Nové pravidlá pre prácu s osobnými údajmi Európanov

Lokality, ktoré pracujú s klientmi z krajín EÚ, môžu nedávno dostať pokuty až do výšky 20 miliónov eur, ak nezačnú dodržiavať nové predpisy o osobných údajoch GDPR. Zatiaľ nie sú žiadne obete, ale to nie je dôvod na porušenie zákona. Lepšie bezpečné :-)

Všeobecné nariadenie o ochrane údajov (GDPR) je exteritoriálna regulácia, ktorá chráni bezpečnosť údajov všetkých občanov EÚ. Ak zhromažďujete, uchovávate alebo spracúvate osobné údaje (vrátane cookies) aspoň jedného klienta z Európy, musíte dodržiavať pravidlá bez ohľadu na to, kde sa stránka a spoločnosť registrujú.

Ak máte stránku, ktorá funguje výlučne v Rusku, nemôžete sa obávať dodržiavania požiadaviek GDPR. Nesmieme však zabúdať na to, že v Rusku je v platnosti 152-FZ „O osobných údajoch“ (aktualizovaná verzia nadobudla účinnosť 1. júla 2017), čo trochu opakuje požiadavky GDPR a zároveň obmedzuje prácu s osobnými informáciami zákazníkov.

Kto potrebuje politiku ochrany osobných údajov na stránke a ako ju rozvíjať

Čo sú osobné údaje

Špecifický zoznam informácií, ktoré sa považujú za osobné údaje, sa neposkytuje nikde. Osobné údaje sú akékoľvek informácie o osobe, ktoré možno priamo alebo nepriamo identifikovať.

Základné princípy regulácie a práva osôb pracujúcich s osobnými údajmi

Stručne povedané, všetky pravidlá môžu byť formulované ako otvorenosť a rešpektovanie osobných informácií vašich zákazníkov. Tu je päť základných princípov:

  • Zásada zákonnosti, spravodlivosti a transparentnosti: t Otvorene vyhlasujte všetky metódy zhromažďovania a spracovania osobných údajov vo svojich zásadách ochrany osobných údajov.
  • Princíp obmedzenia cieľa: jasne uveďte, prečo zhromažďujete tieto údaje.
  • Zásada obmedzenia skladovania: špecifikujte dobu uchovávania - osobné údaje nie je možné uchovávať dlhšie, ako potrebujete na dosiahnutie uvedených cieľov.
  • Princíp minimalizácie údajov: zbierať len minimum potrebné na vaše účely.
  • Zásada integrity, dôvernosti a presnosti zozbierané údaje. Údaje musia byť správne a dôverné.

Každý občan krajín EÚ má preto množstvo práv, ktoré musíte rešpektovať:

  • vedieť, aké osobné údaje sa zhromažďujú (na aké účely a na ako dlho budú uchovávané);
  • požadovať od spoločnosti;
  • zmazať všetky údaje (tzv. právo na zabudnutie).

Čo by mal vlastník lokality urobiť?

  1. Skontrolujte, či systém CRM, ktorý používate, poskytuje základné práva vašich zákazníkov, to znamená, že vám umožňuje:
    • poskytovať informácie o zozbieraných osobných údajoch,
    • upravovať a dopĺňať;
    • vymazať údaje na požiadanie.

Zaujímavé je, že existuje niečo ako "právo na prenosnosť údajov" (právo na prenosnosť údajov). To znamená, že na žiadosť subjektu osobných údajov musíte všetky svoje údaje preniesť na tretiu organizáciu - to zjednodušuje prevod klienta z jednej spoločnosti do druhej. Buďte na to pripravení.

  1. Upozornite na zhromažďovanie informácií. Stačí umiestniť tabuľku s textom v dolnej časti stránky v duchu „zhromažďujeme súbory cookie na prispôsobenie obsahu na stránke. Pokračovanie v používaní stránky s tým súhlasíte.“

Napríklad, ako Meduza varuje pred používaním cookies. Odkaz vedie k článku.

  1. Požiadajte o potvrdenie odoslania e-mailov. V e-mailovom marketingu sa to nazýva double opt-in. Odoslaním listu s textom „kliknite na tlačidlo na potvrdenie súhlasu s newsletterom“ výslovne dostanete súhlas užívateľa a preukážete, že ste tento e-mail dostali čestne (a nekupovali ste napríklad databázu spamu).

Tu je štandardný dvojitý opt-in list:

  1. Požiadajte používateľov o súhlas so zhromažďovaním osobných údajov. GDPR vyžaduje, aby používatelia vyjadrili svoj súhlas so spracovaním osobných údajov v explicitnej forme (ako v príklade vyššie). Za týmto účelom umiestnite začiarknutie vedľa formulára zberu údajov, kliknutím na ktorý užívateľ súhlasí so spracovaním svojich osobných údajov. Všimnite si prosím, že toto políčko nie je možné predvolene stlačiť - používateľ to musí urobiť sám.
  1. Správa o strate údajov. Osobné údaje vašich zákazníkov by mali byť veľmi starostlivo sledované a uložené na bezpečnom mieste. Ak sa údaje dostanú k tretím stranám, že nie sú určené na (ste hacknut, únik z dôvodu nedbanlivosti alebo neopatrnosti, alebo ho stratíte iným spôsobom), musíte o tom informovať užívateľov do piatich dní. Samozrejme, nebude to taká významná udalosť, keď v marci unikol Facebook Facebook, ale stále je to málo príjemné.

Čo sa stane pri nedodržiavaní

Rovnako ako pri každom porušení sa bude brať do úvahy závažnosť, počet obetí a príčiny. Maximálna pokuta za porušenie nariadenia môže byť až dvadsať miliónov eur alebo 4% ročného obratu spoločnosti. Avšak, nie okamžite spadajú do paniky - to je maximálna úroveň, ktorá nebude použitá pre prvé porušenie. Po prvýkrát budete pravdepodobne varovaní a požiadaní, aby ste všetko zosúladili s predpismi. Môžete tiež získať zákaz alebo obmedzenie spracovania osobných údajov a len ako poslednú možnosť pokutu (nie nevyhnutne multimiliónový dolár).

Okrem toho, nedodržiavanie zákonov môže zasiahnuť vašu povesť a dôveru v spoločnosť. Nikto sa nechce prihlásiť k odberu vášho spravodajcu a potom dostane nezrozumiteľný obsah od organizácií tretích strán.

Na ochranu práv používateľov v každej krajine EÚ boli vytvorené osobitné orgány na ochranu údajov (DPA) a krajiny, ktoré nie sú členmi EÚ, musia vymenovať zástupcu v Európe, ktorý bude spolupracovať s DPA. Podrobnosti o práci s krajinami, ktoré nevymenovali zástupcu, nie sú zverejnené. Nie je tiež úplne známe, ako budú spoločnosti mimo EÚ niesť zodpovednosť za porušenia. Je však dôležité pochopiť, že napriek tejto nejednoznačnosti by sa pravidlá nemali ignorovať.

Pre tento zákon neexistujú žiadne precedensy. Je však lepšie splniť všetky predpisy a byť si istý.

Zanechajte Svoj Komentár