Вы уже готовы к GDPR?

Помощник

25 мая 2018 года вступил в силу новый порядок обработки персональных данных в Европе – GDPR — General Data Protection Regulation. Он касается всех компаний, которые работают с резидентами Евросоюза, даже, если сама компания в Евросоюзе не зарегистрирована.

Новый регламент должен предоставить европейцам полный контроль над своими персональными данными. Он предусматривает право: получать эти данные, исправлять, удалять их и ограничивать к ним доступ.

  • Если есть хоть один клиент из Европы, чьи персональные данные Вы храните, Вы автоматически попадаете под GDPR.
  • Если к Вам на сайт перешел пользователь и Вы зафиксировали данные о его браузере устройстве, куки – Вы попадаете под этот регламент и обязаны получить от пользователя на это явное разрешение.
  • Если Ваш клиент уехал в Европу, а Вы присылаете ему уведомление – Вы попадаете под действие GDPR.

Нарушение регламента GDPR — влечет за собой штраф до 20 млн евро или 4% годового глобального дохода компании.

Согласно GDPR, персональные данные это любая информация, которая относится к человеку и по которой можно определить его прямо или косвенно:

  • Имя, фамилия
  • Фото
  • Адрес почты
  • Телефон
  • IP-адрес
  • Банковские детали
  • Посты в соцсетях
  • Медицинская информация
  • Коды из аналитики и не только.

Определение очень широкое и по факту включает в себя любую информацию о человеке.

Что же делать, чтобы соответствовать требования нового регламента?

Нужно отредактировать Вашу политику конфиденциальности, правила сбора и обработки личных данных, чтобы они подходили под новые требования. Необходимо повторно запросить у всех, уже имеющихся пользователей, разрешение на обработку данных, поскольку вариант, что это прописано мелким шрифтом где-то там посреди огромного текста, который они не читали при регистрации – уже не работает!

Должно быть четко прописано:

  • Какую персональную и общую информацию Ваша система/сайт собирает
  • Для каких целей информация собирается
  • Какие права имеет пользователь после внесения в Вашу базу
  • Ваша политика хранения данных
  • Процедура трансфера данных в другие страны
  • Как данные будут защищены
  • Контактная информация, включая юридический адрес, если они есть
  • Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует
  • Необходимо добавить отдельное уведомление для детей, если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16.
  • Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались.

При регистрации новых пользователей:

  • Количество полей должно быть минимальным и обоснованным
  • Гранулированное согласие
  • Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
  • Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку

Пользователь должен иметь доступ к странице со своей информацией:

  • Пользователь должен иметь возможность изменить любое поле о себе.
  • Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
  • Пользователь должен иметь возможность включать режим, при котором персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
  • Возможность выгружать данные в любом формате: XML, JSON, CSV.
  • Снова гранулированное согласие.
  • Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)

Дополнительно нужно реализовать:

  • Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны (Например, информация в заказах, которые обработаны).
  • Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована.

GDPR требует вести учет всех действий по обработке персональных данных подписчиков. Кстати, в RegToEVENT есть логирование всех действий Ваших сотрудников, у которых есть аккаунты для работы с ивентом. Ведь Вам нужно не только прописать какие данные Вы собираете, но кто имеет к ним доступ, описание технических и организационных мер безопасности.

Согласно GDPR, Вы несете полную ответственность за сохранение конфиденциальности полученных данных о подписчиках. Вы должны осуществлять все необходимые меры для обеспечения их безопасности, включая псевдонимизацию (замена имени и других идентификационных признаков на псевдонимы) и шифрование.

Если Вы пользуетесь сервисом рассылки, то мероприятия по защите данных ложатся на плечи сервиса. Но ответственность по-прежнему остается на вас. Поэтому, прежде чем загружать куда-то свои списки, поинтересуйтесь, какие способы защиты использует сервис и насколько они надежны. Если Вы регистрируете пользователей через RegToEVENT, то и рассылки можно осуществлять прямо из своего интерфейса, а не передавать на свой страх и риск данные пользователей стороннему сервису.

Если произошла утечка данных…

Если утечка угрожает правам и свободам человека. Надо сообщить об этом в надзорный орган в течение 72 часов. В отчете нужно указать:

  • Описание выявленных нарушений.
  • Контактные данные специалиста по охране персональных данных.
  • Описание вероятных последствий утечки данных.
  • Компенсирующие меры по минимизации рисков.

Если утечка не угрожает правам и свободам человека. Можно никуда не сообщать.
Что делать:

  • Убедиться в том, что используете надежный сервис рассылок.
  • Сообщить в надзорный орган в случае утечки персональных данных.

Проведите аудит своей базы клиентов, и удалите тех, которые Вам уже не понадобятся. Всем остальным направьте письма с просьбой повторного соглашения на обработку персональных данных. Обновите конфиденциальное соглашение на сайте: оставьте только самые главные поля и уберите предустановленные галочки, перечислите какие данные Вы собираете и с какой целью и на какой период, и добавьте пункт о том, что дети до 16 лет могут подписаться только с согласия родителей. Сделайте аккаунты для пользователей, чтобы они сами могли просматривать, редактировать и удалять свои данные, а также ведите логирование: кто, когда и какие данные пользователя изменял.

Комментариев нет

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Помощник
Чек-лист «Начинаем планировать мероприятие и формируем цену на билет»

Подготовили для Вас короткий, но простой и понятный чек-лист: что первым делом нужно учесть при планировании мероприятия и как правильно сформировать цену на билет. Ведь иногда бывает так, что на самом старте организатор может запутаться, что ему нужно, и с чего начать подготовку. А цену на билет устанавливают такую, что …

Помощник
Брендирование мероприятия

Для того Ваше мероприятие быстрее запомнилось, было у всех на виду и на слуху Вам нужно придумать единый стиль. После того как выбрали логотип обдумайте всю концепцию для сайта и промо активностей. Это может быть заданная тематика, можно обыграть все вокруг лого. Важно не переборщить с количеством цветов, форм и …

Помощник
Комфорт на площадке — довольный участник!

Прежде всего вместимость площадки должна соответствовать количеству людей, которое на нее придет. Но, если Вы планируете, что у будет 200 человек, не стоит брать зал на 500 иначе они там потеряются и участникам будет не комфортно. Если Вы проводите мероприятие, которое предусматривает выступление спикеров, и восприятие информации участниками, то одно …