1 out of 1 members found this post helpful.

Postat în original de
Twigg
Am citit tot ce s-a scris dar va jur ca nu am inteles esentialul: Eu sunt Fane instalatorul si am un banal wp bagat in adwords cu care mai ciupesc 2, 3 clienti. Habar n-am daca am in site analytics sau alte coduri, am platit un vecin sa-mi faca site-ul. Trebuie sa adaug ceva pe site? Sau sa-mi pun in footer un text gen "acest site nu solicita si nu stocheaza datele dvs.personale"?
Nu va suparati ca am intrebat..
Eu sunt Grigore și am un butic la coltul blocului.
Iau biscuiți de la un distribuitor și ii vând la altul celor care-mi trec pragul.
Am auzit eu ca legea specifică că trebuie pus etichete cu preț în fața produsului.
E de ajuns dacă scriu undeva la intrare: "pentru preț întrebați vânzătorul"?
Ce se-ntâmplă dacă le spun inspectorilor că nu mă pricep la chestii din astea?
2 out of 2 members found this post helpful.

Postat în original de
Rapsodia
Teoretic am inteles ca trebuie sa ai 3 pagini: Termeni și condiții, Politica de confidențialitate, Politica de cookie-uri, dar cand si cum ii spui despre astea vizitatorului, nu mai stiu!
Aha, inteleg intrebarea - aia dificila "eu ce fac"? (Luati un Nurofen inainte de a citi mai jos).
Raspunsul e unul: Contactezi un avocat sau consultant GDPR si iti va spune.
Raspunsul difera de la caz la caz si mici diferente in procesul de lucru pot da mari diferente in practica. Nu exista un raspuns "bun pentru toata lumea".
O sa dau un exemplu ipotetic pentru o firma mica dar nu cea mai mica. Din exemplu taiati voi ce pare iesit din context. Si nu va asteptati sa fie completa /sa se aplice / la voi sa fie la fel. Am zis, difera de la caz la caz.
- Primul pas: Iei legatura cu un avocat / consultant GDPR care sa-ti faca un plan de implementare si checklist. Omul respectiv iti va pune 100 de intrebari ca sa inteleaga ce/cum folosesti, cum lucrezi ca sa-ti faca documentatia. (evident, te va usura de niste bani, acum si pe parcurs)
- Povestea se implementeaza dupa acele documente/checklist, dupa care trebuie monitorizata permanent. Aici, dupa buget. Firmele mari au nevoie de un DPO intern (angajat). Firmele mici vor angaja din afara, externalizat. La firmele foarte foarte mici, proprietarul va trebui sa invete GDPR si sa se descurce, sa joace si rolul de DPO chiar daca doar partial. Va schimba "palariile" in functie de context, si sa speram ca are un foarte bun prieten avocat, ca altfel s-ar putea sa trebuiasca sa faca un imprumut la banca pentru a plati tot ce e de platit.
- De ce va trebuie avocat: Din motive foarte bine intemeiate. Este un context legal, legea e complicata si numai un om care a facut dreptul poate interpreteze corect procesul vostru de lucru in contextul legii. In plus, (important) trebuie sa redacteze Termenii si Politica conform specificului respectiv. Mai mult decat atat, trebuie actualizate periodic. Alti bani, alta distractie.
Nota: GDPR compliance nu e ceva "faci o data si e gata". Daca apar ulterior modificari, - exemplu: folosesti alte servicii, schimbi hostul, pleci de la Dropbox si folosesti altceva - well, fiecare modificare are importanta (mare) si trebuie aplicate regulile de compliance GDPR, si de multe ori trebuie actualizata documentatia interna si Politica etc.
- In acest proces va trebuie de regula si un consultant IT. De fapt in implementare e nevoie de vreo 3 persoane:
1) Lawyer - pentru consultanta initiala, checklist, audit, redactarea termenilor si modificari ulterioare
2) DPO (sau persoana care inlocuieste DPO, inclusiv intern) - cel care se ocupa de implementarea GDPR, intocmeste documentatia, mentine registrul specific de prelucrare a datelor (obligatoriu, e probabil primul document pe care o sa vi-l ceara la un control); iar daca apar modificari in procesul de lucru, ia legatura cu tipul de la punctul 1), afla ce e de facut si aplica ce trebuie aplicat. DPO nu e obligatoriu la firme mici, dar cineva care sa faca implementarea si monitorizarea tot trebuie sa fie. Adica e cam acelasi lucru.
3) Consultantul IT - daca baza de date trebuie criptata (TREBUIE) iti va zice cum faci asta si/sau te ajuta sa rezolvi efectiv problema. Etc.
- Politica de confidentialitate si cookies poate fi cumulata. Important e sa fie scrisa bine. Uite aici un exemplu Heineken , nota, nu copiati direct politica asta!
- Sfat: Si oricum, nu copiati de altundeva si nici nu cumparati politici, terms pe servicii online de 20$. Valoreaza mai putin decat hartia pe care le tiparesti. Iti trebuie serviciile unui om care a facut dreptul, a studiat si e bagat pana in gat in povestea asta, si iti poate crea documentatia adaptata precis la cazul tau.
- Instalatorul Mitica Vs. Instalatorul Costica vor folosi unelte/procese diferite, si toata povestea de mai sus va fi diferita de la unul la altul.
- Daca ai website, povestea se complica. Pentru ca apar 100 de chestii noi (securitate, ssl, criptare la rest, sharing cu terti, backups, masuri optionale de prevenire hack/data breach, opt-in la liste, cookie consent, afisare conditionata coduri GA etc infunctie de consent, nu mai continui ca ne ia pe toti durerea de cap ).
Pana si hostul. Shared hosting nu este compliant GDPR ! (discutie lunga). Deci daca aveti shared hosting, incepeti maine prin a lua macar un VPS sau dedicat.
- Daca folosesti terti (data processors) trebuie ca ei sa fie GDPR-compliant, iar in Politica ta trebuie sa-i mentionezi pe fiecare incluzand si links catre politicile lor (fiecare). In plus, trebuie sa folosesti un tree finit de data processors si toti sa fie inclusi. Cu alte cuvinte, cand omul iti da datele lui , trebuie sa poata citi in Politica ta, EXACT cu cine faci sharing si care este calitatea procesarii si cum lucreaza tertii data processors din aval.
- Datele se folosesc minimizat (iei minimul de date necesar), se stocheaza securizat, se prelucreaza intr-un scop bine definit care a fost in prealabil comunicat omului (principiul transparentei), dupa care se stocheaza pe un termen limitat, specificat clar si comunicat in prealabil, nu mai mult decat este necesar.
Exemplu: Datele de facturare se stocheaza 5 ani ca atat cere legea. Pentru listele de email-uri, as recomanda 2-3 ani si un proces automat de re-subscribe sau delete dupa 2 ani. Dar desigur, fiecare decide (a se citi: cum il sfatuieste consultantul).
- Este o nebunie totala la ora asta, toata lumea alearga ca furnicile. Sa nu va asteptati sa gasiti lawyers buni si disponibili in perioada asta cu usurinta. Au prea multa treaba si s-ar putea sa va trimita la plimbare. Nu le-o luati in nume de rau, nu au timp.
Raspunsul scurt: 100 de chestii diferite care difera de la caz la caz. Mai putine cerinte pentru afaceri simple /solo, dar tot sunt multe (si naucitoare de cele mai multe ori).
Daca vrei sa o faci singur si sa o faci corect, trebuie sa faci un curs de DPO macar ca sa intelegi cu ce se mananca, insa cursurile sunt scumpe (1000 euro +). Sau stai 2-3 luni pe forumuri grupuri, citesti online zilnic, intrebi 30 de chestii, (nu stiu cum faci cu redactarea documentelor), dupa care faci o carpeala, buna si aia, mai buna decat nimic. O mai imbunatatesti ulterior. Stiu ca multi din cei mici vor face asa. Sau vor decide sa ignore legea (rau asa).
Vestea buna este ca n-o sa se ia nimeni de voi maine. Cerintele si adancimea masurilor difera in functie de marimea afacerii. Nu au timpul si oamenii necesari. Dar in timp, vor avea.
Daca incepeti, e bine ca ati inceput. Se va tine cont si de asta in caz ca va treziti cu un control pe cap. Pentru autoritatile din statele UE, va fi o noua vaca de muls asa ca puteti sa va asteptati la o vizita. Si e nasol daca nu esti in regula.
Fiecare metoda o aplicati pas cu pas. Intai cu documentele (Terms, Politica) si cu consimtamantul pentru cookies etc, ca asta sare in ochi dupa 25 Mai. Restul pe parcurs, pas cu pas. E aproape imposibil sa fii gata in scurt timp. Poate dura luni de zile sa ajungeti in regula. Faceti azi un pas, poimaine altul, s-a terminat unul continuati cu altceva.
Nu intreb daca ati inteles si daca e totul clar.
Ultima modificare făcută de emm; 1st May 2018 la 15:36.