ArticolulGDPR pentru site-urile web din SUA: tot ce trebuie să știți

Publicat: 2022-08-12

Cei mai mulți dintre noi își pot aminti marea frenezie GDPR din 2018. Există șanse mari să fi fost copleșit de informații despre Uniunea Europeană (UE) și noul său Regulament general privind protecția datelor (GDPR). Acest regulament general a intrat în vigoare la 25 mai 2018.

Când am început să cercetez pentru acest articol, am fost surprins de numărul de surse „experte” de acolo. Multe dintre linkurile care apar în partea de sus a paginilor cu rezultate ale motorului de căutare Google par a fi site-uri „oficiale”.

Sunt doar microsite-uri de marketing pentru consultanțele care vor face bani. Deși acest lucru este valabil pentru reclame, ține cont în egală măsură de rezultatele organice. Unele dintre informațiile de pe aceste site-uri sunt destul de bune, dar în aproape toate cazurile sunt incomplete și motivele autorilor sunt neclare.

Pentru a evita toată această confuzie și direcționare greșită, am decis să merg la o singură sursă autorizată: site-ul web al Comisiei Europene. Faptele și recomandările mele se bazează direct pe textul Regulamentului 2016/679 (GDPR) și îl citez liberal pe parcursul acestui articol.

Pe lângă textul regulamentului, am cercetat declarații de la furnizori de servicii terți, cum ar fi Google și Pardot, în secțiunea „Complicații ale terților” de mai jos, dar numai în ceea ce privește serviciile acelor companii pe care le folosesc mulți dintre clienții noștri.

Publicul meu țintă este format din reprezentanți ai companiilor (publice și private) cu sediul în SUA, care desfășoară afaceri în UE într-o anumită calitate. Scopul meu este să îi ajut să înțeleagă ce trebuie să facă pe site-urile lor corporative pentru a se conforma noului regulament.

Dacă compania dumneavoastră are sediul în afara SUA, compania dumneavoastră se ocupă de date sensibile (adică dosare medicale), colectează date despre copii, este o agenție guvernamentală sau un furnizor de servicii pentru agențiile guvernamentale, atunci nu mai citiți acum... Acest lucru nu este pentru dvs.

Pentru a fi clar, nu sunt avocat și nimic din aici nu ar trebui interpretat ca un sfat juridic.

Ce este GDPR?

Dreptul la confidențialitate în țările membre UE este respectat la un standard foarte înalt, iar povara impusă celor care colectează date este mai mare decât este aici, în state. Aceasta nu este o situație nouă. Înainte de GDPR, UE avea Directiva privind protecția datelor (DPD) care a fost stabilită în 1995 și a prezentat multe dintre aceleași principii pe care le găsim în GDPR. Atât DPD, cât și GDPR se bazează pe Carta Drepturilor Fundamentale a Uniunii Europene, care prevede simplu:

Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc – Carta drepturilor fundamentale a Uniunii Europene, articolul 8 alineatul (1)

Spiritul fundamental al GDPR este că toate „persoanele fizice” (mai multe despre acest termen mai târziu) au dreptul de a ști când sunt colectate datele lor și dreptul de a refuza respectiva colectare a datelor. Dacă își dau acordul Colectie , au dreptul de a gestiona modul în care sunt utilizate acele date, de a-și revoca consimțământul și chiar de a alege la o dată ulterioară să li se șteargă toate datele actuale și istorice.

Există, de asemenea, anumite așteptări asupra „controlorilor” și „procesorilor” de date (mai multe despre acești termeni mai târziu) în ceea ce privește guvernanța și procesele menite să protejeze datele utilizatorilor. Și, în sfârșit, există lucruri pe care un operator trebuie să le facă în cazul unei încălcări a datelor.

Una dintre cele mai bune resurse pentru înțelegerea spiritului GDPR este preambulul acestuia. Este scris într-un limbaj simplu și simplu, ceea ce îl face mai ușor de digerat decât majoritatea documentelor legale. Cu toate acestea, acest limbaj simplu nu transmite pe deplin litera absolută a legii și nu este un substitut pentru reglementarea actuală.

Spre deosebire de DPD, regulile GDPR se aplică tuturor statelor membre. Nu există nicio cerință ca statele membre să pună în aplicare regulamentul înainte ca acesta să fie considerat ca fiind în vigoare. Dar GDPR nu exclude legi suplimentare ale statelor membre care ar putea merge și mai departe în protejarea anumitor tipuri de date personale sensibile, cum ar fi dosarele medicale.

GDPR se aplică tuturor companiilor care desfășoară afaceri în UE, indiferent de locația lor. Dacă un utilizator vă accesează site-ul web din UE, nu vă stabilește intenția de a face afaceri în UE. Cu toate acestea, dacă acționați activ pentru afaceri în UE, trebuie să respectați GDPR.

Încă o notă: GDPR nu înlocuiește și nu înlocuiește Legea UE privind cookie-urile. Acest regulament este încă în vigoare.

Cine și ce este protejat?

Persoanele fizice care trăiesc în UE sunt protejate de GDPR. Regulamentul intră în vigoare înainte de Brexit, așa că GDPR include și Regatul Unit pentru moment. O persoană fizică poate fi considerată pur și simplu ca o ființă umană individuală. O persoană juridică, dimpotrivă, ar putea fi doar o entitate juridică. Protecțiile GDPR nu se extind asupra persoanelor din afara Uniunii Europene.

Orice informație care poate fi asociată cu o singură persoană, indiferent dacă identitatea sa este cunoscută în prezent, este considerată „Date cu caracter personal”.

„date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici fizic, fiziologic, identitatea genetică, mentală, economică, culturală sau socială a acelei persoane fizice; – articolul 4 alineatul (1) din GDPR

„Identificabil” este un termen pe care trebuie să-l abordăm. Nu este necesar ca în prezent să cunoaștem identitatea individului. Deținerea de mijloace (un cookie, o adresă IP și așa mai departe) pentru a asocia datele cu o persoană la un moment dat, face ca datele sale să fie protejate conform criteriilor GDPR.

Regulamentul evită abordarea unor tehnici specifice de colectare a datelor (cu excepția utilizării în exemple), deci este agnostic de tehnologie. Având în vedere ritmul de inovare în ceea ce privește colectarea datelor, acest lucru este necesar, astfel încât GDPR să poată rămâne relativ pregătit pentru viitor. Cookie-urile, adresele IP, profilurile de browser, API-urile RESTful cu datele utilizatorului în cale și orice alte tehnici inteligente care ar putea fi evocate în viitor sunt acoperite de GDPR.

Cine este responsabil pentru conformitate?

tu . Organizația dvs. este „controlerul” pentru site-ul dvs. web și, în ultimă instanță, este responsabilă pentru asigurarea faptului că datele cu caracter personal sunt gestionate în moduri conforme cu GDPR. Când alegeți să utilizați un serviciu terță parte pe site-ul dvs. care nu respectă conformitatea, sunteți vinovat.

„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal; – articolul 4 alineatul (7) din GDPR

Orice serviciu care este adăugat pe site-ul dvs. (adică Google Analytics, Pardot etc.) trebuie să respecte și GDPR. Chiar dacă nu credeți că serviciul pe care îl adăugați colectează date personale, trebuie să fiți atenți.

Multe servicii gratuite vor include o anumită formă de captare a datelor care este folosită ulterior pentru rețelele de publicitate. În 2011, am efectuat câteva teste și am găsit widget-uri de partajare socială „gratuite” precum ShareThis sau AddToAny componente de urmărire încorporate pentru mai multe rețele publicitare. Într-un caz, un singur widget de distribuire a permis urmărirea de către o jumătate de duzină de rețele publicitare.

Trebuie să verificați cu atenție fiecare aplicație și serviciu pe care îl includeți pe site-ul dvs. web. Dacă părți ale site-ului dvs. sunt găzduite de terți (de exemplu, Cariere/HR sau Relații cu investitorii), ar trebui să vă asigurați că acei furnizori și orice terți pe care îi folosesc respectă GDPR.

De asemenea, trebuie să verificați orice terțe părți care nu colectează neapărat date pe site-ul dvs. web, dar sunt într-un fel încredințate cu datele care au fost colectate. Consultanții de analiză ar putea intra în această categorie.

Toate aceste terțe părți sunt „procesatori” ai datelor utilizatorilor dumneavoastră.

„procesator” înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului; – articolul 4 alineatul (8) din GDPR

Dacă compania dvs. are mai puțin de 250 de angajați și nu colectați date personale sensibile care ar putea duce la riscul drepturilor și libertăților persoanelor, atunci există o anumită clemență în ceea ce privește înregistrările activităților de prelucrare care vă reduc sarcina. Nu sunteți scutit de respectarea GDPR, dar nu sunteți ținut la aceleași standarde ca și organizațiile mai mari.

Temei juridic pentru prelucrare

Pentru ca colectarea oricăror date cu caracter personal să fie acceptabilă conform GDPR, aceasta trebuie să îndeplinească cel puțin unul dintre cele șase criterii. GDPR prevede la articolul 6 alineatul (1):

  1. Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele:

    (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal în unul sau mai multe scopuri specifice;

    (b) prelucrarea este necesară pentru executarea unui contract la care se află persoana vizată parte sau pentru a face demersuri la solicitarea persoanei vizate înainte de încheierea unui contract;

    (c) prelucrarea este necesară pentru respectarea unei obligații legale căreia îi este supus operatorul;

    (d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

    (e) prelucrarea este necesară pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității oficiale conferite operatorului;

    (f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de un terț, cu excepția cazului în care aceste interese sunt supuse intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal, în special în cazul în care persoana vizată este un copil.

Dintre aceste șase baze, doar prima se va aplica pentru majoritatea site-urilor web ale clienților noștri. Pentru cariere și secțiuni de comerț electronic sau orice serviciu în care este necesară o autentificare, se poate aplica și baza (B).

Identificare

Acesta este un concept foarte important atunci când se determină ce tipuri de colectare de date nu necesită un temei legal conform GDPR. Într-un sens, identificarea este ușor de înțeles... Suntem capabili să asociem aceste date cu o persoană fizică? Dacă da, atunci în mod clar acea persoană este protejată prin GDPR.

Ce se întâmplă dacă urmărim o persoană anonimă prin utilizarea unui cookie sau a unei alte tehnologii de urmărire? Chiar dacă persoana respectivă este anonimă, este posibil să o identificăm ulterior prin colectarea de date suplimentare. Prin urmare, acea persoană este protejată.

Persoanele fizice pot fi asociate cu identificatori online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele de protocol de internet, identificatorii cookie sau alți identificatori, cum ar fi etichetele de identificare a frecvenței radio. Acest lucru poate lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de către servere, pot fi utilizate pentru a crea profiluri ale persoanelor fizice și a le identifica. – Preambul GDPR (30)

Motivul este că niciodată nu ar trebui să putem aduna date despre utilizatorii individuali fără a primi consimțământul pentru a face acest lucru în prealabil. Dacă ar fi să colectăm date și apoi să le asociam cu o persoană fizică mai târziu, am încălca acest principiu.

Drepturile Utilizatorilor

Consimțământul trebuie să fie asigurat înainte de colectarea datelor cu caracter personal. Și toate datele referitoare la respectivul consimțământ trebuie să fie stocate, inclusiv în special când a fost dat consimțământul și ce forme de prelucrare a fost de acord cu utilizatorul. În schimb, dacă un utilizator revocă consimțământul pentru o parte sau toate colectarea datelor cu caracter personal, acea revocare trebuie, de asemenea, înregistrată.

„consimțământ” al persoanei vizate înseamnă orice indicație liberă, specifică, informată și fără ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune afirmativă clară, semnifică acordul cu privire la prelucrarea datelor cu caracter personal care o privesc sau ea; – articolul 4 alineatul (11) din GDPR

Rețineți că unele terțe părți ar putea avea propriul mecanism pentru a obține consimțământul, dar permiterea acestor servicii să se injecteze în experiențele dvs. de utilizator va fi dezorientator pentru oameni. Cu excepția cazului în care utilizați un singur furnizor terț pentru a stoca informații despre utilizatorii dvs., vă sugerăm să vă creați propriul mecanism de consimțământ unic, simplu, clar și concis. Ar trebui să fie utilizat pentru a gestiona toate diferitele mijloace de colectare a datelor de pe site-ul dvs. web, inclusiv terțe părți.

„consimțământul” ar trebui dat printr-un act afirmativ clar care stabilește o indicație liberă, specifică, informată și fără ambiguitate a acordului persoanei vizate cu privire la prelucrarea datelor cu caracter personal care o privesc, cum ar fi o declarație scrisă, inclusiv prin mijloace electronice , sau o declarație orală. – Preambul GDPR(32)

Utilizatorii au dreptul de a-și accesa datele, de a le corecta și, atunci când nu mai există un temei legal pentru prelucrarea datelor (de exemplu, un utilizator își revocă consimțământul sau nu mai este client), persoana vizată va avea dreptul de a fi uitat. Aceasta include controlorii care notifică procesatorii care ar putea stoca și datele colectate ale utilizatorilor.

În plus, datele cu caracter personal trebuie uitate atunci când nu mai sunt necesare pentru temeiul legal pe care au fost colectate sau pentru scopurile pentru care a fost dat consimțământul.

Protecția datelor și certificare

GDPR cere operatorilor de date (adică dumneavoastră) și procesatorilor să ia măsurile adecvate (atât tehnice, cât și organizatorice) pentru a proteja datele cu caracter personal.

Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să îndeplinească în special principiile protecției datelor de la concepție și protecția datelor în mod implicit. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea datelor cu caracter personal cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, permițând persoanei vizate să monitorizeze prelucrarea datelor, permițând operatorului să creați și îmbunătățiți caracteristicile de securitate. – Preambul GDPR (78)

Aceste măsuri ar trebui să includă, de asemenea, acces limitat, criptare și alte bune practici fundamentale pentru securitatea datelor. Autorii GDPR încurajează operatorii și procesatorii să identifice și să respecte certificările de protecție a datelor, cum ar fi Codul de practică ISO/IEC 27018 pentru protecția informațiilor de identificare personală.

Pentru a spori transparența și conformitatea cu prezentul regulament, ar trebui încurajată instituirea de mecanisme de certificare și de sigilii și mărci de protecție a datelor, permițând persoanelor vizate să evalueze rapid nivelul de protecție a datelor al produselor și serviciilor relevante. – Preambul GDPR (100)

Pseudonimizare

În cercetarea mea, am descoperit că pseudonimizarea a fost conceptul cel mai greșit înțeles din GDPR. Pseudonimizarea nu este același lucru cu anonimizarea; este doar actul de eliminare a proprietăților dintr-un set de date care face înregistrările utilizatorului identificabile și stocarea acelor proprietăți într-o sursă de date separată folosind o formă de identificator unic. Datele pseudonimizate pot fi reconciliate cu acea sursă de date separată pentru a identifica utilizatorii individuali.

„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal în așa fel încât datele cu caracter personal să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice să se asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile; - articolul 4 alineatul (5) din GDPR

Pseudonimizarea datelor colectate nu creează o bază legală pentru prelucrarea datelor utilizatorilor. Este, totuși, cea mai bună practică pentru stocarea în siguranță a datelor utilizatorului, mai ales atunci când aceste date sunt stocate cu un procesor sau o altă parte terță. De exemplu, puteți utiliza un identificator unic în setul de date al unui procesor care ar putea fi combinat cu propriul set de date pentru a identifica utilizatorul.

Dezvăluiri privind încălcarea datelor

În cazul unei încălcări a datelor cu caracter personal, operatorii sunt obligați să notifice autoritatea lor de supraveghere în termen de 72 de ore de la cunoștință de aceasta. Deoarece faceți parte dintr-o companie cu sediul în SUA, autoritatea de supraveghere va fi cea a statelor membre în care își are reședința (persoanele vizate).

„încălcarea datelor cu caracter personal” înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod; – articolul 4 alineatul (12) din GDPR

De asemenea, operatorii trebuie să notifice persoanele vizate afectate în cazul unei încălcări, deși termenul pentru o astfel de notificare ar putea depinde de măsurile care sunt necesare pentru a preveni încălcările continue sau similare ale datelor. Orientările precizează pur și simplu că persoanele vizate trebuie contactate fără întârzieri nejustificate.

Penalize

Sancțiunile pentru încălcarea GDPR pot fi împărțite în două categorii:

  1. Amenzi aplicate de autoritățile de supraveghere
  2. Despăgubiri pentru persoanele vizate ale căror drepturi au fost încălcate

Majoritatea articolelor pe care le-am citit tind să se concentreze pe amenzile care pot fi impuse de autoritățile de supraveghere.

Și este ușor de înțeles de ce.

Sancțiunile pot ajunge până la 20.000.000 EUR sau până la 4% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent. Sunt numere înfricoșătoare.

Însă este important de înțeles că aceste amenzi sunt limitele superioare, rezervate celor mai flagrante și dăunătoare situații. La stabilirea cuantumului amenzii sunt luați în considerare mulți factori.

Atunci când se decide dacă se impune o amendă administrativă și se decide cu privire la cuantumul amenzii administrative în fiecare caz în parte, se ține seama în mod corespunzător de următoarele:

  1. natura, gravitatea și durata încălcării, luând în considerare natura domeniului sau scopul prelucrării în cauză, precum și numărul de persoane vizate și nivelul prejudiciului suferit de acestea;
  2. caracterul intenționat sau neglijent al încălcării;
  3. orice acțiune întreprinsă de operator sau de operator pentru a atenua daunele suferite de persoanele vizate;
  4. gradul de responsabilitate al operatorului sau al împuternicitului ținând cont de măsurile tehnice și organizatorice puse în aplicare de către aceștia în conformitate cu articolele 25 și 32;
  5. orice încălcări anterioare relevante din partea operatorului sau a operatorului;
  6. gradul de cooperare cu autoritatea de supraveghere, în vederea remedierii încălcării și a atenuării eventualelor efecte adverse ale încălcării;
  7. categoriile de date cu caracter personal afectate de încălcare
  8. modul în care încălcarea a devenit cunoscută autorității de supraveghere, în special dacă și, dacă da, în ce măsură, operatorul sau persoana împuternicită de operator a notificat încălcarea;
  9. în cazul în care măsurile menționate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același obiect, respectarea măsurilor respective;
  10. aderarea la codurile de conduită aprobate în conformitate cu articolul 40 sau la mecanismele de certificare aprobate în conformitate cu articolul 42; și
  11. orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare obținute sau pierderile evitate, direct sau indirect, din încălcare.

– articolul 83 alineatul (2) din GDPR

Cea mai mare necunoscută este care ar putea fi compensația pentru persoanele vizate ale căror drepturi au fost încălcate. Este puțin probabil ca orice încălcare a GDPR să afecteze doar o persoană, așa că este rezonabil să ne așteptăm la o formă de litigiu de grup.

Regulile naționale ale statelor membre ale UE variază foarte mult în ceea ce privește litigiile de grup (acțiune de grup). Așadar, prognozarea consecințelor înainte de intrarea în vigoare a regulamentului este un exercițiu cel mai bine lăsat profesioniștilor din domeniul juridic. Poate mai bine, clarvăzători care privesc în bile de cristal.

Câteva scenarii comune

Concluzia este că conformitatea GDPR nu trebuie să fie atât de dificilă. Deși există câțiva pași de bază pe care va trebui să-i faceți, liniile directoare sunt clare și măsurabile. Dacă ați făcut afaceri în UE, dar ați ignorat Directiva privind protecția datelor, veți avea puțin de făcut. Dar permiteți-mi să subliniez că nu este chiar atât de rău.

Există câteva scenarii comune împărtășite în aproape toate companiile pe care BrandExtract oferă servicii. În general, încercăm să ne îndreptăm clienții departe de situațiile care necesită strângerea consimțământului sau gestionarea datelor cu caracter personal, cu excepția cazului în care este absolut necesar. Dar există situații în care are sens. Iată câteva situații specifice cu recomandări:

Google Analytics

Poziția BrandExtract este că colectarea și stocarea adresei IP complete a unui utilizator nu este necesară pentru a face analize de calitate. Și anonimizarea adresei IP prin eliminarea ultimului octet de adrese IPv4 și a ultimilor 80 de biți de adrese IPv6 este suficientă pentru a elimina posibilitatea identificării utilizatorului din partea Google.

Acest lucru se poate face cu ușurință în Google Analytics utilizând funcția de anonimizare a adresei IP încorporată în biblioteca javascript GA. Poate fi invocat pur și simplu pentru toți utilizatorii, indiferent dacă aceștia vă accesează site-ul din interiorul UE sau nu. Când se utilizează anonimizarea adresei IP, nu sunt înregistrate date personale identificabile pe serverele Google.

În plus, este posibil să dezactivați utilizarea cookie-ului Google Analytics pe site-ul dvs. web. Acest lucru va duce la pierderea unor date de analiză (suntem în proces de testare pentru a vedea ce se pierde). Dar prin anonimizarea adresei IP și eliminarea cookie-ului nu mai trebuie să strângem consimțământul pentru Google Analytics deoarece utilizatorul nu mai poate fi identificat.

Este încă posibil să utilizați Google Analytics cu modulele cookie, dar trebuie să obțineți consimțământul înainte de a face acest lucru. De asemenea rețineți că Google a promis instrumente pentru eliminarea datelor utilizatorilor individuali din analize pentru a asigura conformitatea. Acestea ar trebui să fie în vigoare până pe 25 mai.

Fișierele jurnal ale serverului web

În mod implicit, toate solicitările către serverul dvs. web sunt înregistrate în fișierele jurnal. Fiecare înregistrare include adresa IP a utilizatorului, care este considerată date cu caracter personal, deoarece ar putea fi folosită ulterior pentru a urmări retroactiv activitatea utilizatorului, dacă acesta este identificat ulterior. Înregistrarea adresei IP ar trebui să fie dezactivată sau adresa IP ar trebui anonimizată.

Pardot

La fel ca Google, este poziția lui Pardot că tu ești controlorul și acesta este procesorul. Oferta de servicii Pardot depinde de capacitatea de a identifica utilizatorul. Deci, dacă intenționați să utilizați serviciile Pardot pe site-ul dvs., trebuie să aveți o bază legală pentru prelucrarea datelor utilizatorului.

Pardot nu are încă instrumente pentru colectarea sau eliminarea datelor utilizatorilor și nu se așteaptă să aibă acele instrumente până la termenul limită. Toate cererile de date și cererile de uitat vor trebui făcute prin intermediul biroului de service al Pardot.

Hubspot

Părți din oferta de servicii Hubspot includ formulare de primire și urmărirea utilizatorilor. Dacă nu utilizați alți furnizori terți pentru a urmări utilizatorii, atunci ați putea lua în considerare utilizarea mecanismului de colectare a consimțământului Hubspot. Această nouă funcție ar trebui să fie implementată până pe 25 mai.

Dacă utilizați alți furnizori în plus față de Hubspot sau stocați datele utilizatorilor pe propriile sisteme, atunci trebuie să vă creați propriul mecanism pentru a obține consimțământul pentru toate modurile în care sunt stocate datele utilizatorului.

Marketing prin e-mail

Dacă utilizați un furnizor de servicii de marketing prin e-mail sau aveți propriul mecanism de urmărire a răspunsurilor la e-mail ale utilizatorului, atunci trebuie să aveți consimțământ sau o bază legală înainte de a trimite e-mailul. Pentru campaniile prin e-mail, veți avea nevoie de o relație stabilită cu persoana vizată care să includă un temei legal pentru prelucrare.

Fonturi găzduite și alte active

Acesta este ușor... Dacă vă îngrijorează GDPR, nu folosiți terțe părți pentru a găzdui fonturile site-ului dvs., bibliotecile javascript sau alte active. Dacă un anumit font este disponibil numai printr-o gazdă terță parte, utilizați doar un font diferit.

Toți furnizorii vor avea propriile lor condiții și niveluri de conformitate, care vor necesita monitorizare constantă pentru a se asigura că politicile lor nu se vor schimba. Încercați să evitați această problemă și risc.

Servicii de partajare (ShareThis, AddToAny etc.)

Sunt groaznice, nu le folosi. Chiar și înainte de evoluțiile GDPR demne de știre, BrandExtract ne-a îndepărtat întotdeauna clienții de acești paraziți deghizat în servicii. Utilizatorii dvs. nu au nevoie de capacitatea de a vă partaja pagina web pe 47 de rețele sociale despre care nimeni nu a auzit vreodată. BrandExtract are cod personalizat pentru partajare pe toate platformele majore care contează de fapt pentru afacerea dvs.

Personalizare

Acesta este, de asemenea, ușor. Orice scenarii de personalizare, altele decât geolocalizarea largă pe continent sau țară necesită identificarea utilizatorului și trebuie să aveți consimțământul utilizatorului. Pur și simplu nu există nicio cale de ocolire.

Resurse

  • Site-ul web al Comisiei Europene
  • Textul GDPR
  • Anonimizarea IP în Analytics
  • Dezactivarea modulelor cookie de analiză

Reglementările GDPR pot fi copleșitoare. Sperăm că am contribuit la consolidarea tot ceea ce trebuie să știți. Pe măsură ce vă gândiți să efectuați un audit al site-ului dvs., suntem bucuroși să discutăm. Intrăm în și mai multe detalii despre GDPR cu echipa noastră de experți în episodul nostru de podcast GDPR. Pentru mai multe informații despre considerentele web și digitale pentru marca dvs., iată câteva sfaturi și resurse pentru a vă ajuta:

  • Aflați ce este nevoie pentru a vă face site-ul accesibil.
  • Aflați cheile pentru securitatea site-ului și cum să vă păstrați site-ul în siguranță.
  • Aruncă o privire la cum să creezi un site web de afaceri captivant (și care transformă).