Dacă ești antreprenor cu siguranță ai auzit până acum de GDPR. Iar dacă te gândești să-ți lansezi afacerea în mediul online, subiectul GDPR pentru comerț online ar trebui să fie în aria intereselor tale.

Ce înseamnă GDPR?

Regulamentul general privind protecția datelor (GDPR) este un regulament al Uniunii Europene care a intrat în vigoare la data de 25 mai 2018. Acesta are impact asupra tuturor companiilor care își desfășoară activitatea în interiorul UE, precum și a celor situate în afara teritoriului, dar care lucrează cu clienți persoane fizice din Uniunea Europeană. Implementarea GDPR a fost necesară datorită cantității tot mai mari de date care sunt colectate, transferate, gestionate și utilizate în zilele noastre. 

În momentul de față, legea GDPR a Uniunii Europene reprezintă cel mai robust set de reguli pentru colectarea, manipularea și prelucrarea datelor personale.

Regulamentul din 2018 a venit ca o actualizare a directivei privind protecția datelor din 1995, întrucât cea din urmă avea elemente care nu erau aplicabile erei digitale. Ca urmare, politica GDPR a fost implementată ca înlocuitor pentru a continua protejarea corespunzătoare a datelor cetățenilor Uniunii Europene.

Cine trebuie să respecte regulamentul GDPR?

La bazele legii GDPR se află datele personale prin intermediul cărora o persoană poate fi identificată direct sau indirect – de la numele, locația sau numele de utilizator, până la informații precum adresa IP, cookie-urile colectate sau alte date similare. Orice domeniu, afacere sau entitate care colectează, stochează sau prelucrează (într-un cuvânt „procesează”) astfel de informații de la utilizatorii din Uniunea Europeană pică sub incidența legii regulilor și consecințelor de nerespectare din actuala lege GDPR.

Asta înseamnă că, dacă ai o afacere în eCommerce în Uniunea Europeană, lucrezi cu persoanele din Uniune sau clienții tăi sunt cetățenii acesteia, va trebui să urmezi regulamentul GDPR.

Tipuri de date personale acoperite de GDPR

După cum ai văzut, criteriul de bază pentru acele informații apărate prin GDPR îl reprezintă posibilitatea de identificare a persoanei care le oferă. Ca atare, setul de date personale acoperite de regulament variază de la datele directe (nume, date demografice, locație, etc.), la informații prin care persoana poate fi identificată indirect (numele de utilizator, adresa IP, datele colectate din cookie-uri sau alte date pseudonimizate).

Și, chiar dacă nu este aplicabil pentru afacerile de eCommerce din România, este important de amintit că legea GDPR, deși este formulată de și pentru Uniunea Europeană, poate acoperi și activitățile altor businessuri și entități din afara acesteia, cât timp procesează date de la cetățeni UE. 

Ce presupune legea GDPR?

Odată cu intrarea în vigoare a acestui regulament, s-au impus o serie de reguli GDPR pe care orice antreprenor trebuie să le respecte. De asemenea, s-au stabilit o serie de consecințe pentru cei care nu respectă regulamentul.

Conform GDPR, organizațiile sunt obligate să respecte colectarea și utilizarea responsabilă a datelor pentru a proteja drepturile și confidențialitatea utilizatorilor. 

Cele 7 principii de bază din regulamentul GDPR

Există 7 principii de bază în GDPR prezentate în Articolul 5 al legii, pe care trebuie să le respecți dacă te pregătești să-ți lansezi o afacere online în eCommerce sau au deja una. După cum o să vezi, aceste principii nu au calitatea unor reguli stricte, ci mai degrabă oferă un cadru de aplicabilitate, care trebuie urmat de orice organizație care procesează datele cetățenilor UE:

1. Legalitate, corectitudine și transparență

Acest principiu afirmă că orice date pe care le colectezi de la utilizatorii tăi trebuie să respecte cerințele GDPR. Corectitudinea și transparența se referă la utilizarea datelor și vizibilitatea acestei utilizări. Adică, fiecare om trebuie să știe la ce îi sunt folosite datele colectate online sau offline în afacerea ta.

2. Limitarea scopului

Prelucrarea datelor trebuie să fie „specificată, explicită și legitimă”, ceea ce înseamnă că utilizarea datelor colectate dincolo de scopul specificat este considerată încălcare a politicii. Mai simplu spus, dacă utilizatorul este de acord să îți ofere e-mailul său pentru a primi buletine informative, acea adresă de email nu ar trebui folosită în alt mod.

3. Minimizarea datelor

Conform principiului minimizării datelor, datele colectate trebuie menținute la un nivel minim și trebuie să colectezi numai ceea ce este necesar. Mai precis, datele colectate trebuie să fie „în raport cu scopurile pentru care sunt procesate”. Dacă solicitați mai multe date decât cele necesare în acest scop este posibil ca această acțiune să fie considerată a fi o încălcare a regulilor GDPR.

4. Acuratețe

Aici „acuratețea” înseamnă să ai datele actualizate și să depui eforturi pentru a te asigura că acestea sunt mereu la zi. Asta înseamnă că ar trebui să revizuiești și să cureți bazele de date în mod regulat. Datele considerate „inexacte” trebuie eliminate imediat – conform politicii acestea fiind „șterse sau rectificate fără întârziere”.

5. Limitarea depozitării

Acest principiu presupune să ștergi orice date de care nu mai ai nevoie, putând păstra astfel de date doar dacă ai motive autentice și legale pentru stocarea acestora (spre exemplu, ți-au fost solicitate de autorități). Dacă decizi să stochezi date trebuie să determini pentru cât timp vor fi stocate și scopul acestora (GDPR nu menționează în mod explicit pentru cât timp ar trebui păstrate datele cu caracter personal).

6. Integritate și confidențialitate (securitate)

Principiul „Integritate și confidențialitate” își propune să protejeze datele colectate. Conform acestui principiu, trebuie să ai o serie de măsuri de securitate „tehnice sau organizaționale” adecvate pentru a preveni furtul și pierderea datelor – fie ele interne sau externe.

7. Responsabilitatea

Principiul final GDPR este modalitatea guvernului UE de a se asigura că respecți GDPR. Se specifică faptul că trebuie să poți demonstra oricând pașii efectuați pentru a fi conform. Asta înseamnă să ai înregistrări clare despre ceea ce s-a făcut atunci când s-a implementat GDPR în afacerea ta.

De asemenea, în unele cazuri este necesar să ai angajat un specialist în protecția datelor, care să se asigure și să examineze datele în mod regulat și, în general, să vadă dacă și cum este respectat regulamentul GDPR. Acestea sunt principalele reguli pe care GDPR le impune.

Pentru ca afacerea ta online să aibă statutul de ecommerce GDPR compliance 100% corect trebuie să respecți aceste principii.

Cum poți știi dacă urmezi regulamentul GDPR?

Dacă vrei să faci o verificare rapidă legată de conformarea cu actuala lege GDPR, îți poți pune niște întrebări de bază:

1. Știu ce date colectează afacerea și pentru ce folosesc ei aceste date?
2. Au nevoie de aceste informații pentru acțiunile pe care le desfășor în relația contractuală?
3. Pot solicita modificarea sau ștergerea datelor mele în orice moment?
4. Sunt informat despre drepturile mele ca utilizator?

Dacă răspunsul la oricare dintre întrebări este negativ, atunci afacerea ta nu este conformă cu politicile GDPR. Însă, implicațiile GDPR pentru afaceri nu se opresc aici.

Consecințele nerespectării politicilor GDPR în eCommerce

Nerespectarea GDPR poate duce la amenzi și penalități destul de grave. O încălcare a legislației GDPR în ceea ce privește datele personale atrage după ea o potențială amendă de maximum 20 milioane de euro sau până la 4% din cifra totală de afaceri anuală a unei companii. 

În contextul României, prima amendă pentru încălcarea legislației GDPR a fost impusă pe 27 iunie 2019, de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a fost în valoare de 130,000 de euro, către o instituție bancară. Un exemplu relevant pentru eCommerce este cel al unui comerciant cu amănuntul din Polonia care a fost taxat cu cea mai mare amendă GDPR, aceasta valorând suma de 650.000 euro. Nicio organizație nu a fost ferită de amenzile impuse de legislația GDPR. Compania Meta, spre exemplu, deține recordul pentru cea mai mare amendă pe baza GDPR – 1.2 miliarde de euro, primită pe 22 mai 2023 pentru transferul datelor utilizatorilor din EU/EEA în Statele Unite.

Mai mult, eficiența de pedensire pentru încălcarea legii GDPR a beneficiat de îmbunătățiri majore pe 4 iulie 2023, când Comisia Europeană a adoptat reguli procedurale clare pentru sancționarea companiilor care activează în mai multe state membre.

În cele din urmă, amenzile și sancțiunile atrase de încălcările regulamentului GDPR vor depinde de gravitatea faptei și de numărul persoanelor afectate. Ce rămâne clar este că dacă vei încălca actuala lege GDPR, poți atrage sancțiuni monetare considerabile.

Dacă vrei să te asiguri că afacerea ta este ferită de orice problemă legală, citește ghidul nostru despre legislația în comerțul electronic.

Cum te poți asigura că respecți regulamentul GDPR

Pentru a te asigura că respecți regulamentul european în afacerea ta trebuie să iei în calcul câteva practici folositoare, iar pe baza acestora să formulezi o politică de confidențialitate transparentă, corectă, aplicabilă și mai ales în acord cu GDPR. Aceasta va reprezenta un document disponibil utilizatorilor tăi, prin care le explici cum colectezi și utilizezi datele, ce drepturi au aceștia și ce drepturi îți rezervi tu ca procesator, toate acestea fiind, evident, în conformitate cu regulile din GDPR.

Iată ce va trebui să urmărești pentru conformarea cu regulamentul:

• Cere acordul explicit pentru colectarea, stocarea și prelucrarea datelor. GDPR împuternicește utilizatorii să controleze exact modul în care sunt folosite datele lor. Prin urmare, respectarea GDPR înseamnă că nu poți presupune ceea ce își doresc utilizatorii. Trebuie să ai exact acordul lor, exprimat explicit pentru ceea ce urmează să colectezi, stochezi și utilizezi, din perspectiva datelor personale.

• Colectează doar datele strict necesare. Conform principiului minimizării colectării datelor, trebuie să colectezi strict datele de care ai nevoie pentru a realiza activitatea pentru utilizator. Trebuie să ai grijă mai ales în cazul în care te gândești să îți lansezi afacerea online și să-ți construiești propriul site. Asta, deoarece, pentru a utiliza instrumentele de marketing și pentru a-ți promova afacerea eficient, ai nevoie de programe de analiză comportamentală a utilizatorilor, precum: Facebook Pixel, Google Analytics. Trebuie să vezi ce date specifice colectează aceste instrumente și să ceri acordul utilizatorilor pentru a le colecta aceste date și pentru a le utiliza în scopuri de marketing.

• Fii deschis cu privire la conformitatea GDPR. Opțiunile de renunțare, termenii și condițiile, declarațiile de confidențialitate trebuie să fie clare și vizibile. Dacă ai mărci de încredere certificate, brevete, asigură-te că le expui pe site-ul tău.
• Fii transparent și sincer. Conformitatea GDPR completă poate fi un proces îndelungat, însă dacă ești transparent și sincer, autoritățile de reglementare mai pot trece cu vederea unele încălcări ușoare și chiar te pot ajuta să le înlături.
• Redactează clar și amănunțit politica de confidențialitate. Folosește-te de text pentru a explica fiecare pas, fiecare acțiune și fiecare mod în care respecți GDPR. Creează o pagină de politici GDPR pe site-ul tău și explică acolo modul în care folosești datele colectate și cum le administrezi, așa încât ele să fie în siguranță și clienții tăi să vadă că ești transparent.

Primește asistența necesară pentru respectarea GDPR

Poate că dezvoltarea unei politici de confidențialitate și respectarea normelor legate de datele personale ale clienților pot părea procese foarte serioase și cu consecințe la fel de dure pentru nerespectare.

Dacă ai decis să-ți dezvolți propriul magazin printr-o platformă eCommerce, va trebui să te asiguri că sistemele de procesare sunt în conformitate cu legea europeană sau să optezi pentru soluții dedicate pentru respectarea criteriilor de confidențialitate. În schimb, dacă vei decide să-ți deschizi magazinul pe una dintre platformele marketplace populare din România, majoritatea procesărilor de date se vor face prin intermediul domeniului mamă, iar tu va trebui să respecți doar termenii aplicabili unui vânzător partener.

De asta merită să optezi pentru intrarea în comunitatea de business OLX. Nu numai că vei primi suportul necesar pentru problemele principale care vin cu comerțul online, iar asta nu numai pentru concordanța cu regulile GDPR și politica de confidențialitate, dar și pentru dezvoltarea unei pagini personalizate de comerciant, livrarea și returul (ambele gratuite pentru parteneri), și pentru promovarea prin pachetele de anunțuri și metodele publicitare dedicate. Toate acestea vin și cu un comision de 0% pe vânzări.

Începe să vinzi pe OLX și dezvoltă-ți afacerea sigur și eficient!