Dropshipping și GDPR - Transferul datelor personale în țări terțe
Te-ai gandit vreodata sa incepi o afacere online cu cat mai putina bataie de cap posibil? Atunci probabil ca ai luat in considerare modelul de comert electronic de tip dropshipping.
In esenta, dropshipping-ul este o modalitate de a administra un magazin online fara a detine stocuri de produse. Clientul plaseaza o comanda, tu (in calitate de dropshipper) o transmiti furnizorului, iar furnizorul expediaza produsul direct cumparatorului. Dropshipper-ul nu are nicio implicare in procesul de ambalare sau expediere.
Suna usor si profitabil. Cu toate acestea, chiar daca nu reprezinta un impediment, aspectele juridice trebuie luate in considerare, intrucat, altfel, poti suferi prejudicii financiare sau de imagine.
Sunt mai multe probleme juridice de care dropshipper-ul ar trebui sa se ocupe, iar acest articol abordeaza unul dintre cele mai importante: transferul datelor personale catre o tara din afara Spatiului Economic European (SEE) – care este denumita tara terta, in lumina Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR).
Care sunt problemele legate de GDPR in modelul dropshipping?
Transferul datelor personale catre tari terte reprezinta unul dintre cele mai sensibile aspecte. Prin natura sa, acest business implica transferul datelor personale. Ne vom referi, in principal, la ipoteza in care dropshipper-ul, in calitate de operator de date cu caracter personal si exportator de date, transfera datele personale ale clientilor catre furnizorii sai, in calitate de persoane imputernicite.
Cu alte cuvinte, datele clientilor trebuie comunicate furnizorului pentru ca acesta din urma sa poata expedia coletul.
Cu toate acestea, dropshipper-ul, ca orice alt proprietar de business, poate alege sa foloseasca anumite servicii (precum servicii de plata, mentenanta serverelor si alte servicii necesare pentru operatiunile sale) prestate de companii aflate in tari terte. Cerintele referitoare la transferul datelor personale in tari terte sunt aplicabile oricaror date personale care parasesc SEE.
Este bine cunoscut faptul ca cei mai cautati furnizori se afla in afara SEE, precum China sau SUA, deci aspectele de mai jos ar trebui luate in calcul inainte de a incepe operatiunile.
De ce reprezinta acest transfer o chestiune sensibila?
In timp ce pentru modelul dropshipping transferul datelor clientilor este, de fapt, nucleul afacerii, din perspectiva GDPR, un astfel de transfer (daca este facut in tari terte) poate fi vazut ca o exceptie.
Regula este ca un transfer nu ar trebui facut, pentru ca poate exista riscul ca datele personale sa fie accesate intr-un mod daunator. Transferul ar putea sa aiba loc numai daca, sub rezerva celorlaltor dispozitii ale GDPR, conditiile GDPR referitoare la transferul datelor personale in tari terte sunt indeplinite de catre operator sau persoana imputernicita.
Transferul poate fi facut in conditii stricte, prin mai multe modalitati:
- Exista o decizie privind caracterul adecvat – daca Comisia Europeana a decis ca o tara terta ofera un nivel adecvat de protectie a datelor.
In astfel de cazuri, transferurile de date personale catre tari terte poate avea loc fara a fi nevoie de obtinerea niciunei alte autorizatii.
Pana in acest moment, Comisia Europeana a emis decizii privind caracterul adecvat pentru urmatoarele tari: Andorra, Argentina, Canada (organizatii comerciale), Insulele Faroe, Guernsey, Israel, Isle of Man, Japonia, Jersey, Noua Zeelanda, Elvetia si Uruguay. Chiar daca dropshipper-ul transfera datele in una dintre aceste tari, lista de mai sus trebuie revazuta periodic, pentru ca in orice moment pot exista modificari sau chiar retrageri ale deciziei.
- In cazul in care nu exista o decizie privind caracterul adecvat – unul dintre instrumentele de transfer prevazute de GDPR trebuie utilizat. Printre instrumentele de transfer se numara urmatoarele: Reguli Corporatiste Obligatorii (Binding Corporate Rules – BCR), Clauze Contractuale Standard (Standard Contractual Clauses – SCC), coduri de conduita, mecanisme de certificare. Alegerea va fi facuta de la caz la caz.
Care sunt pasii spre conformitatea cu GDPR?
Dropshipper-ul trebuie sa efectueze o evaluare aprofundata si sa reaspunda urmatoarelor intrebari:
1. Ce date vor fi transferate?
Principiul minimizarii datelor trebuie respectat, ceea ce inseamna ca dropshipper-ul trebuie sa transfere numai datele strict necesare pentru executarea contractului de vanzare. Spre exemplu, nu este nevoie sa transferi detaliile bancare ale clientului catre furnizorul tau din moment ce clientul a facut sau va face plata catre compania ta.
2. In ce tari terte vor fi transferate datele?
Fiecare tara implicata ar trebui luata in considerare, intrucat fiecare asigura diferite nivele de protectie a datelor. Este de o importanta deosebita o decizie recenta a Curtii de Justitie a Uniunii Europene (CJUE) care invalideaza Decizia 2016/1250 privind caracterul adecvat al protectiei prevazute de Scutul de Confidentialitate UE-SUA (Cazul C-311/18). Practic, Scutul de Confidentialitate SUA a fost invalidat. Cu alte cuvinte, incepand cu 16 iulie 2020, dropshipper-ii care fac comenzi din SUA trebuie sa efectueze analize de la caz la caz pentru a determina daca transferurile lor de date indeplinesc standardele GDPR.
3. Care sunt transferurile subsecvente?
Dropshipper-ul trebuie sa analizeze daca furnizorii sai (in calitate de persoane imputernicite) aflati in afara Spatiului Economic European (SEE) tranfera datele personale pe care dropshipper-ul le-a incredintat catre o persoana sub-imputernicita in alta tara terta sau in aceeasi tara terta. Spre exemplu, furnizorul tau din China utilizeaza serviciile de transport ale unui transportator chinez, care opereaza datele personale ale clientilor tai (nume, adresa de livrare, numar de telefon etc.).
4. Care sunt celelalte detalii ale schemei mele de business?
In orice moment, ar trebui sa retii principiul know-your-business. Exista numeroase detalii care ar putea fi relevante, iar o atentie deosebita trebuie acordata dreptului persoanelor la protectia datelor ca drept fundamental. Limitari ale acestui drept pot fi realizate numai daca exista o baza legala, sunt proportionale si indeplinesc standardele UE.
5. Care este instrumentul de transfer pe care ma bazez? Este o decizie privind caracterul adecvat sau clauze contractuale?
O decizie privind caracterul adecvat reprezinta o adevarata facilitate, intrucat transferurile catre respectiva tara vor fi asimilate transmiterilor intra-UE de date. Altfel, o atentie deosebita trebuie acordata clauzelor contractuale dintre exportatorul de date (dropshipper-ul) si importatorul de date (furnizori din tari terte etc.).
6. Exista ceva in legislatia sau practica tarilor terte care poate afecta eficacitatea instrumentului de transfer pe care ma bazez?
Aici intervine o alta parte dificila a analizei. Caracteristicile fiecarui transfer trebuie cercetate si dropshipper-ul trebuie sa evalueze care va fi impactul asupra exercitarii efective a drepturilor persoanelor vizate (clientii tai) de care beneficiaza conform GDPR.
7. In caz afirmativ, ce masuri suplimentare pot lua ca sa asigur nivelul de protectie a datelor transferate pana la standardul GDPR?
In cazul in care pasii anteriori arata ca instrumentul de transfer nu este eficient, trebuie sa identifici masurile suplimentare de natura contractuala, tehnica sau organizationala. Furnizorii tai, in calitate de persoane imputernicite, ar trebui sa te ajute in gasirea si implementarea masurilor suplimentare
Aceasta evaluare poate sa nu fie o sarcina usoara. Cu toate acestea, dropshipper-ul trebuie sa fie constient ca este responsabil pentru conformarea cu GDPR, nu furnizorii.
In concluzie, dropshipping-ul poate fi un real succes, in masura in care aspectele juridice sunt scanate temeinic si solutionate de la inceput.