あなたのウェブサイトはGDPRに準拠していますか? 1つになる方法を見つける

公開: 2018-06-27

「準備に失敗することで、あなたは失敗する準備をしているのです」とベンジャミン・フランクリン。

包括的なEUデータ保護法、一般データ保護規則、またはGDPRによって生み出された話題は、ビジネスの世界を席巻したようです。 法律は5月25日にすでに施行されているので、ビジネスWebサイトを通じて法律を理解して実施するときが来ました。 そうしないと、あなたのビジネスは、2,000万ユーロまたは前年の売上高の4%のいずれか高い方の額の厳しい罰則を受けるリスクがあります。 それは恐ろしいシナリオのようですか? 法律の基本的な前提と、ビジネスWebサイトをGDPRに準拠させる方法を理解していれば、答えはノーです。

GDPRとは何ですか?

GDPRは、以前のEUベースのデータ保護法をすべて1つの包括的な法律にまとめたものです。 これは、EUの領域内での個人の権利と自由の透明性と保護を強化することを目的としています。 GDPRは非常に複雑であることは言うまでもなく膨大です(260ページ、11章、99記事)が、ブログでは、ビジネスに影響を与える可能性のあるGDPRの主要な規定を簡単に理解できるようにしています。 このブログを通じて、GDPRに関する微妙な疑問のいくつかを取り除き、ビジネスをその右側にとどまらせる方法を説明することを目指しています。

まず、GDPRで広く使用されているいくつかの重要な用語、つまり、個人データ、データ主体、データ管理者、データ処理者について明確にしましょう。

個人データ:これは、EU加盟国のいずれかの市民である個人に属する情報に関連しています。 情報は、彼または彼女の名前、識別番号、場所、性別、または彼または彼女の社会的、身体的、生理学的、遺伝的、文化的、経済的、または精神的アイデンティティに関連するものである可能性があります。 例:マーク氏、0012、アテネ、男性、白人、クリスチャン、10,000ユーロの収入など。

データ主体:上記の個人データが記載されている個人。 例:マークさん。

データ管理者:個人データの収集、保存、共有、および処理の目的と手段を決定するエンティティ(企業、企業、企業、組織、政府を読む)。 たとえば、あなたのビジネスが上記の活動を実行する場合、それはデータ管理者になります。

データ処理者:データ管理者によって承認されたデータ主体の個人データを分析および処理するサードパーティベンダー。 たとえば、経験豊富なWebサイト設計会社に依頼して、Webサイトを構築する場合、後者がデータ処理者になります。

覚えて! ビジネスの主要なインターフェースであるウェブサイトをGDPRに準拠させることで、ビジネスが厳格なGDPR条項に違反するのを防ぐことができます。 できればプロのウェブサイトデザインサービスを利用して同じことを達成する方法を見つけましょう。 これは、経験豊富なWebサイト開発会社が、GDPRの規定と、それらが適用されるWebサイトの主要な領域に関する特定の知識を持っているため、最も重要です。

GDPR基準の透明性とコンプライアンスを確保するための重要なステップ

GDPRの規定では、ウェブサイトの基本アーキテクチャに大幅な変更を加える必要はありません。 これらは、以下に説明するように、いくつかの領域に限定されています。

フォーム:ウェブサイトにニュースレターや販促資料の購読を招待するチェックボックスが付いた「お問い合わせ」フォームがある場合は、「いいえ」にチェックを入れるか、空白のままにする必要があります。 以前とは異なり、チェックボックスは事前にチェックされるべきではありません。 さらに、個人データをさまざまな目的で使用することについてデータ主体に同意を求める場合は、チェックボックスをバンドル解除して分離する必要があります。 これらは、顧客(データ主体)が各サービスをよりよく理解するのを助けるために必要です。

明確な撤回手順:データ主体が特定のサービスへの登録を撤回したい場合、Webサイトには同じことを示す明確なオプションが必要です。 実際、特定のサービスの購読を解除するには、明確なチェックボックスが必要です。 購読を解除する理由を、顧客が選択できる個別のオプションとして追加できる可能性があります。 同じことが理由の分析を実行するために使用できるので、サービスまたはUXの改善に取り組むことができます。

サードパーティのリンクを監視する:デジタルマーケティングサービスを有効にするために、Webサイトにサードパーティのサイトへのリンクがある場合があります。 ただし、これらのリンクは、データ主体の個人データを収集するために30のパーティベンダーが使用できます。 したがって、これらのリンクを提供することにより、実際にはベンダーが個人データを収集することに同意したことになります。 GDPRの規定では、サードパーティベンダーとの個人データの共有に関して顧客から特定の同意を得る必要があります。 これは、Webサイトのどこでどのように個人データがサードパーティベンダーによって収集されるかを理解および監視するために、包括的な監査を実行する必要がある場所です。

プライバシー基準、利用規約:ウェブサイトの利用規約ページには、データ収集の手口が明確に表示されている必要があります。 それはあなたが個人データをどのように使用するつもりであるか、そしてあなたがあなたのシステムでそれをどのくらいの期間保持するかについて説明するべきです。 さらに、プライバシー基準は、Webサイトがユーザーの操作を追跡するために使用するアプリケーションをリストし、その際の顧客の同意を指定する必要があります。

オンライン支払い:個人情報を収集して支払いゲートウェイ会社または銀行に渡してさらに処理するオンラインストアがある場合、その情報はシステムにも保存されたままになります。 GDPRによると、正当な目的で必要とされない限り、個人データをシステムに無期限に保持することはできません。 オンラインストアが支払い目的で収集した個人データは、合理的な期間内に削除されるようにする必要があります。

Cookieポリシー:これは、サイトで使用されているCookieとサードパーティのCookieの両方、Cookieを使用してキャプチャするデータ、およびデータを使用して行うことを示すWebサイトのページです。 ウェブサイトの使用は、クッキーの使用を受け入れる人に限定されてはなりません。 ユーザーには、Cookieを使用せずにサイトを使用するか、セッションでのCookieの使用を拒否するかを選択する必要があります。 ただし、Cookieを拒否すると、サイトの一部の機能が失われる可能性があることをCookie通知を通じて説明する必要があります。

SSL証明書: SSL証明書は、ブラウザバーに安全な通知と南京錠の記号が表示されることを保証します。 目的は、Webサイトのフォームまたはフィールドに入力されたすべての詳細を安全に暗号化することです。 ホスティングサーバープロバイダーに連絡して、同じものを購入してインストールすることができます。

暗号化されたデータストレージ:すべてのパスワードを暗号化された形式で保存して、悪意のあるユーザーの手に渡らないようにします。

ライブチャット:ウェブサイトにライブチャットサービスがある場合は、Cookieとプライバシーポリシーでこのサードパーティサービスを参照していることを確認する必要があります。また、後者のGDPR/プライバシーシールドポリシーも確認する必要があります。

その他の要件:

  • 安全な方法で電子メールデータを確実に保存します。 堅牢なウイルス対策ソフトウェアを使用して、不要な電子メールを削除します。
  • Facebook Messengerを使用して、問い合わせに関連する顧客とチャットしたことがある場合は、チャットの履歴が終了したら必ず削除してください。 あなたがソーシャルメディアチャネルの外で正式なつながりを保つことができるように、その人にあなたに電子メールを送ってもらいます。
  • Webサイトが顧客のデータをキャプチャし、それをSalesforceやPardotなどのCRMプラットフォームに保存する場合は、データ収集プロセスが安全であることを確認する必要があります。 また、プライバシーポリシーのサードパーティサービスを参照してください。
  • データ主体から収集されたデータは、ソーシャルメディアチャネルで共有されるべきではありません。
  • Googleマップは、連絡先ページに強制的に表示する必要があります。

結論
GDPRは、企業が顧客データを処理する方法に透明性をもたらすことを可能にする法律であるため、恐れることはありません。 上記の手順が、できれば経験豊富なWebサイト開発会社であるインドによってWebサイトに組み込まれている場合は、コンプライアンスの問題を回避し、顧客間の信頼を高めることができます。