8 (простых) шагов, чтобы быть готовым к GDPR, если у вас есть веб-сайт

Опубликовано: 2018-03-29
Surveillance cameras

Отказ от ответственности: обратите внимание, что мы не юридическая фирма, и это не юридическая консультация! Информация в этом сообщении блога предназначена только для общих информационных целей и может не отражать ваши юридические потребности или требования GDPR.

Чтобы убедиться, что вы (и/или ваш бизнес) соответствуете GDPR, мы настоятельно рекомендуем вам проконсультироваться с юристом.

Общее положение о конфиденциальности данных (GDPR) является самым важным изменением в регулировании конфиденциальности данных за последние 20 лет. Чтобы сделать это короче (и проще для понимания): GDPR заменяет Директиву о защите данных 95/46 / EC и предназначен для гармонизации законов о конфиденциальности данных по всей Европе, для защиты и расширения прав и возможностей конфиденциальности данных всех граждан ЕС, а также для изменения способов организации по всему региону приближаются к конфиденциальности данных.

Дата вступления в силу: 25 мая 2018 г. – в это время организации, не соблюдающие требования, могут быть оштрафованы.

Как личность: вашими личными данными будет легче управлять. Как владелец бизнеса, администратор веб-сайта или организация, которая предлагает товары или услуги (или отслеживает поведение) субъектов данных ЕС, вы должны будете соблюдать его. Поэтому, если у вас есть клиенты из ЕС или данные от кого-либо, проживающего в Европейском Союзе, вы должны соблюдать GDPR независимо от того, где вы фактически находитесь. В противном случае вы можете быть оштрафованы на сумму до 4% от годового мирового оборота за нарушение GDPR или на 20 миллионов евро.

Что такое персональные данные?

  • Имя
  • Адрес
  • Эл. почта
  • Телефонные номера
  • Локализация
  • Онлайн-идентификатор
  • Информация о состоянии здоровья
  • Доход
  • Культурный профиль
  • и более

Что означает несоблюдение?

Допустим, у вас есть какие-то личные данные от ваших клиентов, лидов или кого-то, кто в какой-то момент наткнулся на вашу организацию. Под персональными данными понимается любая информация, относящаяся к физическому лицу, которая может быть использована для прямой или косвенной идентификации лица. Это может быть что угодно: имя, фотография, адрес электронной почты, банковские реквизиты, публикации в социальных сетях, медицинская информация или IP-адрес компьютера.

Кроме того, если у вас есть такие данные, вы должны убедиться, что у вас есть согласие каждого, а также простой процесс отзыва согласия, поскольку это является основой концепции Privacy by Design. Соответствие GDPR включает в себя ряд мер, позволяющих избежать утечки данных, а в случае нарушения безопасности требуется, чтобы вы отправили уведомление всем участникам в течение 72 часов после того, как впервые узнали о нарушении.

Что теперь делать, точнее?

По сути, если у вас есть какой-либо аналитический инструмент, список адресов электронной почты для рассылки новостей и все, что помогает вам собирать данные, вы должны соблюдать GDPR и делать все максимально прозрачным.

Вот с чего можно начать:

  1. Подпишите DPA (Соглашение об обработке данных) со всеми вашими сторонними приложениями (Visitor Analytics или любым другим аналитическим инструментом, службой клиента электронной почты и т. д.). Чтобы подписать DPA, вам просто нужно проверить свои уведомления во всех сторонних приложениях (если вы уже получили их) или попросить их отправить вам одно.
  2. Создайте четкий раздел «Условия и положения», в котором вы укажете данные, которые вы будете собирать, и их цель.
  3. Укажите все используемые куки и подробности о них (название, срок жизни, необходимость)
  4. Предоставить право доступа: например, если кто-либо из ваших списков/базы данных хочет получить от вас подтверждение того, обрабатываются ли персональные данные, касающиеся их, где и с какой целью, вы должны ответить и должны предоставить копия персональных данных, бесплатно, в электронном формате.
  5. Предложите право на забвение или стирание данных. В любой момент можно попросить стереть свои личные данные. Итак, будьте осторожны с этим, потому что условия для удаления, как указано в статье 17, включают данные, которые больше не имеют отношения к первоначальным целям обработки, или субъект данных отзывает согласие.
  6. Разработайте комплекс мер, чтобы избежать любой утечки данных, и в случае нарушения безопасности вы должны уведомить всех участников в течение 72 часов с момента, когда они впервые узнали о нарушении.
  7. Предложите право на перенос данных. Это означает, что кто-то может запросить касающиеся его личные данные, которые он ранее предоставил в «общедоступном и машиночитаемом формате», и имеет право передать эти данные другому контролеру. Вскоре каждый может экспортировать свои данные из контроллера и отправлять их в другой.
  8. Будьте более организованными с данными! В законодательстве также есть ключевое изменение Privacy by Design. Чтобы упростить понимание, статья 23 призывает контролеров хранить и обрабатывать только те данные, которые абсолютно необходимы для выполнения их обязанностей (минимизация данных), а также ограничивать доступ к персональным данным для тех, кто необходим для обработки данных. .

На эту тему есть гораздо больше информации, но вот структура и главы GDPR, чтобы вы могли легко понять, в чем заключается это серьезное изменение в защите данных:

  • Глава 1: Общие положения (цели и определения GDPR)
  • Глава 2: Принципы (все, что касается обработки персональных данных и условий согласия)
  • Глава 3: Права субъекта данных (эта глава посвящена прозрачности, доступу к данным, удалению, принятию решений и ограничениям)
  • Глава 4: Контроллер и обработчик (общие обязательства как контролеров, так и обработчиков, безопасность персональных данных, должностные лица по защите данных и кодексы поведения)
  • Глава 5: Передача персональных данных в третьи страны или международные организации (ну, это не нужно объяснять)
  • Глава 6: Независимые надзорные органы (общие условия, когда речь идет о независимом статусе, компетенции, задачах и полномочиях внутри организации)
  • Глава 7: Сотрудничество и согласованность (это довольно сложная и объясняет многие проблемы сотрудничества, механизмы согласованности, процедуры, конфиденциальность и многое другое или вещи Европейского совета по защите данных)
  • Глава 8: Средства правовой защиты, ответственность и санкции (важная глава, если вы хотите знать, что такое штрафы и как убедиться, что вы их не получите)
  • Глава 9: Положения, касающиеся конкретных ситуаций обработки данных
  • Глава 10: Делегированные акты и исполнительные акты
  • Глава 11: Заключительные положения

Мы, в Visitor Analytics, прилагаем все усилия, чтобы убедиться, что мы будем продолжать предоставлять все функции для наших клиентов, соблюдая GDPR!

В следующей статье мы расскажем вам, как мы адаптируем наши услуги, чтобы соблюдать все требования GDPR, и как мы можем помочь вам, как владельцу веб-сайта, использующему наше приложение, без усилий соответствовать требованиям! Мы знаем, что все эти шаги по соблюдению могут показаться сложными, но если вы только начинаете свой путь к веб-сайту, на 100% соответствующему GDPR, вот самый полный контрольный список GDPR, с которого можно начать.

PS: Если вам удалось дочитать статью до конца, вот хорошая инфографика о GDPR, созданная замечательной командой из ЕС: http://ec.europa.eu/justice/smedataprotect/index_en.htm