire pe site-ul său la politica aplicabilă în cazul unei breşe de date. Una dintre cele mai aspre sancţiuni din Noul Regulament se aplică tocmai pentru lipsa acestui aspect.

Dacă şi tu ai un magazin online şi vrei să afli mai multe despre măsurile pe care trebuie să le iei pentru a fi conform cu G.D.P.R, ne poţi contacta

Cristiana Deca,

Specialist în protecția datelor personale

Contactează-ne

 

Leave a Reply