Implementarea noilor prevederi GDPR va fi, într-adevăr, o provocare. Dar nu-ți face probleme! După ce te asiguri că procesul este implementat cum trebuie, te vei putea bucura de avantaje de imagine în fața clienților tăi.

Cererea frecventă a consimțământului lor și informarea la orice schimbare nu trebuie să fie sufocantă sau generatoare de neîncredere, dimpotrivă. Cu un mesaj de branding potrivit, utilizatorii tăi vor vedea că spre deosebire de alte magazine online, tu depui toate eforturile pentru protecția lor. Imaginea ta va avea numai de câștigat!

Iata ce trebuie sa faci ca sa indeplinesti cerintele GDPR:

1. Adaptează paginile de „conditii legale” ale magazinului online

Verifică paginile de „conditii legale” ale magazinului tău și adu-le la o nouă formă. La final ar trebui să ai:

– O pagină de Termeni și condiții
– O pagină legată de Protecția datelor cu caracter personal
– O pagină legată de Politica utilizării cookies (opțional).

Până recent, majoritatea magazinelor online aveau pe site doar primele două pagini, iar cea privind datele cu caracter personal era deseori numită Politica de confidențialitate. Pentru mai multă transparență, este bine să numești pagina direct Protecția datelor cu caracter personal, sau Politica de protecție a datelor cu caracter personal.

De asemenea, tot privind transparența, e bine să reții că textul directivei GDPR menționează clar că aceste pagini trebuie să conțină informații simplu de înțeles, formulate pentru utilizatorul obișnuit. Cu alte cuvinte, s-a terminat cu paginile de termeni și condiții generate semi-automat, în jargon legal, pe care aproape nimeni nu le parcurgea cu atenție.

În aceste pagini, și mai ales în pagina legată de protecția datelor personale, trebuie să descrii pe scurt procesul prin care asiguri confidențialitatea datelor colectate, precum și orice altă informație relevantă.

De exemplu, tot aici trebuie să menționezi alte entități cărora le acorzi acces la datele colectate, și de ce acest lucru este necesar. Aceste terțe părți pot fi: Google pentru Analytics, Facebook și alte platforme de socializare pentru reclame, alte instrumente de marketing etc.

2. Adaptează Soft-ul de marketing automat

În primul rand dezactivează din software-ul de marketing folosit orice tip de opt-in by default pentru utilizatori. Totodata, revizuiește toate landing pages din site ca să te asiguri că nu rămâne nicio pagină unde căsuțele de abonare la newsletter sau vreun alt tip de captare a datelor personale să fie bifate automat. În termenii GDPR, acesta este principiul de privacy by design.

Principiul de bază trebuie să fie optarea conștientă și explicită a utilizatorilor pentru fiecare tip de procesare în parte. Cu alte cuvinte, acordul pentru orice tip de acțiune care privește datele personale ale utilizatorului (abonare la newsletter, abonare la alte mesaje de marketing, păstrarea datelor lor pentru statistici de utilizare a site-ului, păstrarea datelor pentru crearea contului de client în site etc.) trebuie obținut individual.

3. Cere terților cu care colaborezi să îți pună la dispoziție o documentație de protecție a datelor

Toți acești terți cu care colaborezi, precum și serviciul IT care protejează serverul pe care stochezi datele (anti-virusul, certificatul SSL cumpărat) trebuie să aibă proceduri clare de protecție a datelor personale.

În colaborarea ta cu ei, trebuie să te asiguri că aveți un contract de furnizare de servicii, și că în acest contract se face o referire clară la politica lor de protecție a datelor în conformitate cu noile reguli GDPR.

Dacă este vorba despre un serviciu temporar, poate fi suficientă și o factură în loc de contract, însă tot este necesar să te asiguri că politica lor de protecție a datelor este documentată și disponibilă oricui (inclusiv proprietarului datelor cu caracter personal).

4. Creează o platformă unică unde stochezi datele personale pe care le procesezi

În prezent, majoritatea magazinelor online colectează date personale (mai ales de contact pentru clienți existenți sau clienți potențiali) din surse multiple, și toate acestea sunt salvate de obicei separat.

Un magazin cu o prezență pe mai multe platforme are o listă de fani pe Facebook, una de urmăritori (followeri) pe Instagram sau Pinterest, o listă de abonați la newsletter prin email marketing, o listă de date ale clienților înregistrați pe site și așa mai departe.

De multe ori, mesajele de marketing (pe email, de exemplu), sunt trimise în masă către toate contactele, fără să se mai țină o evidență clară asupra următoarelor aspecte:

– De unde provine acest contact: este o adresă de mail folosită pentru contul de client sau strict pentru vreo platformă socială?
– Cum a fost recrutat / cum s-a abonat (platforma / mijlocul de opt-in folosit)?
– Pentru ce tipuri specifice de comunicații și-a dat consimțământul?

Odată ce prevederile GDPR vor intra în vigoare, va fi necesară, pe de o parte, o evidență precisă a acestor aspecte, și pe de altă parte și o bază centralizată de date, pentru a minimiza riscul scurgerilor de informații și pentru a arăta clar cum sunt datele protejate.

Sugestie: Creează pentru început un raport Excel în GDrive de pe un cont de email la care să aibă acces strict persoanele direct implicate în coordonarea marketing-ului. În acest raport poți ține o evidență multiplă a persoanelor de contact, cu adrese de email pentru corespondență, adrese pe care le folosesc pentru Facebook (dar care nu sunt potrivite pentru email marketing), precum și consimțământul explicit pe care și l-au dat pe fiecare tip de activitate de marketing în parte. Plecând de la acest document, poți lua deciziile de marketing mai ușor și poți crea liste de contacte pentru fiecare comunicare pe care o planifici, fără să riști să încalci un acord.

Păstrează în drive-ul asociat aceluiași cont toate datele care pot proba consimțământul clienților pentru procesarea datelor lor. Când un contact îți cere să nu îi mai trimiți un anumit tip de comunicări sau să îl uiți cu totul, actualizează urgent informațiile. Asigură-te că soft-ul de automatizare a marketing-ului își ia listele de contacte din baza ta de date în real time. Pe măsură că business-ul tău crește, poți apela la o soluție profesională de management al datelor. Pe piață există numeroase soluții software specializate.

5. Asigură-te că datele sunt protejate corespunzător

Platforma unică unde stochezi datele personale și consimțământul dat trebuie să fie securizată. Asta presupune îndeplinirea următoarelor condiții:

– Protecția bazei de date împotriva accesului neautorizat (malware, phishing), printr-o soluție de tip anti-virus și anti-malware;
– Pseudonimizarea datelor personale stocate, în așa fel încât în relația cu unii dintre prestatorii de servicii care au acces la aceste date, să le puteți oferi doar acces la varianta pseudonimizată;
– Capacitatea de a restabili disponibilitatea datelor în cazul unei breșe în securitatea lor, sau a unui accident informatic (prin back-up-uri programate automat);
– Autorizarea unui număr limitat de operatori și prestatori de servicii pentru accesul la date, doar pe bază de contract și evidențe procedurale clare;
– Păstrarea într-un dosar a documentației de protecție a datelor a acestor terțe părți care mai au acces la date.

6. Dezvoltă un mecanism intern de istoric și management al datelor

Prevederile noii GDRP cer fiecărei companii să poată pune la dispoziția autorităților, dacă este necesar, două tipuri de documentații:

– Harta circulației datelor personale în companie;
– Un istoric detaliat al procesării lor.

Primul document trebuie realizat prioritar, din momentul în care începi să te pregătești pentru implementarea GDPR. Nu poți vedea unde sunt punctele slabe ale securizării datelor pe care le procesezi, până când nu este clar cum sunt ele procesate, ce departamente și persoane au acces la ce date și unde sunt ele transmise mai departe, stocate, ș.a.m.d.

A doua parte a documentației necesită crearea unei proceduri interne de lucru care să fie apoi respectată de toate persoanele implicate în traseul datelor procesate. Prevederile GDPR lasă greutatea evidenței și a dovezilor de corectitudine în sarcina companiilor, deci trebuie să te asiguri că tot ceea ce se face (ștergeri la cererea utilizatorului, procesări, transmiteri, etc.) este documentat în mod detaliat și consistent.

7. Asigură o comunicare transparentă și deschisă cu proprietarii datelor (utilizatorii)

Legea europeană pentru protecția datelor cu caracter personal prevede o transparență totală față de utilizatori în privința modului în care datelor lor sunt folosite.

Poți aplica asta în doi pași:

=> Când un utilizator optează să fie de acord cu procesarea datelor lui personale, îi informezi întâi despre toate terțele părți care vor avea acces la ele și de ce asta este necesar, precum și despre cum vor fi datele protejate;
=> Când se schimbă ceva în traseul informației (închei un contract cu un nou provider de soluții IT sau terță entitate care va avea acces la date, de exemplu), îți informezi utilizatorii care ți-au acordat dreptul de a le procesa datele și ceri din nou acordul lor explicit pentru continuarea procesării.

8. Fii atent la reînnoirile de contracte și abonamente!

Ca ultimă notă, nu uita să verifici dacă totul rămâne la fel în cazul reînnoirilor de contracte și abonamente cu furnizorii de servicii care au și ei acces la datele utilizatorilor tăi.

Orice schimbare care afectează modul în care datele sunt procesate trebuie anunțată, iar acordul explicit al utilizatorilor trebuie obținut din nou.

9. Fii pregătit pentru situații limită

În momentul în care securitatea datelor a fost compromisă, indiferent de cauză (adică indiferent dacă sursa a fost un atac cibernetic sau o scurgere de informații internă), trebuie să ai resursele de a detecta asta și de a raporta mai departe în maximum 72 de ore. Trebuie să anunți atât Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și utilizatorii potențial afectați.

Articolul complet a apărut prima dată aici – aici.

Autor: Miriam Cihodariu, E-commerce Strategy Director, Digital Web Properties