Buna ziua,
avem Termeni si Conditii unde am inclus si specificatii GDPR, dar este de ajuns ca le scriem noi si atat? As vrea sa ma asigur ca avem si baza legala. Legea @GDPR am gasit-o, insa pe cea cu puncte cashback, nu inca, sau nu am reusit sa o identificam printre altele. Unde o putem gasi?
Informatii care trebuie oferite persoanelor ale caror date sunt colectate - Art. 13 din Regulament
Art. 13 din Regulament prevede o serie de informatii cum ar fi: datele societatii, motivul colectarii datelor, justificarea colectarii etc., care trebuie oferite persoanelor vizate in momentul colectarii datelor personale.
Aceste informatii trebuie oferite in scris si oral doar la solicitarea persoanei vizate. In consecinta, daca colectarea datelor personale se face online atunci informatiile care trebuie oferite pot fi cuprinse intr-un formular online.
Daca, in schimb, colectarea datelor personale se face oral, informatiile care trebuie oferite pot fi trimise prin mail, sau daca persoana vizata solicita, trebuie oferite oral.
In ceea ce priveste clientii actuali, daca organizatia a obtinut consimtamantul clientilor, in actualul sistem, prin bifarea unei casute, acest consimtamant nu este valabil.
Organizatia trebuie sa isi revizuiasca politica de confidentialitate si sa obtina consimtamantul clientilor printr-un formular care contine toate informatiile care trebuie oferite potrivit art. 13 din Regulament.
Pentru clientii noi, situatia este clara, informatiile trebuie oferite in momentul colectarii in conditiile descrise mai sus.
Pentru ca organizatia sa obtina un consimtamant valabil, aceasta trebuie sa foloseasca un limbaj clar si simplu prin care persoana vizata sa inteleaga scopul prelucrarii si sa isi exprime consimtamantul in cunostinta de cauza.
rincipiul de baza al colectarii datelor personale este acela al reducerii la maximum a datelor colectate.
Trebuie colectate doar datele personale adecvate, clare si necesare scopului.
De exemplu, se va evita prelucrarea numarului cardului de credit daca plata se face in sistem ramburs.
Operatorul de date trebuie sa asigure garantii tehnice si organizationale adecvate pentru asigurarea securitatii datelor inclusiv protectia impotriva prelucrarii neautorizate.
Aceste garantii se pot realiza prin pseudonimizare - inlocuirea materialelor indentificabile personal cu identificatori artificiali sau prin criptare - codificarea mesajelor astfel incat sa nu poata fi citite decat de persoanele autorizate.
In concluzie, din motive de claritate juridica si de buna organizare a activitatii manageriale, este recomandabil ca operatorul de date cu caracter personal sa realizeze un sistem de protectie a datelor cu carcter personal si sa desemneze o persoana imputernicita care sa raspunda in relatia cu Autoritatea de Supraveghere si cu persoanele care isi exercita drepturile cu privire la protectia datelor personale.
Va pot ajuta,ma puteti suna daca decideti.