Ce trebuie s─â implementezi pe site pentru a fi GDPR compliant

Introducere

Regulamentul privind confiden╚Ťialitatea ╚Öi comunica╚Ťiile electronice (PECR) se situeaz─â al─âturi de┬á GDPR ╚Öi ofer─â persoanelor vizate drepturi in ceea ce prive╚Öte prelucrarea datelor cu caracter personal ├«n ceea ce prive╚Öte comunica╚Ťiile electronice.

Astfel, sunt definite reguli specifice privind:

  • apeluri de marketing, e-mailuri, texte ╚Öi faxuri;
  • cookie-uri (╚Öi tehnologii similare);
  • men╚Ťinerea securit─â╚Ťii serviciilor de comunica╚Ťii;
  • confiden╚Ťialitatea ├«n ceea ce prive╚Öte datele despre trafic ╚Öi loca╚Ťie, facturarea detaliat─â, identificarea liniei ╚Öi listele de directoare.

Ce sunt datele cu caracter personal?

Orice fel de informa╚Ťii prin care o persoana vizata este identificata sau identificabil─â, iar pentru mediul virtual acestea pot fi:

  • Identificarea loca╚Ťiei
  • Adresa IP, adresa MAC, device ID
  • Tranzac╚Ťiile online

 

Ce drepturi au persoanele vizate?

  • Informare (dreptul de a cunoa╚Öte cum vor fi utilizate informa╚Ťiile oferite)
  • Acces (ofer─â dreptul utilizatorilor de a-╚Öi accesa datele ╚Öi s─â le poat─â lua cu ei)
  • Rectificare
  • ╚śtergerea datelor (ofer─â-le posibilitatea de a putea ╚Öterge datele introduse)
  • Restric╚Ťii sau procesare
  • Date portabile
  • Obiec╚Ťii
  • Revizie asupra deciziilor automatizate sau de profil

Ai un site? Iat─â la ce ├«ntreb─âri trebuie s─â r─âspunzi ca s─â respec╚Ťi GDPR

  • Ave╚Ťi publicat─â o politic─â de confiden╚Ťialitate?
  • Exista o procedur─â de ob╚Ťinere a consim╚Ť─âm├óntului pentru utilizarea cookies? Exist─â o procedur─â pentru retragerea consim╚Ť─âm├óntului pentru utilizarea cookies, transparent─â ╚Öi pus─â la dispozi╚Ťia persoanei vizate? Exist─â o politic─â de cookies?
  • Ave╚Ťi un acord privind prelucrarea datelor cu furnizorul de servicii de web hosting?
  • Site-ul de╚Ťine un cetificat de securitate ( SSL ) ?
  • Utiliza╚Ťi pseudonimizarea sau criptarea pentru protec╚Ťia datelor personale? Cum?
  • Cum asigura╚Ťi confiden╚Ťialitatea,integritatea si disponibilitatea continu─â a sistemelor ╚Öi serviciilor de procesare?
  • Descrie╚Ťi capacitatea dvs. de a restabili disponibilitatea ╚Öi accesul la datele cu caracter personal ├«n timp util, ├«n cazul unui incident fizic sau tehnic.
  • Cum ╚Öi de c├óte ori testati ╚Öi evalua╚Ťi eficacitatea m─âsurilor tehnice ╚Öi organizatorice pentru a asigura securitatea prelucr─ârii?
  • Ave╚Ťi implementat un protocol de gestionare a riscurilor?
  • Efectua╚Ťi evalu─âri anuale ale riscurilor?
  • Cum se stocheaz─â datele?
  • Daca folosi╚Ťi baze de date, aceastea sunt criptate?
  • Unde sunt stocate?
  • Persoana ├«mputernicit─â – ( Providerul de servicii de webhosting, Agentia de marketing, Dezvoltatorul websitului) indepline╚Öte obligatiile legale privind articolul 32 – Masuri de securitate? Dar articolul 28? Verificati mai jos prevederile articolului 28, privind Persoana Imputernicita si obligatiile acesteia
  • Cine ╚Öi cum are acces la datele de pe server?

Model valid pentru ob╚Ťinerea consim╚Ť─âm├óntului

Ai nevoie de ajutor pentru implementarea cerin╚Ťelor GDPR pe situl tau? Stabile╚Öte o intalnire online

 

Art. 28: Persoana împuternicită de operator

(1)├Än cazul ├«n care prelucrarea urmeaz─â s─â fie realizat─â ├«n numele unui operator, operatorul recurge doar la persoane ├«mputernicite care ofer─â garan┼úii suficiente pentru punerea ├«n aplicare a unor m─âsuri tehnice ┼či organizatorice adecvate, astfel ├«nc├ót prelucrarea s─â respecte cerin┼úele prev─âzute ├«n prezentul regulament ┼či s─â asigure protec┼úia drepturilor persoanei vizate.

(2)Persoana ├«mputernicit─â de operator nu recruteaz─â o alt─â persoan─â ├«mputernicit─â de operator f─âr─â a primi ├«n prealabil o autoriza┼úie scris─â, specific─â sau general─â, din partea operatorului. ├Än cazul unei autoriza┼úii generale scrise, persoana ├«mputernicit─â de operator informeaz─â operatorul cu privire la orice modific─âri preconizate privind ad─âugarea sau ├«nlocuirea altor persoane ├«mputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiec┼úii fa┼ú─â de aceste modific─âri. (3)Prelucrarea de c─âtre o persoan─â ├«mputernicit─â de un operator este reglementat─â printr-un contract sau alt act juridic ├«n temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana ├«mputernicit─â de operator ├«n raport cu operatorul ┼či care stabile┼čte obiectul ┼či durata prelucr─ârii, natura ┼či scopul prelucr─ârii, tipul de date cu caracter personal ┼či categoriile de persoane vizate ┼či obliga┼úiile ┼či drepturile operatorului. Respectivul contract sau act juridic prevede ├«n special c─â persoan─â ├«mputernicit─â de operator:

a)prelucreaz─â datele cu caracter personal numai pe baza unor instruc┼úiuni documentate din partea operatorului, inclusiv ├«n ceea ce prive┼čte transferurile de date cu caracter personal c─âtre o ┼úar─â ter┼ú─â sau o organiza┼úie interna┼úional─â, cu excep┼úia cazului ├«n care aceast─â obliga┼úie ├«i revine persoanei ├«mputernicite ├«n temeiul dreptului Uniunii sau al dreptului intern care i se aplic─â; ├«n acest caz, notific─â aceast─â obliga┼úie juridic─â operatorului ├«nainte de prelucrare, cu excep┼úia cazului ├«n care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;

b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;

c)adoptă toate măsurile necesare în conformitate cu articolul 32;

d)respect─â condi┼úiile men┼úionate la alineatele (2) ┼či (4) privind recrutarea unei alte persoane ├«mputernicite de operator;

e)┼úin├ónd seama de natura prelucr─ârii, ofer─â asisten┼ú─â operatorului prin m─âsuri tehnice ┼či organizatorice adecvate, ├«n m─âsura ├«n care acest lucru este posibil, pentru ├«ndeplinirea obliga┼úiei operatorului de a r─âspunde cererilor privind exercitarea de c─âtre persoana vizat─â a drepturilor prev─âzute ├«n capitolul III;

f)ajut─â operatorul s─â asigure respectarea obliga┼úiilor prev─âzute la articolele 32-36, ┼úin├ónd seama de caracterul prelucr─ârii ┼či informa┼úiile aflate la dispozi┼úia persoanei ├«mputernicite de operator;

g)la alegerea operatorului, ┼čterge sau returneaz─â operatorului toate datele cu caracter personal dup─â ├«ncetarea furniz─ârii serviciilor legate de prelucrare ┼či elimin─â copiile existente, cu excep┼úia cazului ├«n care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

h)pune la dispozi┼úia operatorului toate informa┼úiile necesare pentru a demonstra respectarea obliga┼úiilor prev─âzute la prezentul articol, permite desf─â┼čurarea auditurilor, inclusiv a inspec┼úiilor, efectuate de operator sau alt auditor mandatat ┼či contribuie la acestea. ├Än ceea ce prive┼čte primul paragraf litera (h), persoana ├«mputernicit─â de operator informeaz─â imediat operatorul ├«n cazul ├«n care, ├«n opinia sa, o instruc┼úiune ├«ncalc─â prezentul regulament sau alte dispozi┼úii din dreptul intern sau din dreptul Uniunii referitoare la protec┼úia datelor.

(4)├Än cazul ├«n care o persoan─â ├«mputernicit─â de un operator recruteaz─â o alt─â persoan─â ├«mputernicit─â pentru efectuarea de activit─â┼úi de prelucrare specifice ├«n numele operatorului, acelea┼či obliga┼úii privind protec┼úia datelor prev─âzute ├«n contractul sau ├«n alt act juridic ├«ncheiat ├«ntre operator ┼či persoana ├«mputernicit─â de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane ├«mputernicite, prin intermediul unui contract sau al unui alt act juridic, ├«n temeiul dreptului Uniunii sau al dreptului intern, ├«n special furnizarea de garan┼úii suficiente pentru punerea ├«n aplicare a unor m─âsuri tehnice ┼či organizatorice adecvate, astfel ├«nc├ót prelucrarea s─â ├«ndeplineasc─â cerin┼úele prezentului regulament. ├Än cazul ├«n care aceast─â a doua persoan─â ├«mputernicit─â nu ├«┼či respect─â obliga┼úiile privind protec┼úia datelor, persoana ├«mputernicit─â ini┼úial─â r─âm├óne pe deplin r─âspunz─âtoare fa┼ú─â de operator ├«n ceea ce prive┼čte ├«ndeplinirea obliga┼úiilor acestei a doua persoane ├«mputernicite.

(5)Aderarea persoanei ├«mputernicite de operator la un cod de conduit─â aprobat, men┼úionat la articolul 40, sau la un mecanism de certificare aprobat, men┼úionat la articolul 42, poate fi utilizat─â ca element prin care s─â se demonstreze existen┼úa garan┼úiilor suficiente men┼úionate la alineatele (1) ┼či (4) din prezentul articol.

(6)F─âr─â a aduce atingere unui contract individual ├«ncheiat ├«ntre operator ┼či persoana ├«mputernicit─â de operator, contractul sau cel─âlalt act juridic men┼úionat la alineatele (3) ┼či (4) din prezentul articol se poate baza, integral sau par┼úial, pe clauze contractuale standard men┼úionate la alineatele (7) ┼či (8) din prezentul articol, inclusiv atunci c├ónd fac parte dintr-o certificare acordat─â operatorului sau persoanei ├«mputernicite de operator ├«n temeiul articolelor 42 ┼či 43.

(7)Comisia poate s─â prevad─â clauze contractuale standard pentru aspectele men┼úionate la alineatele (3) ┼či (4) din prezentul articol ┼či ├«n conformitate cu procedura de examinare men┼úionat─â la articolul 93 alineatul (2).

(8)O autoritate de supraveghere poate s─â adopte clauze contractuale standard pentru aspectele men┼úionate la alineatele (3) ┼či (4) din prezentul articol ┼či ├«n conformitate cu mecanismul pentru asigurarea coeren┼úei men┼úionat la articolul 63. (9)Contractul sau cel─âlalt act juridic men┼úionat la alineatele (3) ┼či (4) se formuleaz─â ├«n scris, inclusiv ├«n format electronic.

(10)F─âr─â a aduce atingere articolelor 82, 83 ┼či 84, ├«n cazul ├«n care o persoan─â ├«mputernicit─â de operator ├«nc─âlc─â prezentul regulament, prin stabilirea scopurilor ┼či mijloacelor de prelucrare a datelor cu caracter personal, persoana ├«mputernicit─â de operator este considerat─â a fi un operator ├«n ceea ce prive┼čte prelucrarea respectiv─â.