Elenco di controllo per l'eCommerce GDPR per i siti Web aziendali: la guida completa

Pubblicato: 2020-09-26

introduzione

La conformità al GDPR è un requisito primario per qualsiasi sito Web che offre i propri prodotti o servizi nei paesi europei. Non solo rende il sito conforme al quadro giuridico, ma lo rende anche affidabile agli occhi dei visitatori. In quanto ne aumenta la trasparenza. Ma come essere conformi al GDPR può essere un punto confuso per alcuni proprietari di siti web.

In questo articolo, abbiamo portato per te una checklist per l'eCommerce GDPR. Non importa se sei un nuovo arrivato nel campo o un esperto, la nostra checklist GDPR fungerà da quadro guida per la conformità all'eCommerce. Alla fine dell'articolo, ti diremo anche come rendere il tuo sito conforme al GDPR in modo semplice utilizzando due semplici plugin di WordPress. Scorri l'articolo, sarai in grado di rendere il tuo sito web conforme al GDPR con pochi semplici passaggi senza problemi.

Cos'è il GDPR?

1

Il regolamento generale sulla protezione dei dati o GDPR è un quadro giuridico europeo. È stato implementato il 25 maggio 2018 per proteggere la privacy dei dati dei residenti nell'UE.

A chi si applica il GDPR?

Il GDPR si applica a un'organizzazione a scopo di lucro se:

  • Ha una presenza commerciale in uno qualsiasi dei paesi dell'UE.
  • Non ha una presenza commerciale nell'UE ma tratta i dati personali dei residenti europei e offre i suoi prodotti o servizi ai residenti dei paesi dell'UE
  • Ha una forza di oltre 250 dipendenti
  • Ha meno di 250 dipendenti ma la sua raccolta ed elaborazione dei dati pregiudica i diritti alla privacy e le libertà degli interessati, il processo è regolare e include alcuni tipi di dati sensibili.

Le multe per l'eCommerce GDPR che devi conoscere

Ecco le principali multe previste dal GDPR -

  • Fino al 2% del reddito annuo di un'azienda dell'anno precedente o fino a $ 10 milioni, qualunque sia il più alto. È applicabile per non conformità.
  • Fino al 4% del reddito annuo dell'azienda dell'anno precedente o $ 20 milioni, a seconda di quale sia il valore più alto. È per le violazioni dei dati.

Principali requisiti GDPR e come conformarsi al GDPR

Base giuridica per il trattamento dei dati

Come da GDPR, i dati personali dei residenti nell'UE possono essere posseduti solo se hanno almeno una base giuridica. Di seguito le basi giuridiche che il GDPR prevede per il trattamento dei dati -

  • Gli utenti hanno prestato il loro consenso per uno scopo specifico
  • Il trattamento dei dati è necessario per mantenere o concludere un contratto di cui l'utente è un partecipante
  • Il trattamento dei dati è necessario per adempiere un obbligo legale di cui è soggetto il titolare del trattamento
  • Il trattamento dei dati è necessario per la tutela degli interessi degli utenti
  • Il trattamento dei dati è necessario per un'attività svolta nel pubblico interesse
  • Il trattamento dei dati avviene nel legittimo interesse del titolare del trattamento o di altra persona

Consenso

La parola consenso significa semplicemente il consenso degli utenti al trattamento dei dati. Il consenso deve essere volontario e di solito è di natura variabile. Significa che un utente può modificare il proprio consenso in qualsiasi momento. La notifica del consenso deve essere chiara e chiara. Non dovrebbe esserci alcuna ambiguità in esso.

Un'organizzazione deve conservare i seguenti record di consenso:

  • Chi ha dato il consenso?
  • In che modo è stato ottenuto il consenso da un utente e quando
  • Se a un utente è stato presentato un modulo di consenso al momento della raccolta del consenso
  • Quali documenti e condizioni legali erano applicabili al momento della raccolta del consenso

Diritti degli utenti

Il GDPR ha conferito ai cittadini dell'UE molti diritti per la protezione della loro privacy e sicurezza. Di seguito sono riportati i principali diritti ai sensi del GDPR -

  • Il diritto di essere informato

Gli interessati devono essere informati sul trattamento dei dati e dovrebbe essere richiesto il loro consenso prima della raccolta dei dati. Hanno il diritto di sapere per quale scopo i dati vengono raccolti, come devono essere elaborati e archiviati e se devono essere condivisi con terzi, con chi vengono condivisi.

  • Il diritto di accesso

Gli interessati hanno ora il diritto di accedere ai propri dati personali che si trovano nel database di un'organizzazione ogni volta che lo desiderano. Il titolare del trattamento è tenuto a presentare una panoramica del processo di elaborazione dei dati se un utente lo richiede.

  • Il diritto alla rettifica

Gli utenti hanno ora il diritto di ottenere la rettifica dei propri dati nel caso in cui siano incompleti o imprecisi. Il GDPR prevede inoltre che la rettifica debba essere comunicata a tutti i terzi destinatari coinvolti nel processo. Se un utente richiede, l'organizzazione deve informarlo sui destinatari di terze parti.

  • Il diritto alla cancellazione

Un utente può chiedere a un'organizzazione di eliminare i suoi dati dal suo database. L'organizzazione è tenuta a cancellare le informazioni in tal caso.

  • Il diritto di limitare il trattamento

Gli interessati hanno il diritto di limitare il trattamento dei dati. La richiesta deve essere elaborata entro un mese dalla ricezione della richiesta.

  • Il diritto alla portabilità dei dati

Un utente può ottenere i propri dati personali per trasferirli da un titolare all'altro senza alcuna obiezione da parte del responsabile del trattamento. Sia i dati forniti che quelli osservati rientrano in questa regola.

  • Il diritto di opporsi

Il GDPR conferisce agli utenti il ​​diritto di opporsi ad alcune specifiche attività di trattamento dei dati che coinvolgono i propri dati personali. L'utente deve fornire una valida motivazione per l'opposizione se il trattamento dei dati è effettuato nell'interesse pubblico. Qualora il trattamento sia effettuato per semplici finalità di marketing, non è richiesta alcuna motivazione da parte degli utenti per opporsi.

  • Diritti in relazione al processo decisionale automatizzato e alla profilazione

Gli interessati hanno il diritto di dire di no al sistema di trattamento automatizzato dei dati. Un'organizzazione può effettuare trattamenti automatizzati di dati solo se è tenuta a stipulare o mantenere un contratto riconosciuto dalle leggi statali dell'UE, sulla base del permesso degli utenti e non ha alcun effetto legale o simile sugli interessati.

Trasferimenti di dati transfrontalieri

Il GDPR consente il trasferimento dei dati al di fuori del SEE o dello Spazio Economico Europeo solo a condizione che il Paese verso il quale vengono trasferiti i dati abbia un livello di protezione dei dati adeguato secondo lo standard UE.

L'altra condizione è che l'interessato deve esserne informato. Senza il consenso dell'interessato, non è consentito trasferire alcun dato.

Privacy per progettazione e impostazione predefinita

Il trattamento dei dati deve essere incluso fin dall'inizio della progettazione del processo aziendale e dei suoi sviluppi. In altre parole, un'azienda deve garantire che lo standard del trattamento dei dati sia elevato e che vengano prese tutte le misure necessarie per soddisfare gli standard fissati dal GDPR per quanto riguarda il ciclo di vita del trattamento dei dati.

Notifica di violazione

In caso di violazione, le autorità superiori devono essere informate dal titolare del trattamento entro 72 ore dalla conoscenza della violazione dei dati. Se i dati sono trattati dal responsabile del trattamento per conto del titolare del trattamento, questi deve informare il responsabile del trattamento di una violazione dei dati nel momento in cui ne viene a conoscenza. Gli utenti devono inoltre essere informati sulle violazioni dei dati.

Responsabili della protezione dei dati

Il responsabile della protezione dei dati è una persona che aiuta un'organizzazione a essere conforme alle leggi del GDPR. Aiuta un'organizzazione a implementare tutte le regole, impostare l'agenda e intraprendere azioni per la conformità interna.

Un responsabile della protezione dei dati è richiesto soprattutto nei seguenti casi:

  • Un luogo in cui viene effettuato regolarmente un monitoraggio sistematico degli utenti su larga scala
  • Se il trattamento dei dati è svolto da autorità pubbliche
  • Se viene eseguita un'operazione complessa con i dati degli utenti, soprattutto se si tratta di dati sensibili.

Conservazione dei registri delle attività di trattamento

Il GDPR obbliga sia il titolare del trattamento che il responsabile del trattamento a mantenere un registro completo e aggiornato "completo ed esteso" dei dati degli utenti.

Un record deve essere tenuto se -

  • Il trattamento dei dati non è occasionale
  • Può comportare un rischio per i diritti alla privacy e la libertà dei residenti nell'UE
  • Coinvolge categorie di dati sensibili o speciali
  • Il trattamento è svolto da un'organizzazione con più di 250 dipendenti

Il record deve includere -

  • Nome e recapiti dei titolari del trattamento
  • La finalità del trattamento dei dati
  • Adeguata descrizione delle categorie dei dati, degli utenti e dei destinatari dei dati
  • Un limite di tempo approssimativo per il trattamento di diverse categorie di dati
  • Descrizione delle misure tecniche di sicurezza di un'organizzazione

Valutazione dell'impatto sulla protezione dei dati (DPIA)

La DPIA o la valutazione dell'impatto sulla protezione dei dati è un processo che aiuta un'organizzazione ad aggiornarsi per soddisfare gli standard del GDPR ed essere conforme ad esso. È principalmente un processo di conservazione dei registri. È obbligatorio nei casi in cui vi siano possibilità che il trattamento dei dati possa comportare un rischio per la privacy degli interessati. Il DIPA deve essere registrato per iscritto per comodità dell'organizzazione.

DIPA include le seguenti cose:

  • Descrizione dei dati trattati
  • Finalità del trattamento dei dati
  • Una relazione valutativa dei requisiti e dell'ambito del trattamento dei dati in relazione alla sua finalità
  • Una valutazione dei fattori di rischio
  • Descrizioni delle misure adottate per affrontare i rischi

Ecco cosa ti serve per iniziare con la piena conformità:

Esistono molti modi diversi per essere conformi al GDPR. I requisiti principali per lo scopo sono l'informativa sulla privacy per i siti Web di e-commerce, il consenso degli utenti alla raccolta dei propri dati personali e una politica di notifica dei cookie nel caso in cui utilizzi i cookie. Il modo più semplice per soddisfare questi requisiti è utilizzare un plugin per WordPress. Consigliamo due plugin intuitivi chiamati WP Legal Pages Pro e WP Cookie Consent.

Pagine legali WP PRO

2

WP Legal Pages Pro è un potente strumento WordPress che ti aiuta a creare documenti legali a livello di avvocato sul tuo sito Web WordPress con pochi clic. Viene fornito con oltre 25 modelli pre-progettati. Questo plug-in per la politica sulla privacy di WordPress include la politica sulla privacy del GDPR per i siti Web di e-commerce. Tutto quello che devi fare è installare e attivare il plugin, importare il template, aggiungere i tuoi dati e cliccare sul pulsante “Pubblica” per rendere il tuo sito web conforme al GDPR.

Consenso sui cookie WP

3

WP Cookie Consent è un plug-in per il consenso ai cookie di WordPress elegante e moderno che ti aiuta a rendere il tuo sito conforme al GDPR utilizzando una barra dei cookie personalizzata su di esso. Ti consente di creare avvisi sui cookie senza alcuna difficoltà in pochi minuti. Puoi mostrare o nascondere questi avvisi in base alla geolocalizzazione. C'è uno scanner con un clic, che rileva automaticamente tutti i siti Web e i cookie di terze parti mentre è abilitato. È possibile modificare i dettagli del cookie manualmente.

Pensieri finali

In questo articolo, abbiamo cercato di dare un'idea del quadro giuridico GDPR e della conformità all'eCommerce. Abbiamo anche fornito un elenco di controllo dettagliato dei requisiti GDPR per aiutarti a rendere il tuo sito Web conforme alla nuova regola sulla privacy. Alla fine dell'articolo, abbiamo suggerito due plug-in reattivi e adatti ai principianti progettati per generare documenti legali richiesti dal GDPR. Puoi prendere i plugin e procedere. In pochi minuti sarai in grado di rendere il tuo sito conforme al GDPR.

Se hai trovato utile l'articolo, condividilo su Twitter e Facebook. Lascia le tue opinioni nella sezione commenti qui sotto. Ci piacerebbe sentire il tuo feedback. Se hai bisogno di ulteriori informazioni, non esitare a contattarci. Ti ricontatteremo presto. Iscriviti al nostro canale YouTube per i nostri video tutorial.

Disclaimer : questo è il contributo dell'ospite dal blog del vicino