ArticleGDPR dla amerykańskich witryn internetowych: wszystko, co musisz wiedzieć

Opublikowany: 2022-08-12

Większość z nas pamięta wielkie szaleństwo RODO z 2018 roku. Istnieje duża szansa, że ​​przytłoczyły Cię informacje o Unii Europejskiej (UE) i jej nowym ogólnym rozporządzeniu o ochronie danych (RODO). To ogólne rozporządzenie weszło w życie 25 maja 2018 r.

Kiedy po raz pierwszy zacząłem szukać informacji do tego artykułu, byłem zaskoczony liczbą „eksperckich” źródeł. Wiele linków wyświetlanych u góry stron wyników wyszukiwania Google wydaje się być „oficjalnymi” witrynami.

To tylko mikrostrony marketingowe dla firm konsultingowych, które chcą zarobić. Chociaż dotyczy to reklam, w równym stopniu uwzględnia wyniki organiczne. Niektóre informacje na tych stronach są całkiem dobre, ale prawie we wszystkich przypadkach są niekompletne, a motywy autorów niejasne.

Aby uniknąć całego tego zamieszania i błędnych wskazówek, postanowiłem skorzystać z jednego wiarygodnego źródła: strony internetowej Komisji Europejskiej. Moje fakty i zalecenia opierają się bezpośrednio na tekście Rozporządzenia 2016/679 (RODO) i cytuję je obficie w całym artykule.

Wraz z tekstem rozporządzenia przeanalizowałem oświadczenia zewnętrznych dostawców usług, takich jak Google i Pardot, w sekcji „Powikłania osób trzecich” poniżej, ale tylko w odniesieniu do usług tych firm, z których korzysta wielu naszych klientów.

Moją grupą docelową są przedstawiciele firm (publicznych i prywatnych) z siedzibą w USA, którzy w pewnym zakresie prowadzą działalność w UE. Moim celem jest pomóc im zrozumieć, co muszą zrobić na swoich korporacyjnych stronach internetowych, aby zachować zgodność z nowym rozporządzeniem.

Jeśli Twoja firma ma siedzibę poza Stanami Zjednoczonymi, Twoja firma zajmuje się danymi wrażliwymi (tj. dokumentacją medyczną), zbiera dane dotyczące dzieci, jest agencją rządową lub usługodawcą dla agencji rządowych, to przestań czytać teraz... To nie jest dla Ciebie.

Żeby było jasne, nie jestem prawnikiem i nic tutaj nie powinno być interpretowane jako porada prawna.

Co to jest RODO?

Prawo do prywatności w krajach członkowskich UE jest utrzymywane na bardzo wysokim poziomie, a obciążenie nakładane na osoby gromadzące dane jest większe niż w Stanach. To nie jest nowa sytuacja. Przed wprowadzeniem RODO UE miała dyrektywę o ochronie danych (DPD), która została ustanowiona w 1995 roku i zawierała wiele tych samych zasad, które znajdujemy w RODO. Zarówno DPD, jak i RODO opierają się na Karcie Praw Podstawowych Unii Europejskiej, która mówi po prostu:

Każdy ma prawo do ochrony danych osobowych, które go dotyczą – Karta Praw Podstawowych Unii Europejskiej, art. 8 ust. 1

Podstawowym duchem RODO jest to, że wszystkie „osoby fizyczne” (więcej na ten temat później) mają prawo wiedzieć, kiedy ich dane są gromadzone oraz prawo do odmowy ich zbierania. Jeśli wyrażą zgodę na kolekcja , mają prawo zarządzać sposobem wykorzystania tych danych, cofnąć swoją zgodę, a nawet zdecydować w późniejszym terminie na usunięcie wszystkich swoich aktualnych i historycznych danych.

Istnieją również pewne oczekiwania wobec „administratorów” i „przetwarzających” danych (więcej o tych terminach również później) w odniesieniu do zarządzania i procesów mających na celu ochronę danych użytkowników. I wreszcie, są rzeczy, które administrator musi zrobić w przypadku naruszenia danych.

Jednym z najlepszych źródeł zrozumienia ducha RODO jest jego preambuła. Jest napisany prostym, prostym językiem, dzięki czemu jest bardziej przyswajalny niż większość dokumentów prawnych. Jednak ten prosty język nie oddaje w pełni absolutnej litery prawa i nie zastępuje faktycznej regulacji.

W przeciwieństwie do DPD, przepisy RODO obowiązują we wszystkich państwach członkowskich. Nie ma wymogu, aby państwa członkowskie wdrożyły rozporządzenie, zanim zostanie uznane za obowiązujące. Ale RODO nie wyklucza dodatkowych przepisów państw członkowskich, które mogą pójść jeszcze dalej w zakresie ochrony niektórych rodzajów wrażliwych danych osobowych, takich jak dokumentacja medyczna.

RODO dotyczy wszystkich firm prowadzących działalność gospodarczą w UE, niezależnie od ich lokalizacji. Posiadanie dostępu użytkownika do Twojej witryny z UE nie oznacza, że ​​zamierzasz prowadzić działalność gospodarczą w UE. Jeśli jednak aktywnie prowadzisz interesy w UE, musisz przestrzegać RODO.

Jeszcze jedna uwaga: RODO nie zastępuje ani nie zastępuje unijnego prawa dotyczącego plików cookie. Ten przepis nadal obowiązuje.

Kto i co jest chronione?

Osoby fizyczne mieszkające w UE są chronione przez RODO. Rozporządzenie wchodzi w życie przed Brexitem, więc RODO obejmuje na razie Wielką Brytanię. Osoba fizyczna może być po prostu traktowana jako indywidualna istota ludzka. Natomiast osoba prawna może być po prostu osobą prawną. Ochrona RODO nie obejmuje osób spoza Unii Europejskiej.

Wszelkie informacje, które można powiązać z pojedynczą osobą, niezależnie od tego, czy jej tożsamość jest obecnie znana, są uważane za „Dane osobowe”.

„dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden lub więcej szczególnych czynników fizycznych, fizjologicznych, tożsamość genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tej osoby fizycznej; – art. 4 ust. 1 RODO

„Identyfikowalny” to termin, którym musimy się zająć. Nie jest konieczne, abyśmy obecnie znali tożsamość osoby. Posiadanie środków (plik cookie, adres IP itd.) do późniejszego powiązania danych z daną osobą sprawia, że ​​jej dane są chronione zgodnie z kryteriami RODO.

Rozporządzenie unika uwzględniania konkretnych technik gromadzenia danych (z wyjątkiem wykorzystania w przykładach), więc jest agnostyczne względem technologii. Biorąc pod uwagę tempo innowacji związanych z gromadzeniem danych, jest to konieczne, aby RODO mogło pozostać względnie odporne na przyszłość. Pliki cookie, adresy IP, profile przeglądarek, RESTful API z danymi użytkownika na ścieżce i wszelkie inne sprytne techniki, które mogą zostać wymyślone w przyszłości, są objęte RODO.

Kto jest odpowiedzialny za zgodność?

Ty . Twoja organizacja jest „administratorem” Twojej witryny i jest ostatecznie odpowiedzialna za zapewnienie przetwarzania danych osobowych w sposób zgodny z RODO. Jeśli zdecydujesz się skorzystać z usługi strony trzeciej na swojej stronie internetowej, która nie spełnia wymogów, ponosisz winę.

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych; – art. 4 ust. 7 RODO

Każda usługa dodana do Twojej witryny (np. Google Analytics, Pardot itp.) musi być również zgodna z RODO. Nawet jeśli uważasz, że usługa, którą dodajesz, nie gromadzi danych osobowych, musisz zachować ostrożność.

Wiele bezpłatnych usług obejmuje pewną formę przechwytywania danych, która jest później wykorzystywana w sieciach reklamowych. W 2011 roku przeprowadziłem kilka testów i znalazłem "darmowe" widżety do udostępniania społecznościowego, takie jak ShareThis lub AddToAny osadzone komponenty śledzące dla wielu sieci reklamowych. W jednym przypadku jeden widżet udostępniania umożliwiał śledzenie przez pół tuzina sieci reklamowych.

Musisz dokładnie sprawdzić każdą aplikację i usługę, którą umieszczasz na swojej stronie. Jeśli części Twojej witryny są hostowane przez strony trzecie (tj. Kariera / HR lub relacje inwestorskie), powinieneś upewnić się, że ci dostawcy i wszelkie strony trzecie, z których korzystają, przestrzegają RODO.

Musisz również zweryfikować wszelkie strony trzecie, które niekoniecznie zbierają dane w Twojej witrynie, ale w jakiś sposób powierzono im zebrane dane. Konsultanci ds. analityki mogą należeć do tej kategorii.

Wszystkie te strony trzecie są „przetwarzającymi” dane Twoich użytkowników.

„przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który przetwarza dane osobowe w imieniu administratora; – art. 4 ust. 8 RODO

Jeśli Twoja firma zatrudnia mniej niż 250 osób i nie zbierasz wrażliwych danych osobowych, które mogłyby skutkować ryzykiem praw i wolności osób fizycznych, to istnieje pewna pobłażliwość w odniesieniu do rejestrów czynności przetwarzania, które zmniejszają Twoje obciążenie. Nie jesteś zwolniony z przestrzegania RODO, ale nie przestrzegasz tych samych standardów, co większe organizacje.

Podstawa prawna przetwarzania

Aby zbieranie jakichkolwiek danych osobowych było dopuszczalne w ramach RODO, musi spełniać co najmniej jedno z sześciu kryteriów. RODO stanowi w art. 6 ust. 1:

  1. Przetwarzanie jest zgodne z prawem tylko wtedy i w takim zakresie, w jakim ma zastosowanie co najmniej jedno z poniższych:

    a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

    b) przetwarzanie jest niezbędne do wykonania umowy, której dotyczy osoba, której dane dotyczą przyjęcie lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

    c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

    d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

    e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

    f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Z tych sześciu baz tylko pierwsza będzie miała zastosowanie do większości stron internetowych naszych klientów. W przypadku sekcji kariery i e-commerce lub dowolnej usługi, w której wymagane jest logowanie, może również mieć zastosowanie podstawa (B).

Identyfikacja

To bardzo ważne pojęcie przy ustalaniu, jakie rodzaje zbierania danych nie wymagają podstawy prawnej w ramach RODO. W pewnym sensie identyfikacja jest łatwa do zrozumienia... Czy jesteśmy w stanie powiązać te dane z osobą fizyczną? Jeśli tak, to wyraźnie, że ta osoba jest chroniona na mocy RODO.

Co się stanie, jeśli śledzimy anonimową osobę za pomocą pliku cookie lub innej technologii śledzenia? Nawet jeśli ta osoba jest anonimowa, można ją później zidentyfikować poprzez dodatkowe gromadzenie danych. Dlatego ta osoba jest chroniona.

Osoby fizyczne mogą być powiązane z identyfikatorami internetowymi dostarczanymi przez ich urządzenia, aplikacje, narzędzia i protokoły, takimi jak adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej. Może to pozostawić ślady, które w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymywanymi przez serwery mogą posłużyć do tworzenia profili osób fizycznych i ich identyfikacji. – Preambuła RODO(30)

Powodem jest to, że nigdy nie powinniśmy być w stanie gromadzić danych o poszczególnych użytkownikach bez uprzedniej zgody. Gdybyśmy mieli zebrać dane, a następnie powiązać je z osobą fizyczną w późniejszym czasie, naruszylibyśmy tę zasadę.

Prawa Użytkowników

Zgoda musi być zabezpieczona przed zebraniem danych osobowych. Wszystkie dane dotyczące tej zgody muszą być przechowywane, w tym w szczególności, kiedy została wyrażona zgoda i na jakie formy przetwarzania wyraził zgodę użytkownik. I odwrotnie, jeśli użytkownik cofnie zgodę na niektóre lub wszystkie dane osobowe, to cofnięcie również musi zostać zarejestrowane.

„zgoda” osoby, której dane dotyczą, oznacza każde dobrowolne, konkretne, świadome i jednoznaczne wskazanie woli osoby, której dane dotyczą, poprzez oświadczenie lub wyraźne działanie potwierdzające, wyraża zgodę na przetwarzanie dotyczących jej danych osobowych lub ona; – art. 4 ust. 11 RODO

Pamiętaj, że niektóre strony trzecie mogą mieć własne mechanizmy zabezpieczania zgody, ale umożliwienie tym usługom wstrzyknięcia się w Twoje doświadczenia użytkowników będzie dezorientujące dla ludzi. O ile nie korzystasz z jednego dostawcy zewnętrznego do przechowywania informacji o swoich użytkownikach, sugerujemy utworzenie własnego, pojedynczego, prostego mechanizmu uzyskiwania zgody, który jest jasny i zwięzły. Powinien być używany do zarządzania wszystkimi różnymi sposobami gromadzenia danych w Twojej witrynie, w tym stron trzecich.

„zgoda” powinna być wyrażona w wyraźnym akcie potwierdzającym ustanawiającym dobrowolne, konkretne, świadome i jednoznaczne wskazanie zgody osoby, której dane dotyczą na przetwarzanie dotyczących jej danych osobowych, na przykład w formie pisemnego oświadczenia, w tym drogą elektroniczną lub oświadczenie ustne. – Preambuła RODO(32)

Użytkownikom przysługuje prawo dostępu do treści swoich danych, ich poprawiania, a gdy ustała podstawa prawna przetwarzania danych (np. użytkownik cofnie zgodę lub nie jest już klientem) osoba, której dane dotyczą, ma prawo do zapomniany. Obejmuje to administratorów powiadamiających przetwarzających, którzy mogą również przechowywać zebrane dane użytkownika.

Dodatkowo o danych osobowych należy zapomnieć, gdy nie są już niezbędne do podstawy prawnej, na której zostały zebrane lub do celów, na które została wyrażona zgoda.

Ochrona danych i certyfikacja

RODO wymaga od administratorów danych (czyli Ciebie) i podmiotów przetwarzających podjęcie odpowiednich kroków (zarówno technicznych, jak i organizacyjnych) w celu ochrony danych osobowych.

Aby móc wykazać zgodność z niniejszym rozporządzeniem, administrator powinien przyjąć polityki wewnętrzne i wdrożyć środki, które są w szczególności zgodne z zasadami ochrony danych już w fazie projektowania oraz ochrony danych domyślnie. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości w zakresie funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzyć i ulepszać funkcje bezpieczeństwa. – Preambuła RODO(78)

Środki te powinny również obejmować ograniczony dostęp, szyfrowanie i inne podstawowe najlepsze praktyki w zakresie bezpieczeństwa danych. Autorzy RODO zachęcają administratorów i podmioty przetwarzające do identyfikowania i przestrzegania certyfikatów ochrony danych, takich jak ISO/IEC 27018 Kodeks postępowania w zakresie ochrony danych osobowych.

W celu zwiększenia przejrzystości i zgodności z niniejszym rozporządzeniem należy zachęcać do ustanawiania mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych, umożliwiających osobom, których dane dotyczą, szybką ocenę poziomu ochrony danych w odniesieniu do odpowiednich produktów i usług. – Preambuła RODO(100)

Pseudonimizacja

W moich badaniach odkryłem, że pseudonimizacja była najbardziej niezrozumianym pojęciem w RODO. Pseudonimizacja to nie to samo, co anonimizacja; to jedynie czynność usunięcia właściwości ze zbioru danych, która umożliwia identyfikację rekordów użytkownika i przechowywanie tych właściwości w oddzielnym źródle danych przy użyciu jakiejś formy unikalnego identyfikatora. Dane pseudonimizowane można pogodzić z tym oddzielnym źródłem danych w celu identyfikacji poszczególnych użytkowników.

„pseudonimizacja” oznacza przetwarzanie danych osobowych w taki sposób, że danych osobowych nie można już przypisać konkretnej osobie, której dane dotyczą bez wykorzystania dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym zapewnienia, że ​​dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; - art. 4 ust. 5 RODO

Pseudonimizacja zebranych danych nie stanowi podstawy prawnej do przetwarzania danych użytkownika. Jest to jednak najlepsza praktyka bezpiecznego przechowywania danych użytkownika, zwłaszcza gdy dane te są przechowywane przez procesor lub inną stronę trzecią. Na przykład możesz użyć unikalnego identyfikatora w zestawie danych podmiotu przetwarzającego, który można połączyć z własnym zestawem danych w celu identyfikacji użytkownika.

Ujawnianie naruszeń danych

W przypadku naruszenia danych osobowych administratorzy są zobowiązani do powiadomienia swojego organu nadzorczego w ciągu 72 godzin od powzięcia wiadomości. Ponieważ jesteś częścią firmy z siedzibą w USA, organem nadzorczym będzie organ państwa członkowskiego, w którym zamieszkuje osoba, której dane dotyczą.

„naruszenie danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; – art. 4 ust. 12 RODO

Administratorzy są również zobowiązani do powiadomienia osób, których dane dotyczą, w przypadku naruszenia, chociaż termin takiego powiadomienia może zależeć od środków, które są niezbędne, aby zapobiec dalszym lub podobnym naruszeniom danych. W wytycznych stwierdza się po prostu, że z osobami, których dane dotyczą, należy kontaktować się bez zbędnej zwłoki.

Kary

Kary za naruszenie RODO można podzielić na dwie kategorie:

  1. Kary nakładane przez organy nadzorcze
  2. Odszkodowanie dla osób, których prawa zostały naruszone

Większość artykułów, które czytałem, skupia się na karach, jakie mogą nakładać organy nadzorcze.

I łatwo zrozumieć, dlaczego.

Kary mogą sięgać nawet 20 000 000 euro lub do 4% całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego. To są przerażające liczby.

Ale ważne jest, aby zrozumieć, że te grzywny to górne limity, zarezerwowane dla najbardziej rażących i szkodliwych sytuacji. Przy ustalaniu wysokości grzywny bierze się pod uwagę wiele czynników.

Przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej oraz ustalaniu wysokości administracyjnej kary pieniężnej w każdym indywidualnym przypadku należy zwrócić należytą uwagę na:

  1. charakter, wagę i czas trwania naruszenia, z uwzględnieniem charakteru zakresu lub celu przetwarzania, którego dotyczy, a także liczby osób, których dane dotyczą, oraz poziomu poniesionej przez nie szkody;
  2. umyślny lub niedbały charakter naruszenia;
  3. wszelkie działania podejmowane przez administratora lub podmiot przetwarzający w celu złagodzenia szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich zgodnie z art. 25 i 32;
  5. wszelkie istotne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia ewentualnych negatywnych skutków naruszenia;
  7. kategorie danych osobowych, których dotyczy naruszenie,
  8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  9. jeżeli środki, o których mowa w art. 58 ust. 2, zostały wcześniej nakazane przeciwko danemu administratorowi lub podmiotowi przetwarzającemu w odniesieniu do tego samego przedmiotu, przestrzeganie tych środków;
  10. przestrzeganie zatwierdzonych kodeksów postępowania zgodnie z art. 40 lub zatwierdzonych mechanizmów certyfikacji zgodnie z art. 42; oraz
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak uzyskane korzyści finansowe lub straty, których uniknięto bezpośrednio lub pośrednio w wyniku naruszenia.

– art. 83 ust. 2 RODO

Większą niewiadomą może być odszkodowanie dla osób, których prawa zostały naruszone. Jest mało prawdopodobne, że jakiekolwiek naruszenie RODO wpłynie tylko na jedną osobę, więc rozsądne jest oczekiwanie jakiejś formy sporu grupowego.

Przepisy krajowe państw członkowskich UE znacznie się różnią w odniesieniu do sporów grupowych (powództwa grupowe). Zatem prognozowanie konsekwencji przed wejściem w życie rozporządzenia to zadanie, które najlepiej pozostawić prawnikom. Może jeszcze lepiej, jasnowidzowie wpatrujący się w kryształowe kule.

Niektóre typowe scenariusze

Najważniejsze jest to, że zgodność z RODO nie musi być taka trudna. Chociaż jest kilka podstawowych kroków, które musisz wykonać, wytyczne są jasne i wymierne. Jeśli prowadzisz działalność gospodarczą w UE, ale lekceważysz dyrektywę o ochronie danych, będziesz musiał trochę nadrobić zaległości. Ale podkreślam, że nie jest tak źle.

Istnieje kilka typowych scenariuszy wspólnych dla prawie wszystkich firm, które obsługuje BrandExtract. Generalnie staramy się odciągnąć naszych klientów od sytuacji, które wymagają uzyskania zgody lub zarządzania danymi osobowymi, chyba że jest to absolutnie konieczne. Ale są sytuacje, w których ma to sens. Oto kilka konkretnych sytuacji z zaleceniami:

Google Analytics

BrandExtract stoi na stanowisku, że zbieranie i przechowywanie pełnego adresu IP użytkownika nie jest konieczne do przeprowadzania wysokiej jakości analiz. A anonimizacja adresu IP poprzez odrzucenie ostatniego oktetu adresów IPv4 i ostatnich 80 bitów adresów IPv6 wystarczy, aby wyeliminować możliwość identyfikacji użytkownika po stronie Google.

Można to łatwo zrobić w Google Analytics, korzystając z funkcji anonimizacji adresu IP wbudowanej w bibliotekę javascript GA. Można go po prostu wywołać dla wszystkich użytkowników, niezależnie od tego, czy uzyskują dostęp do Twojej witryny z UE, czy nie. W przypadku anonimizacji adresu IP na serwerach Google nie są rejestrowane żadne dane osobowe umożliwiające identyfikację.

Ponadto istnieje możliwość wyłączenia korzystania z pliku cookie Google Analytics na swojej stronie internetowej. Spowoduje to utratę niektórych danych analitycznych (jesteśmy w trakcie testowania tego, aby zobaczyć, co zostało utracone). Jednak dzięki anonimizacji adresu IP i usunięciu pliku cookie nie musimy już zbierać zgody na Google Analytics, ponieważ nie można już zidentyfikować użytkownika.

Nadal możliwe jest korzystanie z Google Analytics z plikami cookie, ale przed użyciem należy uzyskać zgodę. Również pamiętaj, że Google obiecał narzędzia do usuwania danych poszczególnych użytkowników z narzędzi analitycznych w celu zapewnienia zgodności. Powinny one być gotowe do 25 maja.

Pliki dziennika serwera WWW

Domyślnie wszystkie żądania kierowane do serwera WWW są zapisywane w plikach dziennika. Każdy rekord zawiera adres IP użytkownika, który liczy się jako dane osobowe, ponieważ może być później wykorzystany do wstecznego śledzenia aktywności tego użytkownika, jeśli zostanie on później zidentyfikowany. Zapisywanie adresu IP powinno być wyłączone lub adres IP powinien być zanonimizowany.

Pardot

Podobnie jak Google, Pardot stoi na stanowisku, że jesteś administratorem, a on procesorem. Oferta usług Pardot jest uzależniona od możliwości identyfikacji użytkownika. Jeśli więc zamierzasz korzystać z usług Pardot na swojej stronie internetowej, musisz mieć podstawę prawną do przetwarzania danych użytkownika.

Pardot nie dysponuje jeszcze narzędziami do gromadzenia lub usuwania danych użytkowników i nie spodziewa się, że te narzędzia będą dostępne w terminie. Wszelkie prośby o dane i prośby o zapomnienie należy składać za pośrednictwem działu obsługi Pardot.

Punkt centralny

Częścią oferty usług Hubspot są formularze przyjęć i śledzenie użytkowników. Jeśli nie korzystasz z innych dostawców zewnętrznych do śledzenia użytkowników, możesz rozważyć skorzystanie z mechanizmu zbierania zgody Hubspot. Ta nowa funkcja powinna być dostępna do 25 maja.

Jeśli korzystasz z innych dostawców oprócz Hubspot lub przechowujesz dane użytkowników we własnych systemach, musisz stworzyć własny mechanizm zbierania zgody na wszystkie sposoby przechowywania danych użytkowników.

Marketing e-mailowy

Jeśli korzystasz z usług dostawcy usług e-mail marketingu lub masz własny mechanizm śledzenia odpowiedzi e-mail przez użytkownika, musisz mieć zgodę lub podstawę prawną przed wysłaniem wiadomości e-mail. W przypadku kampanii e-mailowych będziesz potrzebować ustanowionej relacji z osobą, której dane dotyczą, obejmującej podstawę prawną do przetwarzania.

Hostowane czcionki i inne zasoby

To jest łatwe... Jeśli martwisz się o RODO, nie używaj stron trzecich do hostowania czcionek, bibliotek JavaScript lub innych zasobów Twojej witryny. Jeśli dana czcionka jest dostępna tylko za pośrednictwem zewnętrznego hosta, po prostu użyj innej czcionki.

Wszyscy dostawcy będą mieli własne warunki świadczenia usług i poziomy zgodności, które będą wymagały stałego monitorowania, aby upewnić się, że ich zasady nie ulegną zmianie. Staraj się unikać kłopotów i ryzyka.

Usługi udostępniania (ShareThis, AddToAny itp.)

Są okropne, nie używaj ich. BrandExtract zawsze kierował naszych klientów z dala od tych pasożytów podszywających się pod usługi. Twoi użytkownicy nie potrzebują możliwości udostępniania Twojej strony internetowej w 47 sieciach społecznościowych, o których nikt nigdy nie słyszał. BrandExtract posiada niestandardowy kod do udostępniania na wszystkich głównych platformach, które mają znaczenie dla Twojej firmy.

Personalizacja

Ten też jest łatwy. Wszelkie scenariusze personalizacji inne niż szeroka geolokalizacja według kontynentu lub kraju wymagają identyfikacji użytkownika i musisz mieć zgodę użytkownika. Po prostu nie da się tego obejść.

Zasoby

  • Strona Komisji Europejskiej
  • Tekst RODO
  • Anonimizacja IP w Analytics
  • Wyłączanie analitycznych plików cookie

Przepisy RODO mogą być przytłaczające. Mamy nadzieję, że pomogliśmy skonsolidować wszystko, co musisz wiedzieć. Jeśli zastanawiasz się nad przeprowadzeniem audytu swojej witryny, chętnie porozmawiamy. W naszym odcinku podcastu dotyczącego RODO omawiamy jeszcze bardziej szczegółowo RODO z naszym zespołem ekspertów. Aby uzyskać więcej informacji na temat aspektów internetowych i cyfrowych związanych z Twoją marką, oto kilka wskazówek i zasobów, które mogą Ci pomóc:

  • Dowiedz się, co jest potrzebne, aby Twoja witryna była dostępna.
  • Dowiedz się, jakie są klucze do bezpieczeństwa witryny i jak ją chronić.
  • Zobacz, jak stworzyć angażującą (i konwertującą) witrynę biznesową.