Lista de verificação de comércio eletrônico GDPR para sites de negócios - o guia completo

Introdução

A conformidade com o GDPR é um requisito principal para qualquer site que ofereça seus produtos ou serviços aos países europeus. Isso não apenas torna o site compatível com a estrutura legal, mas também o torna confiável aos olhos dos visitantes. À medida que aumenta a sua transparência. Mas como estar em conformidade com o GDPR pode ser um ponto confuso para alguns proprietários de sites.

Neste artigo, trouxemos uma lista de verificação de comércio eletrônico GDPR para você. Não importa se você é um novato no campo ou um especialista, nossa lista de verificação GDPR servirá como uma estrutura orientadora para a conformidade com o comércio eletrônico. No final do artigo, também informaremos como tornar seu site compatível com o GDPR de maneira fácil usando dois plugins simples do WordPress. Leia o artigo e você poderá tornar seu site compatível com o GDPR com algumas etapas fáceis, sem aborrecimentos.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados ou GDPR é uma estrutura legal europeia. Foi implementado em 25 de maio de 2018 para proteger a privacidade dos dados dos residentes da UE.

A quem se aplica o RGPD?

O GDPR se aplica a uma organização com fins lucrativos se:

• Tem presença comercial em qualquer um dos países da UE.
• Não tem presença comercial na UE, mas processa dados pessoais de residentes europeus e oferece seus produtos ou serviços aos residentes dos países da UE
• Tem uma força de mais de 250 funcionários
• Tem menos de 250 colaboradores mas a sua recolha e tratamento de dados afeta os direitos e liberdades de privacidade dos titulares dos dados, o processo é regular e inclui determinados tipos de dados sensíveis.

As multas do GDPR de comércio eletrônico que você precisa conhecer

Aqui estão as principais multas sob o GDPR -

• Até 2% da receita anual de uma empresa no ano anterior ou até US$ 10 milhões, o que for maior. É aplicável por não conformidade.
• Até 4% da receita anual da empresa no ano anterior ou US$ 20 milhões, o que for maior. É para violações de dados.

Principais requisitos do GDPR e como cumprir o GDPR

Base legal para o tratamento de dados

De acordo com o GDPR, os dados pessoais dos residentes da UE só podem ser possuídos se tiverem pelo menos uma base legal. A seguir estão as bases legais que o GDPR fornece para o processamento de dados -

• Os usuários deram seu consentimento para um propósito específico
• O processamento de dados é necessário para manter ou firmar um contrato no qual o usuário é participante
• O processamento de dados é necessário para o cumprimento de uma obrigação legal da qual o controlador dos dados é sujeito
• O processamento de dados é necessário para a proteção dos interesses dos usuários
• O processamento de dados é necessário para uma atividade realizada no interesse público
• O processamento de dados é feito no interesse legítimo do controlador dos dados ou de alguma outra pessoa

Consentimento

A palavra consentimento significa simplesmente a permissão dos usuários para o processamento de dados. O consentimento deve ser voluntário e geralmente de natureza variável. Significa que um usuário pode alterar seu consentimento a qualquer momento. A notificação de consentimento deve ser clara e clara. Não deve haver qualquer ambiguidade nele.

Uma organização deve manter os seguintes registros de consentimento -

• Quem deu o consentimento?
• De que forma o consentimento foi obtido de um usuário e quando
• Se um usuário recebeu um formulário de consentimento no momento da coleta de consentimento
• Quais documentos legais e condições eram aplicáveis ​​no momento da coleta do consentimento

Direitos dos usuários

O GDPR deu aos cidadãos da UE muitos direitos para a proteção de sua privacidade e segurança. A seguir estão os principais direitos sob GDPR -

• O direito de ser informado

Os titulares dos dados devem ser informados sobre o tratamento dos dados e deve ser solicitado o seu consentimento antes da recolha dos dados. Eles têm o direito de saber para que finalidade os dados estão sendo coletados, como devem ser processados ​​e armazenados e se devem ser compartilhados com terceiros, com quem estão sendo compartilhados.

• O direito de acesso

Os titulares dos dados têm agora o direito de aceder aos seus dados pessoais que se encontram na base de dados de uma organização sempre que o desejarem. O controlador é obrigado a apresentar uma visão geral do processo de processamento de dados se um usuário solicitar.

• O direito de retificação

Os usuários agora têm o direito de obter seus dados retificados caso estejam incompletos ou imprecisos. O GDPR também afirma que a retificação deve ser divulgada a todos os destinatários terceiros envolvidos no processo. Se um usuário solicitar, a organização deve informá-lo sobre os destinatários de terceiros.

• O direito de apagar

Um usuário pode solicitar a uma organização que exclua seus dados de seu banco de dados. A organização é obrigada a excluir as informações nesse caso.

• O direito de restringir o processamento

Os titulares dos dados têm o direito de restringir o processamento de dados. A solicitação deve ser processada no prazo de um mês após o recebimento da solicitação.

• O direito à portabilidade de dados

Um usuário pode obter seus dados pessoais para transferi-los de um controlador para outro sem qualquer objeção do processador de dados. Ambos os dados fornecidos e observados estão sob esta regra.

• O direito de oposição

O GDPR dá o direito aos usuários de se oporem a algumas atividades específicas de processamento de dados que envolvem seus dados pessoais. O usuário deve fornecer uma motivação válida para a objeção se o processamento de dados for realizado em interesse público. Se o tratamento for feito simplesmente para fins de marketing, não é necessária qualquer motivação por parte dos utilizadores para apresentar uma objeção.

• Direitos em relação à tomada de decisão automatizada e criação de perfil

Os titulares dos dados têm o direito de dizer não ao sistema de processamento automatizado de dados. Uma organização pode realizar processamento automatizado de dados somente se for obrigada a firmar ou manter um contrato reconhecido pelas leis estaduais da UE, com base na permissão dos usuários e não tiver nenhum efeito legal ou similar sobre os titulares dos dados.

Transferências de dados internacionais

O GDPR permite a transferência de dados fora do EEE ou da Área Econômica Europeia apenas com a condição de que o país para o qual os dados estão sendo transferidos tenha um nível adequado de proteção de dados de acordo com o padrão da UE.

A outra condição é que o titular dos dados deve ser informado sobre isso. Sem o consentimento do titular, não é permitido transferir quaisquer dados.

Privacidade por design e padrão

O processamento de dados deve ser incluído desde o início do desenho do processo de negócios e seus desenvolvimentos. Em outras palavras, uma empresa deve garantir que o padrão de processamento de dados seja alto e todas as medidas necessárias sejam tomadas para atender aos padrões estabelecidos pelo GDPR no que diz respeito ao ciclo de vida do processamento de dados.

Notificação de violação

Em caso de violação, as autoridades superiores devem ser informadas pelo controlador de dados dentro de 72 horas após a conscientização da violação de dados. Se os dados forem processados ​​pelo processador de dados em nome do controlador de dados, ele deve informar o controlador sobre uma violação de dados no momento em que tiver conhecimento disso. Os usuários também devem ser informados sobre violações de dados.

Diretores de Proteção de Dados

O Data Protection Officer é uma pessoa que ajuda uma organização a estar em conformidade com as leis do GDPR. Ele ajuda uma organização a implementar todas as regras, definir a agenda e tomar ações para conformidade interna.

Um responsável pela proteção de dados é necessário especialmente nos seguintes casos -

• Um local onde uma grande escala de monitoramento sistemático de usuários é feito regularmente
• Se o processamento de dados for feito por autoridades públicas
• Se uma operação complexa for realizada com dados de usuários, principalmente se tratar de dados confidenciais.

Manter registros de atividades de processamento

O GDPR exige que o controlador de dados e o processador mantenham um registro “completo e extenso” abrangente e atualizado dos dados dos usuários.

Um registro deve ser mantido se -

• O tratamento de dados não é ocasional
• Pode resultar em risco para os direitos de privacidade e liberdade dos residentes da UE
• Envolve categorias de dados confidenciais ou especiais
• O processamento é feito por uma organização com mais de 250 funcionários

O registro deve incluir -

• Nome e informações de contato dos controladores de dados
• O objetivo do processamento de dados
• Descrição adequada das categorias dos dados, dos usuários e dos destinatários dos dados
• Um limite de tempo aproximado para o processamento de diferentes categorias de dados
• Descrição das medidas técnicas de segurança de uma organização

Avaliação de Impacto da Proteção de Dados (DPIA)

DPIA ou Data Protection Impact Assessment é um processo que ajuda uma organização a se atualizar para atender aos padrões do GDPR e estar em conformidade com ele. É principalmente um processo de manutenção de registros. É obrigatório nos casos em que existam chances de que o processamento de dados possa resultar em risco à privacidade dos titulares dos dados. A DIPA deve ser registrada por escrito para conveniência da organização.

DIPA inclui as seguintes coisas -

• Descrição dos dados processados
• Finalidade do processamento de dados
• Um relatório avaliativo dos requisitos e escopo do processamento de dados em relação à sua finalidade
• Avaliação dos fatores de risco
• Descrições das medidas tomadas para lidar com os riscos

Veja o que você precisa para começar com a conformidade total:

Há muitas maneiras diferentes de estar em conformidade com o GDPR. Os principais requisitos para o efeito são a política de privacidade para sites de comércio eletrônico, o consentimento dos usuários para coletar seus dados pessoais e uma política de notificação de cookies no caso de você usar cookies. A maneira mais fácil de atender a esses requisitos é usar um plugin do WordPress. Recomendamos dois plugins fáceis de usar chamados WP Legal Pages Pro e WP Cookie Consent.

WP Legal Pages PRO

O WP Legal Pages Pro é uma ferramenta poderosa do WordPress que ajuda você a criar documentos legais em nível de advogado em seu site WordPress com apenas alguns cliques. Ele vem com mais de 25 modelos pré-projetados. Este plugin de política de privacidade do WordPress inclui a política de privacidade GDPR para sites de comércio eletrônico. Tudo o que você precisa fazer é instalar e ativar o plug-in, importar o modelo, adicionar seus dados e clicar no botão “Publicar” para tornar seu site compatível com GDPR.

Consentimento de cookies WP

O WP Cookie Consent é um plug-in de consentimento de cookies elegante e moderno do WordPress que ajuda você a tornar seu site compatível com o GDPR usando uma barra de cookies personalizada. Ele permite que você crie avisos de cookies sem qualquer dificuldade em poucos minutos. Você pode mostrar ou ocultar esses avisos com base na geolocalização. Existe um scanner de um clique, que detecta todos os sites e cookies de terceiros automaticamente quando ativado. Você pode editar os detalhes do cookie manualmente.

Pensamentos finais

Neste artigo, tentamos dar uma ideia sobre a estrutura legal do GDPR e a conformidade com o comércio eletrônico. Também fornecemos uma lista de verificação detalhada dos requisitos do GDPR para ajudá-lo a fazer com que seu site esteja em conformidade com a regra de privacidade recém-implementada. No final do artigo, sugerimos dois plugins responsivos e amigáveis ​​para iniciantes, projetados para gerar documentos legais exigidos pelo GDPR. Você pode pegar os plugins e prosseguir. Em poucos minutos, você poderá tornar seu site compatível com o GDPR.

Se você achou o artigo útil, compartilhe-o no Twitter e no Facebook. Deixe sua opinião na seção de comentários abaixo. Adoraríamos ouvir seus comentários. Se precisar de mais informações, não hesite em nos contatar. Nós voltaremos para você em breve. Inscreva-se em nosso canal do YouTube para nossos tutoriais em vídeo.

Disclaimer : Esta é a contribuição do convidado do blog do vizinho