دليل خبير التجارة الإلكترونية للتحضير للائحة العامة لحماية البيانات (GDPR)
نشرت: 2018-05-15في هذه الأيام ، يبدو أن كل محادثة تدور حول الخصوصية عبر الإنترنت وإساءة استخدام البيانات. شاهدنا مؤخرًا الرئيس التنفيذي لشركة Facebook Mark Zuckerberg وهو يدلي بشهادته أمام مجلس الشيوخ الأمريكي بشأن استخدام البيانات الشخصية على Facebook - وتدافع الشركة لاحقًا لإعادة بناء سمعتها حيث تم رفض المشاركة بعد الفضيحة. كل يوم يبدو أن هناك جدلًا جديدًا متعلقًا بالبيانات يجب حله.
مع الرغبة العامة في مزيد من الإنترنت المجهول وإقرار القطاع الخاص بأن جمع بيانات المستخدم مفيد للأعمال التجارية ، يستمر النقاش. في غضون ذلك ، تعمل الدول الأوروبية على حماية مواطنيها من سوء إدارة البيانات ، وقد تكون التداعيات هائلة للشركات في جميع أنحاء العالم.
في 25 مايو 2018 ، ستضطر الشركات الأوروبية إلى معالجة الطريقة التي تتعامل بها مع بيانات المستهلك. كجزء من اللائحة العامة لحماية البيانات (GDPR) ، يجب على الشركات منح العملاء مزيدًا من التحكم في كيفية جمع بياناتهم وتخزينها واستخدامها في النهاية.
تهدف اللائحة إلى تعزيز حماية البيانات والخصوصية للمواطنين داخل الاتحاد الأوروبي ، بغض النظر عن مكان وجود شركة جمع البيانات. بعبارة أخرى ، إذا كان لديك نشاط تجاري مفتوح للعملاء الأوروبيين ، فعليك الانتباه إلى اللائحة العامة لحماية البيانات (GDPR) قبل أن تدخل حيز التنفيذ في النهاية. إذا كانت شركتك تعالج بيانات من مستخدمي الاتحاد الأوروبي ، فيجب أن تأخذ بعض الوقت للتعرف على هذه اللائحة الجديدة.
ما هو اللائحة العامة لحماية البيانات؟ أسئلة وأجوبة شائعة
تم اعتماد اللائحة العامة لحماية البيانات (GDPR) رسميًا في 27 أبريل 2016 ، لكنها لن تصبح قابلة للتنفيذ حتى 25 مايو 2018 ، بسبب فترة انتقالية مدتها سنتان تهدف إلى مساعدة الشركات على التكيف مع القواعد الجديدة. باختصار ، تهدف اللائحة إلى منح المستهلكين سيطرة كاملة على كيفية جمع بياناتهم واستخدامها. يعرّف الاتحاد الأوروبي البيانات الشخصية على أنها "أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه" ، بما في ذلك تاريخ الميلاد والعنوان ورقم الهاتف والراتب والإيجار وعنوان IP.
فيما يلي بعض الأسئلة الشائعة المتعلقة بهذا التنظيم الهام بحيث يمكنك الحصول على فهم أفضل لما إذا كنت بحاجة إلى إنفاق موارد إضافية للاستعداد لهذا التحول في الصناعة.
هل يمكنني تغريم إذا لم ألتزم؟
نعم ، ستواجه المنظمات التي لا تلتزم باللوائح الجديدة غرامات باهظة. تنص اللوائح على أن أي خرق للائحة العامة لحماية البيانات يمكن أن يؤدي إلى عقوبة تصل إلى أربعة في المائة من حجم المبيعات العالمي السنوي أو 20 مليون يورو (حوالي 24 مليون دولار) ، أيهما أكبر.
هل ينطبق على عملي؟
إن نطاق اللائحة العامة لحماية البيانات ضخم بالتأكيد. ينطبق هذا على أي شركة تعالج بيانات المقيمين في الاتحاد الأوروبي. مع ذلك ، لا تنطبق اللائحة إذا كنت تستخدم البيانات حصريًا للاستخدام الشخصي أو المنزلي ، وقد تكون أقل صرامة بالنسبة للشركات التي يقل عدد موظفيها عن 250 موظفًا. بغض النظر عن حجم عملك ، لا يزال يتعين عليك الاحتفاظ بسجلات داخلية مفصلة والامتثال للقانون العام لحماية البيانات (GDPR) ، لكن متطلبات حفظ السجلات مختلفة.
هل يمكن تغريم الشركات الأمريكية؟
ستتحمل الشركات الأمريكية المسؤولية عن عدم الامتثال ، ويمكن تغريمها بنفس المعايير بموجب القانون الدولي. يقول الخبراء إنه حتى الشركات التي ليس لها وجود مادي في الاتحاد الأوروبي يجب أن تلتزم باللوائح الجديدة.
ماذا تحمي اللائحة العامة لحماية البيانات؟
الهدف الرئيسي من التشريع هو إعطاء المستهلكين لغة اختيار واضحة وغير مربكة حول جمع البيانات. إنه يوفر للمستهلكين ثمانية حقوق فردية: أن يتم إبلاغهم ، والوصول ، والتصحيح ، والمسح ، وتقييد المعالجة ، وإمكانية نقل البيانات ، والاعتراض واتخاذ القرارات المتعلقة باتخاذ القرارات الآلية والتنميط.
كيف يفيد اللائحة العامة لحماية البيانات (GDPR) المستهلكين؟
الفائدة الرئيسية من اللائحة الجديدة هي أنها تحافظ على خصوصية بيانات المستهلكين ، مما يعني حماية أفضل لأولئك الذين يختارون الحفاظ على خصوصيتهم. كما سنغطي أدناه ، قد يكون للقواعد الجديدة العديد من الفوائد القابلة للقياس للشركات.
ماذا يعني هذا بالنسبة لشركات التجارة الإلكترونية؟
ليس هناك شك في ذلك. يعد فهم المستهلك من خلال أدوات تحليلات التجارة الإلكترونية مثل Springbot - التي يمكنها جمع بيانات قيمة عن المستهلكين بكفاءة لأشياء مثل إعادة توجيه الإعلانات وجهود التسويق عبر البريد الإلكتروني وتخصيص الإعلانات - بشكل عام استثمارًا كبيرًا لمعظم المتاجر عبر الإنترنت. لا يتعين عليك التوقف عن الاعتماد على هذه الأدوات القيمة في مواجهة اللوائح العامة لحماية البيانات واللوائح المماثلة ، طالما أنك تجمع البيانات بشكل مسؤول . خلاصة القول هي أن التنقيب عن البيانات الشخصية غامض بشكل لا يصدق ، ولا يدعمه معظم المستهلكين إلا عندما يكونون تحت السيطرة.
ما يمثله التحول في القواعد هو دفع لمزيد من جمع البيانات الموحدة ، مما قد يعني في الواقع أشياء أفضل لعملك. من الناحية العملية ، هذا يعني أنه في أي وقت تقوم فيه بمعالجة بيانات شخص ما - سواء كان يشترك في قائمة البريد الإلكتروني الخاصة بك أو يقوم بعملية شراء - يجب أن تمنحه الحق في مراجعة وتعديل ومسح وتقييد الوصول.
في الصورة الأكبر ، هذا يعني أنك تضع المستهلك في المرتبة الأولى ، وتحسن الأمن السيبراني لشركتك وحتى تحمي سمعتها. عندما تقوم بجمع البيانات من الأشخاص الراغبين في مشاركتها ، لا يزال بإمكانك تجميع التحليلات الأساسية وتقليل استياء العملاء من الأشخاص الذين لا يريدون تخزين معلوماتهم.
أهم خمسة أشياء يجب عليك القيام بها للتحضير
أهم شيء يمكنك القيام به لتجهيز عملك لتطبيق القانون العام لحماية البيانات (GDPR) هو معرفة القانون. التنظيم الرسمي طويل ومليء بالمصطلحات القانونية ، ولكن هناك موارد عالية الجودة عبر الإنترنت توفر ملخصًا ممتازًا للقواعد الجديدة حول جمع البيانات. على سبيل المثال ، ينص القانون الجديد على أنه يجب عليك إبلاغ المستهلكين بانتهاك البيانات في غضون 72 ساعة ، وأنه يجب عليك منح المستهلكين الحق في الوصول إلى كيفية استخدام بياناتهم وأنه يجب عليك السماح لهم "بالنسيان" أو الإزالة من النظام الخاص بك ، عند الطلب.
بعد ذلك ، من الضروري أن تحدد كيف سيؤثر القانون على عملك على وجه التحديد. كما ذكرنا ، تختلف جوانب إعداد التقارير وقواعد حفظ السجلات للشركات الصغيرة والمتوسطة الحجم (SMBs) مقارنة بالشركات الكبيرة ، لذلك يجب أن تكون على دراية بمسؤوليات شركتك.
بطبيعة الحال ، هناك العديد من الأشياء المفيدة التي يمكنك القيام بها لتحضير عملك للامتثال. بالإضافة إلى النصائح الموصى بها أدناه ، نقترح استشارة مستشار قانوني للتأكد من أن عملياتك لا تحتوي على أي ثغرات أمنية.
1. التحول إلى العمليات الشفافة
المستخلص الرئيسي من مرور هذه اللائحة هو أن الناس يريدون - وستطبق القوانين - حق المستهلكين في معرفة كل شيء عن كيفية استخدام بياناتهم. هذا يعني أن كل اتصال فردي مع المستهلكين بشأن البيانات يجب أن يكون شفافًا قدر الإمكان. سيساعدك فهم كيفية معالجة شركتك للبيانات على تحديد ما إذا كانت متوافقة - لذا تعرف على مكان تخزين بياناتك وكيف يتم استخدامها.
- أعد كتابة نماذج الموافقة بلغة واضحة.
- احصل على موافقة واضحة من المستخدمين عند جمع بياناتهم.
- بدّل من لغة "إلغاء الاشتراك" إلى لغة "الاشتراك".
- اذكر سبب معالجة بيانات معينة.
- قم بإجراء تقييم تأثير حماية البيانات (DPIA).
2. تعيين القادة وتبادل المعلومات
جانب آخر مهم لهذه اللائحة هو أنه سيُطلب من بعض الشركات تعيين مسؤول حماية البيانات (DPO) ، الذي سيكون مسؤولاً عن الإشراف على عمليات حماية البيانات داخل الشركة. لن تحتاج جميع الشركات إلى DPO - فقط تلك التي تعالج كميات هائلة من البيانات الشخصية - ولكن يجب على كل شركة تعيين قائد امتثال يمكنه المساعدة في ضمان اتباع جميع القوانين بشكل صحيح.
- اكتشف ما إذا كان عملك يتطلب DPO.
- حتى إذا لم تكن بحاجة إلى مسؤول حماية البيانات ، فقم بتعيين قائد لخصوصية البيانات.
- تنبيه كل قسم من القواعد الجديدة.
- قرر كيفية التعامل مع طلبات الوصول إلى البيانات.
3. فحص جميع خدماتك
يتعين على الشركات فقط استخدام معالجات البيانات التي تساعد في تنفيذ التخزين القانوني للبيانات ، مما يعني أنه يجب عليك إجراء تدقيق قوي للتأكد من عدم وجود أي أدوات في مكانها قد تتجاهل بشكل صارخ اللوائح الجديدة. على سبيل المثال ، إذا كنت تستخدم أي مكونات إضافية للتحليلات ، فتأكد من أنها تخزن وتدير بيانات المستهلك بطريقة تتوافق مع القانون العام لحماية البيانات (GDPR). تلتزم Springbot بمساعدة العملاء في الحصول على البيانات بطريقة قانونية وأخلاقية.
- تأكد من امتثال خدمات الجهات الخارجية.
- اكتشف ما إذا كانت الأدوات التي تستخدمها تتطلب موافقة من المستخدم.
- ابحث عن أدوات من الشركاء لتسريع العملية الخاصة بك.
4. تجديد عملية حفظ السجلات الخاصة بك
يعد حفظ السجلات من أكثر جوانب اللائحة العامة لحماية البيانات صعوبة. نظرًا لأن المستهلكين لديهم الآن الحق في الحصول على معلومات حول بياناتهم الشخصية والوصول إليها ومسحها ، يجب أن تتأكد من تسجيل عملياتك بدقة. ستحتاج أيضًا إلى الوصول عند الطلب إلى بيانات العميل ، في حالة طلب المستهلك منك ذلك.
يجب أن تكون قادرًا على تحديد البيانات الشخصية والإبلاغ عنها ، بغض النظر عما إذا كنت تشاركها مع جهات خارجية أم لا. أحد الأغراض الرئيسية لقواعد حفظ السجلات الأكثر صرامة هو التأكد من دقة البيانات الشخصية. سيكون الأمر متروكًا لك لتسجيل البيانات الشخصية الصحيحة وتحديث المؤسسات الأخرى وفقًا لذلك.
- تعرف على المادة 30 ، التي تغطي حفظ السجلات.
- سجل الغرض من أي معالجة للبيانات.
- الاحتفاظ بسجلات عن فئات مواضيع البيانات والمستلمين.
- سجل كل شيء ، بخلاف ما تتطلبه المادة 30.
5. الاستفادة من البيانات بالطريقة الصحيحة
أخيرًا ، آخر شيء يمكنك القيام به للاستعداد للانتقال هو اكتشاف الطريقة الأكثر مسؤولية للاستفادة من بيانات العملاء بموجب هذه اللوائح الجديدة. ينص القانون العام لحماية البيانات (GDPR) على أنه يجب "الاحتفاظ بالبيانات الشخصية في شكل يسمح بتحديد موضوعات البيانات لمدة لا تزيد عن الوقت اللازم للأغراض التي تتم من أجلها معالجة البيانات الشخصية". لذلك ، لا يزال بإمكانك استخدام البيانات لأشياء مثل إعادة الاستهداف وجهود تسويقية طويلة المدى ، طالما أنك تخبر المستهلك أنك تخطط لاستخدامها للغرض المعلن.
- افهم المدة التي يُسمح لك فيها بالاحتفاظ بالبيانات الشخصية في السجل.
- ضع خطة لوقت وكيفية إتلاف البيانات بعد تلك الفترة الزمنية.
- حاول "إخفاء هوية" البيانات قدر الإمكان حتى تتمكن من تخزينها لفترة أطول.
- حدد أنواع البيانات الشخصية التي تمثل أعلى المخاطر.
لماذا يهم
يبدو أن كل هذا يتطلب الكثير من العمل ، أليس كذلك؟ ولكن هذا هو الشيء: اللائحة العامة لحماية البيانات مفيدة لتجربة العملاء بقدر ما هي مفيدة لجمع البيانات الشخصية. هذا لأنه ، في حين أن المستهلكين يفضلون بشكل كبير التجارب الشخصية ويدركون أن تجميع البيانات يمكن أن يؤدي إلى تجربة أكثر شخصية على الإنترنت ، فإنهم يريدون أيضًا أن يتحكموا تمامًا في بياناتهم الخاصة. ونظرًا لأن 92 بالمائة من المتسوقين عبر الإنترنت يعتبرون الأمان والخصوصية مصدر قلق ، يجب اتخاذ مثل هذه الإجراءات لجعل التسوق عبر الإنترنت أكثر خصوصية.
مع وضع كل هذا في الاعتبار ، من المهم أن نعمل جميعًا على إجراء تعديلات جديدة من شأنها مساعدتنا على تلبية احتياجات العملاء بشكل أفضل دون تجاوز حدود الخصوصية المهمة. عندما يتعلق الأمر بالتسويق والمبيعات وتنمية أعمالك ، لا ينبغي أن تعيقك اللائحة العامة لحماية البيانات (GDPR).
بدلاً من ذلك ، يجب أن يغير الطريقة التي تقوم بها بالأشياء للأفضل بحيث تزرع عملاء سعداء وموثقين ومخلصين. وبالتالي ، فإن إنفاق القليل من الوقت والمال الإضافي في إعداد عملك للائحة العامة لحماية البيانات سيكون أمرًا يستحق جهودك.