GDPR pentru site-uri și aplicații: Ghid complet de conformitate

De ce trebuie să respecți GDPR?

Dacă ai un site de prezentare, un blog, o platformă online sau o aplicație mobilă, cu siguranță colectezi date personale de la utilizatori. Dacă ai un formular de contact, folosești cookies sau urmărești traficul cu Google Analytics, GDPR ți se aplică și ție.

Ce este GDPR? Este un regulament european care îți cere, printre altele, să fii transparent despre ce date colectezi, cum le folosești și cum le protejezi. Dacă nu respecți regulile, riști amenzi mari și pierderea încrederii utilizatorilor.

Ce date colectează site-ul sau aplicația ta?

Fără să îți dai seama, un site sau o aplicație poate colecta o mulțime de date personale. Iată câteva exemple de date personale pe care le poți prelucra:

  • Date de contact: e-mail, număr de telefon (ex.: formulare, newslettere, conturi).
  • Adrese IP și cookies: folosite pentru tracking, analiză sau publicitate.
  • Date de autentificare: conturi de utilizator, parole.

Cum te asiguri că site-ul sau aplicația ta respectă GDPR?

1. Publică o politică de confidențialitate clară

GDPR îți cere să fii 100% transparent cu utilizatorii tăi. De aceea, trebuie să ai o politică de confidențialitate care să explice (printre altele):

  • Cine ești și cum pot utilizatorii să te contacteze.
  • Ce date colectezi și de ce.
  • În ce temei le prelucrezi.
  • Cât timp păstrezi datele.
  • Cui le transmiți (ex.: Google, Facebook, platforme de e-mail marketing).
  • Ce drepturi au utilizatorii asupra datelor lor și cum le pot exercita.

Unde trebuie să fie această privacy policy?

  • Pe site – un link vizibil în footer.
  • În aplicație – accesibilă din meniu, la maximum două click-uri distanță.
  • Recomandabil și în În formulare – cu un link către documentul complet.

Nu trebuie să ceri acordul utilizatorilor pentru politica de confidențialitate, ci doar să le permiți să o citească și să o înțeleagă.

Exemplu: printr-un check-box (pe care utilizatorii trebuie să îl bifeze) și cu un text precum „Am citit și am înțeles politica de confidențialitate”.

Atenție: nu confunda bifa pentru politica de confidențialitate cu bifa pentru luarea consimțământului utilizatorului atunci când este utilizat ca temei al prelucrării – sunt diferite.

Acordul de marketing al utilizatorilor

Distinct de bifa pentru politica de confidențialitate, ar trebui să ai în vedere că pentru a trimite mesaje de marketing ai nevoie de acordul prealabil și expres al utilizatorului – așa-numitul subscribe.

Cum faci asta? Printr-o bifă și un text precum „Sunt de acord să primesc mesaje cu promoții și alte informații utile”.

Bine de știut: • poți pune bifa și textul oriunde în site/aplicația mobilă, de mai multe ori, inclusiv în flow-ul de onboarding; • bifa nu trebuie să fie prebifată (să o poată bifa utilizatorul); • bifa trebuie să fie opțională.

2. Ai nevoie de o politică de cookies?

Dacă folosești cookies (de exemplu, pentru tracking, publicitate sau analytics), trebuie să informezi utilizatorii despre asta. Acest lucru se face printr-o politică de cookies, care trebuie să includă:

  • Date despre compania ta (denumirea companiei, date de identificare și date de contact);
  • Date despre categoriile de cookie-uri utilizate, scopul și durata lor de viață;
  • Date despre cum poate utilizatorul să gestioneze utilizarea cookie-urilor;
  • Informații despre cookie-uri proprii utilizate de tine și cookie-urile utilizate de terți.

Unde trebuie publicată politica de cookies?

În mod similar politicii de confidențialitate, și politica de cookies trebuie să fie ușor accesibilă utilizatorilor – de exemplu, poți include un link către aceasta în footer..

Este necesar consimțământul utilizatorului pentru utilizarea cookie-urilor?

Da și nu. Trebuie să faci o distincție clară între:

  • Cookie-urile strict necesare – cele esențiale pentru funcționarea corectă a site-ului/aplicației. Nu este nevoie de consimțământ pentru aceste cookies.

  • Cookie-urile opționale – cookies de analiză, publicitate, tracking sau personalizare. Este obligatoriu să obții consimțământul utilizatorului înainte de a le activa.

Cum implementezi corect un banner de cookies conform GDPR?

Trebuie să implementezi un pop-up banner de cookies care să ofere utilizatorului control asupra opțiunilor sale. Iată câteva reguli esențiale:

  • Buton de „accept” și buton de „refuz” – utilizatorul trebuie să poată respinge cookies la fel de ușor cum le acceptă.
  • Nu trebuie să fie prebifat cu privire la cookie-urile care nu sunt necesare – cu alte cuvinte, pentru a obține un consimțământ valabil, trebuie ca utilizatorul însuși să bifeze căsuțele corespunzătoare.
  • Trebuie să obții consimțământul separat pentru fiecare tip de cookie – cookies analitice, publicitare, funcționale etc.
  • Trebuie să existe o opțiune clară de modificare a preferințelor – utilizatorii trebuie să poată schimba opțiunile privind cookies oricând, nu doar la prima vizită.

Alte aspecte importante despre cookie-uri care nu sunt strict necesare

Până când utilizatorul nu acceptă cookie-urile care nu sunt necesare, nu trebuie să folosești astfel de cookie-uri. La fel, nu poți utiliza aceste cookie-uri dacă utilizatorul le refuză.

De asemenea, nu trebuie să condiționezi utilizarea site-ului de acceptarea cookie-urilor care nu sunt strict necesare.

3. Alte aspecte importante legate de GDPR

Acum că ai văzut principalele documente pe care trebuie să le publici pe site/în aplicația mobilă, ar trebui să ai în vedere că GDPR mai stabilește o serie de alte obligații la fel de importante. Astfel, trebuie să fii atent și la următoarele aspecte:

  • Colectează doar datele de care ai nevoie – nu cere informații inutile.
  • Nu păstra datele mai mult decât trebuie – șterge-le când nu mai sunt necesare.
  • Dacă transferi date – ar trebui să închei cu aceste părți contracte de transfer care să reglementeze obligațiile lor cu privire la datele pe care le primesc.
  • Asigură securitatea datelor – folosește criptare, protecție anti-hackeri și măsuri de securitate adecvate.
  • Privacy by design și by default – protecția datelor trebuie să fie integrată în dezvoltarea site-ului sau aplicației tale încă de la început.
  • politici interne – conformarea cu GDPR presupune, de asemenea, stabilirea unor politici și proceduri la nivel intern, cum ar fi: politică de prelucrare a datelor internă (distinct de politica de confidențialitate prin care se realizează informarea utilizatorilor), politică de stocare a datelor, politică de securitate și administrare a incidentelor de securitate etc.

Concluzie

Dacă ai un site, un blog, o aplicație mobilă sau o platformă online, trebuie să te asiguri că respecți regulile GDPR.

Implementând măsurile de mai sus, nu doar că vei evita problemele legale, dar vei oferi și o experiență de utilizare sigură și de încredere.

StartGDPR te ajută să fii conform cu GDPR

StartGDPR îți oferă documente personalizate, gata de utilizare, pentru conformarea cu GDPR.

  • Primești exact documentele necesare afacerii tale.
  • Redactate și actualizate constant conform legislației în vigoare.
  • Elaborate de avocați specializați în GDPR.

Respectă GDPR cu StartGDPR!