Land of Web despre ce pași trebuie urmați pentru a deveni GDPR compliant. Ghid implementare tehnică

Mitul lui "eu nu am nevoie de GDPR" 

Noile standarde europene privind protecția datelor se aplică practic tuturor. Chiar dacă o percepem ca pe o nouă corvoadă legislativă la prima vedere, necesitatea unor astfel de măsuri este acută, iar implementarea lor va schimba în bine modul în care companiile gestionează datele cu caracter personal. Cu toate acestea, nu numai companiile vor trebui să se schimbe: GDPR va schimba, de asemenea, modul în care noi, programatorii web, gestionăm datele personale, dar mai ales va schimba viața agențiilor și clienților lor.  La urma urmei, o practică sănătoasă de protecție a datelor influențează la fel de mult partea de programare – cod, gestiune date și măsuri de securitate - cât și partea de business și strategie.  

Măsuri tehnice pentru GDPR 

Am trecut în revistă, mai jos, principalele măsuri tehnice pe care agențiile de advertising și marketing trebuie să le implementeze pentru a deveni GDPR compliant. Le-am extras in urma necesităților exprimate de partenerii noștri din agenții în procesul de implementare a normativului european de protecție a datelor personale. 

Ce instrumente vor fi cel mai uzitate? 

Bife (opt-in) la nivel de formulare pentru a obține acordul explicit al utilizatorului pentru prelucrarea datelor sale personale 

• Doar formularele care colectează date personale sunt direct vizate de standardele GDPR. 
• Important! Nu colectați mai multe date personale decât sunt necesare – de regulă, un nume și o adresă de email sunt suficiente pentru identificarea unei persoane. 
• Bifele standard din formulare sunt următoarele: 

1. Sunt de acord cu termenii și condițiile
2. Sunt de acord cu politica de confidențialitate
3. Sunt de acord ca datele mele să fie utilizate în scopuri de marketing

• Bifele 1 și 2 sunt obligatorii. Bifa 3 nu este obligatorie. 
• Bifele 1, 2 și 3 nu vor fi selectate în mod implicit, pentru că reprezintă cererea de consimțământ din partea persoanei vizate. 
• Bifele 1, 2 și 3 se salvează în baza de date într-o tabelă separată împreună cu data înregistrării acordului.   

Cookie bar 

• Vechiul cookie bar cu mesajul "Utilizând acest site, acceptați cookie-urile noastre" nu mai este valid în cadrul noilor reguli GDPR. Dacă nu există o alegere clară și liberă, atunci nu există consimțământ valabil. Trebuie să faceți posibil atât acceptarea, cât și respingerea cookie-urilor de pe site. 
• Noul cookie bar va conține două butoane și un link. Butoanele vor fi "Da, sunt de acord" și "Nu, nu sunt de acord" cu politica de cookie-uri existentă pe site. Link-ul va fi către un articol în care se descrie politica de cookie-uri (care sunt cookie-urile folosite în funcție de script-urile injectate în pagină, în ce scop și pe ce perioadă sunt folosite și cum pot fi șterse de pe device-urile utilizatorilor). 
• La click pe butonul "Da, sunt de acord" se "injecteaza" în pagină script-urile (de ex: Google Tag Manager) folosite de site pentru profilarea utilizatorilor, comunicare, testare, etc. 

• La click pe butonul "Nu, nu sunt de acord" nu se "injecteaza" în pagină script-urile de marketing folosite de site. 

Cum avem dovada că utilizatorul a fost de acord sau și-a retras datele din procesul de utilizare. 

RECOMANDARE - Sistem de log-uri  

• Sistemul de log-uri este folosit pentru a putea dovedi că utilizatorul și-a dat acordul explicit sau nu pentru prelucrarea datelor lui personale și că a fost de acord sau nu cu politica de cookie-uri; 

• În log-uri se vor păstra următoarele date: o modalitate prin care utilizatorul poate fi identificat în mod unic (de regulă adresa de email), data și ora la care și-a manifestat sau nu acordul explicit și operațiunea pentru care și-a dat sau nu acordul; 
• Log-urile vor fi păstrate într-o locație securizată, de unde nu pot fi accesate în mod public. 

Double opt-in 

• Acesta funcționalitate se folosește în special pentru validarea adresei de email, pentru a evita introducerea unei adrese greșite. 

• Este recomandată această funcționalitate și pentru a dovedi că utilizatorul este proprietarul de drept pentru adresa de email introdusă. 
• Funcționalitate: generare link pe email, care la click validează intrarea în baza de date (a tuturor datelor colectate prin formular), sau/și câmp adițional (în formular) pentru confirmare adresă de email. 

Funcționalitate de retragere a consimțământului de procesare a datelor 

• În cazul în care un utilizator dorește să își retragă consimțământul de procesare a datelor, acest lucru poate fi făcut prin punerea la dispoziție a unui link special, care la click deschide o pagină nouă, unde utilizatorul își poate introduce adresa de e-mail cu care s-a înregistrat. 

• Pe adresa de email va primi un email care va conține un link care la click va duce pe o pagină dedicată pentru acel utilizator, unde își va putea actualiza acordul de procesare a datelor sale personale. 
• În cazul în care utilizatorului i se pune la dispoziție un sistem de log in pentru accesare cont, acordul de procesare a datelor personale poate fi actualizat și dintr-un formular de profil. 

Dreptul de a fi uitat 

• Se poate implementa o metodă care să accepte ca si parametru un id de utilizator și la rulare să șteargă toate datele personale ale acelui utilizator (în cazul în care au fost colectate pe baza consimțământului său).  

• În mod normal, ștergerea unei înregistrări poate fi ușoară, dar mare atenție la cheile străine. De obicei există două opțiuni - asigurați-vă că permiteți chei străine care pot fi nule (de exemplu, o comandă de produse are, de obicei, o referință la utilizatorul care a făcut-o, dar când utilizatorul solicită ștergerea datelor, puteți seta id utilizator pe null) sau asigurați-vă că ștergeți toate datele asociate (de exemplu, prin cascade). 

Notificare părți terțe implicate în cazul exercitării dreptului de a fi uitat 

• Ștergerea datelor din sistemele dvs. poate fi un lucru simplu, dar sunteți, de asemenea, obligat să informați toate părțile terțe către care ați trimis acele date. Deci, dacă ați trimis date personale, către Salesforce, Hubspot, Mailchimp sau orice alt furnizor de servicii cloud, trebuie să folosiți un API al acestora care să permită ștergerea datelor cu caracter personal. 
• Apelarea API-urilor părților terțe pentru a elimina datele nu este însă întotdeauna suficient. De asemenea, trebuie să vă asigurați că datele personale nu apar în rezultatele căutărilor. Acum, acest lucru este complicat, deoarece Google nu are un API pentru ștergere rezultate, ci doar un proces manual pentru acest lucru. Din fericire, aici vorbim strict de paginile de profil ale utilizatorilor care sunt accesibile public cu crawlere de către Google (și alte motoare de căutare), deci în mod ideal, ar trebui să faceți ca pagina cu date personale să returneze un status HTTP 404, astfel încât să poată fi eliminată ușor. 

Export date personale  

• Utilizatorul trebuie să primească toate datele pe care le dețineți despre el, la click pe un buton din pagina sa de profil sau la click pe un link special generat (la cererea sa, într-un email, de exemplu). 
• Care sunt sunt acele date - depinde de la caz la caz. De obicei, este vorba cel puțin de datele pe care le ștergeți cu metoda prezentată mai sus de la dreptul de a fi uitat, dar pot include și informații suplimentare (de exemplu, comenzile de produse efectuate de utilizator nu pot fi șterse, dar ar trebui să fie incluse în export).  
• Structura exportului nu este strict definită, dar  dacă datele sunt destul de simple, un export CSV / XLS este de obicei suficient. 

Verificare vârstă 

GDPR presupune selectarea publicului  în funcție de vârstă, și asta pentru că dacă utilizatorul este un copil cu vârsta de sub 16 ani, atunci ar trebui să ceară permisiunea părintelui. Chiar dacă acuratețea bifei poate fi îndoielnică - userul minor poate spune că are vârsta regulamentară. Sugestia ar putea fi introducerea unui câmp pentru email-ul părintelui și permisiunea via e-mail a accesului. 

Cum prelucrăm de acum înainte datele pentru concursurile de social media?
Cum trimitem newsletter-uri?
Mai sunt bazele de date deja existente în agenții legale?  

RECOMANDAREA NOASTRA:  printr-o platforma CRM care să înglobeze toate procesele de colectare și procesare de date derulate de agenție. 
Prin acest CRM se vor putea realiza o serie de acțiuni privind datele cu caracter personal menționate in GDPR, cum ar fi: centralizarea, procesarea, stocarea și ștergerea. 

Colectarea poate fi făcută pentru concursurile organizate pe canalele de socializare (Facebook, Instagram, etc.), sau prin intermediul oricărui formular integrat în landing page-uri de campanie, în website-uri de prezentare, platforme web, aplicații mobile sau aplicații de Facebook în scopuri de marketing (vânzare, informare, etc.) 

Prin acest CRM se vor putea realiza o serie de acțiuni menționate printre măsurile GDPR: centralizare, administrare, stocare și ștergere a datelor cu caracter personal obținute prin intermediul campaniilor de marketing online (și/sau offline). 

Funcționalități generale: 

• Sistem de integrare a formularelor de colectare de date  personale care sunt 100% în conformitate cu standardele GDPR; 
• Generare de log-uri de activitate pentru toate activitățile de management al datelor cu caracter personal; 
• Sistem de asigurare a drepturilor persoanei vizate recomandate de GDPR (informare, actualizare date și ștergere); 
• Sistem de management al datelor, în conformitate cu măsurile GDPR. 

Cât de mult ajută implementarea unei astfel de recomandări?
Toate datele colectate pentru concursurile, campaniile de pe Social Media vor putea fi înregistrate în acest CRM, printr-un formular generat automat. Desigur, tot aici se pot trasa campaniile de email marketing, colectarea de date în scopul acestora, cât și retragerea acordului de utilizarea a datelor.  

Mai mult, această platformă rezolvă cu ușurință scenariul în care clientul dorește hostarea/integrarea formularului pentru colectarea datelor pe website-ul campaniei, LP, app mobile, app Facebook, etc., iar conectarea dintre formular și CRM se va face printr-un API.