Настає загальне правило захисту даних або GDPR. За допомогою цього закону в ЄС посилюють і уніфікують захист персональних даних всіх осіб в Європейському союзі.
Ось що це означає, як це вплине на людей та бізнес – і як підготуватися до цього.
Що означає GDPR?
Загальні положення про захист даних. GDPR (General Data Protection Regulation) – регламент ЄС щодо захисту персональних даних його резидентів. Цей документ накладає значний відбиток на те, як буде працювати онлайн-бізнес не тільки в Європейському Союзі, але й в Україні.
Якщо компанія порушує Регламент, то на неї може бути накладений штраф у розмірі до 4% від її річного світового обігу (глобального обороту компанії, цифри, яка для деяких може означати мільярди) або до 20 млн євро.
Зниження штрафу у розмірі 10 мільйонів євро, або два відсотки від загального обсягу продажів, буде застосовуватися до компаній, які неправильно обробляють дані іншими способами. Вони включають, але не обмежуються, неповідомлення про порушення прав даних, нездатність побудувати в конфіденційності за принципом проектування та забезпечити захист даних на першому етапі проекту та відповідати вимогам, призначивши посадовій особі захисту даних – якщо організація є однією з тих, що вимагаються GDPR.
У січні 2012 року Європейська Комісія виробила плани реформування захисту даних у Євросоюзі, щоб зробити Європу “придатною для цифрового віку”. Через майже чотири роки було досягнуто домовленості щодо того, що саме задіяно, і як воно буде застосовано.
- Як підготувати сайт до роботи в умовах GDPR?
- Які зміни варто внести в функціонал сайту, дизайн веб-ресурсу?
- Як правильно підготувати Політику конфіденційності щоб відповідати новим вимогам, що наребуть чинності 25 травня 2018 року в Загальному регламенті захисту даних ЄС (GDPR)?
- Чи вважаються cookie персональними даними?
- Як вибудовувати відносини зі сторонніми сервісами (Google Analytics, MailChimp, та ін.), які мають дані ваших користувачів?
- Які дані про клієнтів краще ніколи не зберігати в базах даних сайту?
- Як тепер приймати онлайн-платежі на сайті?
- Що таке DPO і чи потрібен він вашому бізнесу?
Що таке дотримання GDPR та хто має відношення до цього?
По суті, майже всі аспекти нашого життя обертаються навколо даних. Від соціальних медіа компаній, до банків, роздрібних торговців та урядів – практично кожна послуга, яку ми використовуємо, передбачає збір та аналіз наших особистих даних. Ваше ім’я, адреса, номер кредитної картки, тощо, все зібрано, проаналізовано та, що найголовніше, зберігається організаціями.
ГДПР надає особам ЄС більше контролю над використанням їхніх даних та встановлює певні зобов’язання перед підприємствами і підпиємцями, які обробляють інформацію про цих осіб. Потрібно оновити Політику конфіденційності та сповістити всіх користувачів сайту (що залишили свої дані для зворотнього зв’язку), щоб врахувати нові вимоги GDPR.
GDPR встановлює єдиний закон по всьому континенту та єдиний набір правил, що застосовуються до компаній, що здійснюють підприємницьку діяльність у країнах-членах ЄС. Це означає, що охоплення законодавства поширюється далі, ніж кордони самої Європи, оскільки міжнародні організації розташовані за межами регіону, але з діяльність на “європейській грунті” все одно доведеться дотримуватися.
Співробітник із захисту даних
Згідно з умовами GDPR, організація повинна призначити службовця з захисту даних (DPO – Data Protection Officer), якщо вона здійснює масштабну обробку спеціальних категорій даних, здійснює масштабний моніторинг таких осіб, як відстеження поведінки або державний орган.
Що стосується державних органів, то в групі організацій може бути призначений єдиний ДПО. Незважаючи на те, що для організацій, які не беруть участь у вищесказаному вище, не призначається ДПО, усім організаціям необхідно буде забезпечити їх навички та персонал, необхідний для бути сумісним із законодавством GDPR.
Неможливість призначити працівника з захисту даних, якщо це буде потрібно ГДПР, може вважатися невідповідністю та призвести до штрафу.
Споживачам буде обіцяно легший доступ до власних особистих даних у тому, як він обробляється, з організаціями розповідають, що їм потрібно детально описати, як вони використовують інформацію клієнта чітко та зрозуміло. Також надсилання електронних листів клієнтам з інформацією про те, як їхні дані використовуються, і надання їм можливості відмовитися, якщо вони не дадуть свою згоду на участь з цього. Можливо і звернення до клієнтів, щоб запитати, чи хочуть вони бути частиною своєї бази даних. У цих умовах клієнт повинен мати простий спосіб відмовитися від їх деталізації в списку розсилки.
Порушення даних
Організації будуть зобов’язані повідомляти про будь-які порушення, які, ймовірно, можуть призвести до ризику для прав і свобод людини і призвести до дискримінації, пошкодження репутації, фінансових втрат, втрати конфіденційності або будь-якого іншого економічного чи соціального недоліки. Це потрібно буде зробити через сповіщення про порушення, яке необхідно доставити безпосередньо жертвам. Ця інформація може не передаватися лише в прес-релізі, в соціальних мережах або на веб-сайті компанії. Це повинно бути кореспонденція “один на один” з тими, кого це торкнулося.
Рекомендації по підготовці сайту
Додайте більш детальну інформацію про функції, які ви пропонуєте, і про те, як ви використовуєте інформацію, що збираєте, щоб покращити досвід роботи з сайтом. Додайте політику Cookie, якщо вони збираються – про все те, як використовуються ці невеликі біти даних, поліпшуючі призначений для користувача інтерфейс.
Додайте додаткову інформацію про інформацію, яку збираєте, і про те, як вона в деяких випадках використовується з третіми особами для покращення вашого досвіду з сайтом.
Додайте новий порядок угоди для членів ЄС, щоб знову взяти участь у використанні вашого сайту чи платформи.
Якщо на сайті є профілі користувачів то додайте до них можливість бути як загальнодоступними, так і не відображати в налаштуваннях для всіх користувачів. Також, можливість відмовитися від всіх маркетингових листів з налаштувань обікового запису або посилань на скасування підписки в усіх наших маркетингових листах.
Ще рекомендація – оновіть можливо деякі розділи Політики конфіденційності, щоб зробити їх більш зрозумілими та стислими.
Впишіть дату набору чинності вашої нової Політики конфіденційності за умови, що покращені права захисту даних у Політиці, що вимагаються ГДПР, набирають чинності 25 травня 2018 року для всіх користувачів-резидентів ЄС, які є фізичними особами. Також дайте зрозуміти користувачам, що якщо вони заперечують проти Політики після дійсної дати, то можуть закрити свій обліковий запис.
Краще, коли сповіщення про це оновлення будет також в електронних листах. Наприклад як “З огляду на зазначені вище виправлення є лише найважливішими моментами, ми рекомендуємо вам ознайомитися з повністю оновленою Політикою конфіденційності (лінк), щоб переконатися, що ви розумієте ці зміни”.
GDPR буде застосовуватись до Європейського Союзу з 25 травня 2018 року, і, як очікується, усі країни-члени повинні перенести його до свого національного законодавства до 6 травня 2018 року. Тоді і починають діяти нові налаштування зберігання даних GDPR.
Підтримка вимог GDPR для сайту на CMS WordPress, Joomla або Drupal
Ваш сайт працює на CMS WordPress, Joomla або Drupal? Тому самим швидким способом є встановлення комерційного плагіна для готовності вашого сайта для GDPR. Ціна – 20-45$. Рішення незабаром так же буде доступно для CMS Magento, PrestaShop, OpenCart, Bitrix, Cs-Cart, MODX.
В інших випадках – звертайтесь, і щось завжди можливо придумати. Реалізувати це в допрацюванні вашого сайту під технічне завдання.