Cateva informatii despre Datele cu Caracter Personal in contextul comertului electronic

Unul din criteriile de preselectie (si de a obtine certificarea TRUSTED) la Gala Premiilor eCommerce 2011 este inregistrarea la ANSPDCP. Cum am avut discutii si cu Andrei de ce e necesara aceasta, am preferat sa explicitez un pic subiectul (care este valabil, in anumite limite, si pentru ale site-uri, nu doar pentru magazinele online).

Premisa: Magazinele online colecteaza date cu caracter personal
N-ai cum altfel. Ca sa preiei comanda, sa o livrezi si sa o facturezi in mod legal, trebuie sa colectezi datele persoanei. Multe dintre magazine le folosesc, insa, si in scop de marketing, profilare etc.

Si, ca sa fim clari de la inceput, nu e nimic gresit in asta. Este absolut normal, atata vreme cat respecti conditiile impuse de lege – e vorba, in principal, de legea 677/2001.

Ok, si ce zice legea?
(aici simplific foarte mult lucrurile, va rog cititi legea pentru o analiza detaliata a prelucrarii voastre a datelor personale sau consultati un avocat)

Legea te pune sa te intrebi de ce le colectezi (scopul – in cazul nostru poate fi: facturare, livrare, marketing) si daca datele colectate pentru acest scop sunt adecvate, pertinente si neexcesive.

Am nevoie de adresa ca sa trimit produsul ? Sigur ca am.
Am nevoie de etnia persoanei ca sa-l trimit? Evident ca nu am. Etc.

Bine, am inteles asta, atunci ce trebuie sa mai fac? Pai:

  • sa obtin consimntamantul persoanei vizate (Ok, il pun sa bifeze o chestie cind isi face contul)
  • sa-l informez cine sunt, de ce ii colectez datele, ce date colectez si ce drepturi are – si sa le si respect (Da, parca am un Privacy Policy pe site)
  • sa-i dau posibilitatea sa le corecteze (Perfect, il invat sa se logheze in contul sau)
  • sa sterg datele cind nu mai sunt necesare (Bine, fac o procedura prin care daca nu mai revine pe site in xy luni, sa se stearga automat)
  • sa ii dau posibilitatea sa ceara stergerea datelor (Ok, avem o adresa de email dedicata)
  • sa respect niste norme minime de securitate pentru pastrarea lor ( Pai da, am auzit si eu de Wikileaks, avem parole bune, le schimbam la odata la 3 luni etc.) – aici vedeti Ordinul 52/2002.

Bine, si inregistrarea de ce trebuie ?

Pe linga faptul ca este gratuita si se poate face online, este si o oblgatie legala.

Dar noi am pus-o doar pe aceasta ca o conditie obligatorie, pentru ca trecerea prin acel formular te pune sa citesti legea si sa te gindesti ce date personale colectezi si ce faci cu ele. Si, in mod normal, sa respecti cele de mai sus.

Din experienta jurizarii in anii trecuti, conditiile mentionate mai sus nu ar fi indeplinite decit de putine magazine. Iar scopul nostru este unul predominant de educare si nu de impunere a unor criterii. Asta inseamna si ca unele din cele de mai sus ar putea sa devina criterii obligatorii in viitor (au fost criterii de diferentiere in jurizare la editiile precedente GPeC).

Doua mentiuni finale

1. Daca faceti analiza mentionata mai sus, intrebati-va daca chiar este absolut necesar sa-i ceri fiecarui utilizator sa isi faca un cont ca sa comande de la voi. Eu am atatea conturi deschise si sunt siderat de numarul de date personale cerute, astfel incit cind gasesc unul care sa NU imi ceara sa fac cont pentru (UNA BUCATA) comanda, ma face sa-l plac mai mult si sa comand de acolo (d-aia prefer booking.com, de exemplu)

2. Notificarea la autoritate nu este necesara in toate cazurile de procesare a datelor personale. Decizia 100/2007 a Autoritatii detalieaza aceste cazuri. Aceasta exceptie, insa, nu va exonereaza de respectarea celorlalte obligatii.

Daca un magazin ar folosi datele doar pentru facturare si livrare, ar putea intra in exceptia prevazuta la art 1 lit a. Doar ca magazinele stocheaza datele in cont si, dupa incheierea comenzii, folosesc datele cel putin si pentru marketing, profilare etc. si – poate cel mai important – colecteaza date personale si inainte sa iti faci un cont (Adresa de email, IP si/sau cookie).

Deci, IMHO, oricum nu scapati. :)

Autor: Bogdan Manolea, Legi-Internet