Personalul din administrativ poate fi DPO?
Ofiterul DPO nu poate detine o pozitie in cadrul organizatiei, prin care poate sa stabileasca scopurile si mijloacele de prelucrare a datelor cu caracter personal. GDPR cere ca Responsabilii cu Protectia Datelor sa isi desfasoare sarcinile in mod independent, astfel incat sa nu se afle in conflict de interese intre pozitia din companie si atributiile de DPO.
Pe ce perioada este valabil dosarul intocmit de catre DPO? Cat de des se actualizeaza acest dosar?
GDPR nu specifica frecventa actualizarii, insa trebuie luate masuri rezonabile pentru a Organizatia sa fie, in mod continuu, in conformitate cu GDPR. GDPR nu specifica frecventa actualizarii, insa trebuie luate masuri rezonabile pentru a Organizatia sa fie, in mod continuu, in conformitate cu GDPR.
Daca am un website/blog si colectez e-mailurile abonatilor la newsletter, intra in zona GDPR?
Deoarece colecteaza mailurile abonatilor, atunci intra in zona de GDPR, deoarece prelucreaza date cu caracter personal. Conform Art.4.(1): prelucrare inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
Nu trebuie sa colectati si sa procesati datele cu caracter personal fara consimtamantul persoanei. De asemenea, trebuie sa informati persoana cu privire la scopurile si modalitatile in care veti prelucra datele cu caracter personal.
Daca afisez un pop-up sau notificare cu ce cookie salvez si daca este de acord mai este nevoie sa-l pun sa accepte acesti termeni si conditii pe pagina de checkout sau pe pagina de contact? Adica este necesara bifa de acceptare DPO pentru fiecare formular in parte, fie el de comanda sau de contact?
Daca intrebarea se refera la preluarea consimtamantului, atunci trebuie sa se preia consimtamantul utilizatorului cu privire la datele pe care urmeaza sa le transmita operatorului, o singura data. Insa site-ul trebuie sa il redirectioneze si catre o pagina de Termeni si Conditii, pentru a-l informa despre scopurile si modalitatile de prelucrare a datelor sale cu caracter personal colectate.
Periodic trimitem newslettere in care ne promovam publicatiile/serviciile (gratuite), informatii de actualitate. Folosim MailChimp si anumite adrese de mail au fost adaugate din alte surse, nefiind furnizate de catre posesorii lor. Cum procedam in acest caz?
Daca urmeaza sa contactati persoane, ale caror date nu le-ati primit in mod direct de la acestia, atunci, la momentul primului contact/mail, trebuie sa informati persoana respectiva despre sursa din care aveti datele cu sale cu caracter personal, scopurile pentru care le veti prelucra, durata pentru care le veti colecta, potentialii destinatari catre care veti trimite datele, conform cerintelor Art.14. Persoanele vizate trebuie informate, conform Art.14. De asemenea, trebuie sa aveti in vedere si posibilitatea ca persoana vizata sa isi exercite dreptul la opozitie. In acest caz, trebuie sa incetati prelucarea datelor sale cu caracter personal. Art.21.(3): In cazul in care persoana vizata se opune prelucrarii in scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate in acest scop.
Datele necesare facturarii sau incheierii unui contract intra sub incidenta GDPR?
Daca in procesul de facturare exista date cu caracter personal, da, datele intra sub incidenta GDPR.
Art.6.Legalitatea prelucrarii: (1)Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: b)prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract; c)prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului.
Pentru un magazin online inchiriat de o platforma, GDPR-ul va fi asigurat de furnizorul platformei?
Responsabilitatea indeplinirii cerintelor GDPR este a dvs. in calitate de operator si colector al datelor cu caracter personal. In acest caz, Furnizorul va fi doar o persoana imputernicita care va ofera un serviciu si cu care veti trebui sa actualizati contractul conform GDPR.
Reprezint o agentie de marketing online cu focus pe PPC (promovare online). As vrea sa va intreb ce obligatii avem cu aceasta reglementare.
Daca colectati datele cu caracter personal direct de la persoane fizice (ex: aveti nevoie de mail si nume.prenume pentru a le trimite newsletters sau pentru a se inscrie la un concurs sau pentru a-i contacta in scop de vanzare) atunci trebuie sa le colectati consimtamantul cu privire la prelucrarea datelor cu caracter personal (si sa demonstrati ulterior ca ati colectat acest consimtamant). De asemenea, trebuie sa informati persoanele cu privire la ce date colectati, in ce scop si cum intentionati sa le prelucrati (conf.Art.13). Daca obtineti datele personale de la alti colaboratori, atunci trebuie sa informati persoanele (la momentul primului contact) despre sursa din care ati obtinut datele si scopurile pentru care le colectati si prelucrati (conf.Art.14). Trebuie sa asigurati dreptul de access, opozitie, stergere, rectificare a datelor catre persoanele ale caror date le-ati colectat. Trebuie sa aveti masuri tehnice de securitate implementate pentru a asigura securitatea datelor cu caracter personal (criptarea bazelor de date, antivirus activ, firewall, controale de access logic in aplicatiile IT utilizate).
Site-ul nostru este un site de prezentare, cu preturi la vedere, dar nu functionam ca magazin online. In schimb periodic trimitem ofertele noastre pe e-mail, in principal catre persoane juridice. In acest caz ce obligatii avem cu noua reglementare? Cum ar trebui sa procedam?
GDPR se aplica pentru protectia datelor personale ale persoanelor fizice. Daca interactionati DOAR cu persoane juridice, atunci aceasta prelucrare nu intra sub incidenta GDPR.
Cum influenteaza GDPR segmentarea in zone de email marketing?
In cazul in care datele cu caracter personal sunt prelucrate in scopuri de marketing direct, persoana vizata ar trebui sa aiba dreptul de a se opune unei astfel de prelucrari, inclusiv crearii de profiluri in masura in care aceasta are legatura cu marketingul direct, indiferent daca prelucrarea in cauza este cea initiala sau una ulterioara, in orice moment si in mod gratuit. Acest drept ar trebui adus in mod explicit in atentia persoanei vizate si prezentat in mod clar si separat de orice alte informatii.
Exista noi cerinte, odata cu GDPR, legate de trimiterea de email-uri comerciale pe baze segmentate?
Prelucrarea datelor cu caracter personal in scopuri statistice ar trebui sa faca obiectul unor garantii adecvate pentru drepturile si libertatile persoanei vizate.Respectivele garantii ar trebui sa asigure faptul ca au fost instituite masuri tehnice si organizatorice necesare pentru a se asigura, in special, principiul reducerii la minimum a datelor. De asemenea, trebuie respectat dreptul la opozitie, al persoanei vizate, atunci cand aceasta doreste sa se opuna prelucrarii datelor sale cu caracter personal, in scopuri de marketing direct.
Cum se procedeaza cu raspunderea pe care o au terti procesatori de date, gen mailchimp, in care se colecteaza adrese de email?
Relatia cu persoanele imputernicite de Operator trebuie reglementata printr-un contact (conf.Art.28), prin care sa se stipuleze obligatia persoanelor imputernicite de a se conforma cerintelor GDPR, de a prelucra datele personale doar conform instructiunilor Operatorului si de a asigura masuri tehnice adecvate pentru protectia datelor cu caracter personal, pe care le au in custodie.
Pentru a contacta clientul telefonic in vederea confirmarii comenzii de exemplu, este nevoie sa cerem acordul acestuia printr-o bifa separata in formularul de comanda?
Da, este necesar sa se obtina consimtamantul persoanei inainte de a-i colecta si prelucra datele cu caracter personal.
Faptul ca un client isi creaza cont pentru a finaliza o comanda, nu reprezinta implicit acordul acestuia/acesteia pentru stocarea si utilizarea datelor personale, pe viitor? Ma refer la faptul ca vor fi utilizate la crearea facturii, proformei, etc?
Acordul implicit nu mai este persmis de GDPR. Trebuie obtinut consimtamantul intr-o forma liber exprimabila de catre persoana vizata. In cazul dvs, trebuie implementata o bifa privind exprimarea consimtamantului pentru prelucrarea datelor sale cu caracter personal, inainte ca persoana sa-si creeze cont. Nu este permis consimtamantul implicit, ci trebuie liber exprimat de persoana vizata.
Aceste acorduri nu se pot cere la cosul de cumparaturi?
Consimtamantul persoanei, privind prelucrarea datelor sale cu caracter personal, trebuie colectat in momentul in care ii solicitati datele pentru un anumit scop de prelucrare. Inainte ca persoana sa furnizeze datele, trebuie sa fie informata asupra scopurilor prelucrarii si sa i se colecteze consimtamantul, intr-o forma demonstrabila ulterior.
Cine este in masura sa controleze conformitatea GDPR si in ce conditi?
ANSPCP este autoritatea nationala cu competente in domeniul verificarii conformitatii cu cerintele GDPR.
Deoarece peste 600 de companii folosesc platforma de eCommerce ContentSpeed, ne-am asumat responsabilitatea implementarii modificarilor impuse de GDPR din puncte de vedere al conformitatii tehnice.
Pentru clientii platformei ContentSpeed care au serviciile de update active, solutie inchiriata sau licente cu abonamente de mentenanta activa, vom oferi upgrade-ule GDPR compliance GRATUIT.