Вы уже готовы к GDPR?

Помощник

25 мая 2018 года вступил в силу новый порядок обработки персональных данных в Европе – GDPR — General Data Protection Regulation. Он касается всех компаний, которые работают с резидентами Евросоюза, даже, если сама компания в Евросоюзе не зарегистрирована.

Новый регламент должен предоставить европейцам полный контроль над своими персональными данными. Он предусматривает право: получать эти данные, исправлять, удалять их и ограничивать к ним доступ.

  • Если есть хоть один клиент из Европы, чьи персональные данные Вы храните, Вы автоматически попадаете под GDPR.
  • Если к Вам на сайт перешел пользователь и Вы зафиксировали данные о его браузере устройстве, куки – Вы попадаете под этот регламент и обязаны получить от пользователя на это явное разрешение.
  • Если Ваш клиент уехал в Европу, а Вы присылаете ему уведомление – Вы попадаете под действие GDPR.

Нарушение регламента GDPR — влечет за собой штраф до 20 млн евро или 4% годового глобального дохода компании.

Согласно GDPR, персональные данные это любая информация, которая относится к человеку и по которой можно определить его прямо или косвенно:

  • Имя, фамилия
  • Фото
  • Адрес почты
  • Телефон
  • IP-адрес
  • Банковские детали
  • Посты в соцсетях
  • Медицинская информация
  • Коды из аналитики и не только.

Определение очень широкое и по факту включает в себя любую информацию о человеке.

Что же делать, чтобы соответствовать требования нового регламента?

Нужно отредактировать Вашу политику конфиденциальности, правила сбора и обработки личных данных, чтобы они подходили под новые требования. Необходимо повторно запросить у всех, уже имеющихся пользователей, разрешение на обработку данных, поскольку вариант, что это прописано мелким шрифтом где-то там посреди огромного текста, который они не читали при регистрации – уже не работает!

Должно быть четко прописано:

  • Какую персональную и общую информацию Ваша система/сайт собирает
  • Для каких целей информация собирается
  • Какие права имеет пользователь после внесения в Вашу базу
  • Ваша политика хранения данных
  • Процедура трансфера данных в другие страны
  • Как данные будут защищены
  • Контактная информация, включая юридический адрес, если они есть
  • Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует
  • Необходимо добавить отдельное уведомление для детей, если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16.
  • Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались.

При регистрации новых пользователей:

  • Количество полей должно быть минимальным и обоснованным
  • Гранулированное согласие
  • Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
  • Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку

Пользователь должен иметь доступ к странице со своей информацией:

  • Пользователь должен иметь возможность изменить любое поле о себе.
  • Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
  • Пользователь должен иметь возможность включать режим, при котором персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
  • Возможность выгружать данные в любом формате: XML, JSON, CSV.
  • Снова гранулированное согласие.
  • Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)

Дополнительно нужно реализовать:

  • Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны (Например, информация в заказах, которые обработаны).
  • Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована.

GDPR требует вести учет всех действий по обработке персональных данных подписчиков. Кстати, в RegToEVENT есть логирование всех действий Ваших сотрудников, у которых есть аккаунты для работы с ивентом. Ведь Вам нужно не только прописать какие данные Вы собираете, но кто имеет к ним доступ, описание технических и организационных мер безопасности.

Согласно GDPR, Вы несете полную ответственность за сохранение конфиденциальности полученных данных о подписчиках. Вы должны осуществлять все необходимые меры для обеспечения их безопасности, включая псевдонимизацию (замена имени и других идентификационных признаков на псевдонимы) и шифрование.

Если Вы пользуетесь сервисом рассылки, то мероприятия по защите данных ложатся на плечи сервиса. Но ответственность по-прежнему остается на вас. Поэтому, прежде чем загружать куда-то свои списки, поинтересуйтесь, какие способы защиты использует сервис и насколько они надежны. Если Вы регистрируете пользователей через RegToEVENT, то и рассылки можно осуществлять прямо из своего интерфейса, а не передавать на свой страх и риск данные пользователей стороннему сервису.

Если произошла утечка данных…

Если утечка угрожает правам и свободам человека. Надо сообщить об этом в надзорный орган в течение 72 часов. В отчете нужно указать:

  • Описание выявленных нарушений.
  • Контактные данные специалиста по охране персональных данных.
  • Описание вероятных последствий утечки данных.
  • Компенсирующие меры по минимизации рисков.

Если утечка не угрожает правам и свободам человека. Можно никуда не сообщать.
Что делать:

  • Убедиться в том, что используете надежный сервис рассылок.
  • Сообщить в надзорный орган в случае утечки персональных данных.

Проведите аудит своей базы клиентов, и удалите тех, которые Вам уже не понадобятся. Всем остальным направьте письма с просьбой повторного соглашения на обработку персональных данных. Обновите конфиденциальное соглашение на сайте: оставьте только самые главные поля и уберите предустановленные галочки, перечислите какие данные Вы собираете и с какой целью и на какой период, и добавьте пункт о том, что дети до 16 лет могут подписаться только с согласия родителей. Сделайте аккаунты для пользователей, чтобы они сами могли просматривать, редактировать и удалять свои данные, а также ведите логирование: кто, когда и какие данные пользователя изменял.

Комментариев нет

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Помощник
Как помочь спикеру уложиться в тайминг

Чаще всего спикер четко понимает какие временные рамки ему выделили на доклад и старается подготовить тезисы и слайды презентации, так чтобы высветить самое главное, ничего не упустить и уложиться в выделенное время. Но если у спикера опыта немного, он любит поговорить или в своих рассказах его может унести далеко, то …

Помощник
Как создать рамку для аватарки в Facebook

Для дополнительного охвата и привлечения аудитории в соцсетях существует множество способов. Начиная от вирусных видео, конкурсов с репостами, посевов в тематических сообществах, и заканчивая банальными рамками для аватарок. Кто-то скажет, что это не работает, может и так, но когда ты видишь множество аватарок своих друзей и подписчиков с рамкой какого-то …

Помощник
Как и куда отправить участникам материалы после ивента?

Чаще всего участники ожидают получить презентации спикеров после ивента, видеозаписи докладов, организаторы могут обещать отправить всем чек-листы и какие-то полезные материалы. И перед организатором стоит несколько вопросов, которые нужно при этом решить: 1 – куда все это залить. 2 – как разослать всем участникам. 3 – как разграничить доступ, если …