Крім того, що GDPR є найвпливовішим законом про персональні дані, якого компанії повинні дотримуватися, функціонуючи в межах ЄС, є й інші причини, чому компанії повинні його дотримуватися. Незалежно від того, чи тільки ви починаєте, чи вже маєте велику аудиторію, дотримання GDPR покаже вашим клієнтам, що ви щиро дбаєте про них та їх конфіденційність.
GDPR або Загальний регламент захисту даних спрямований на захист і регулювання використання персональних даних громадян ЄС. Це стосується кожної компанії, яка збирає інформацію від людей, які проживають у Європейському Союзі, незалежно від того, зареєстрована вона в ЄС чи за його межами.
Компанії, які не дотримуються GDPR, несуть відповідальність за низку штрафів або інших форм покарання.
Кожна компанія, яка збирає та обробляє персональні дані на території ЄС та громадян ЄС, несе відповідальність за дотримання GDPR. Кожен глобальний бізнес, який пропонує свої послуги на ринку ЄС, повинен дотримуватися цього регулювання, навіть якщо ці послуги надаються безкоштовно.
Однак, якщо ви не збираєте персональні дані громадян ЄС для «професійної чи комерційної діяльності», ви не можете вважатися відповідальним за дотримання GDPR.
Багато компаній розглядають дотримання GDPR як просту відповідальність перед законом. Однак він може дати набагато більше, ніж це.
Зобов’язання дотримуватися GDPR змусить вас змінити процеси обробки ваших даних. Найкращий спосіб зробити це — створити посаду контролера даних, який буде переглядати дані, які у вас є, і систематизувати їх таким чином, щоб вони ніколи не були втрачені. Це не тільки дозволить вам легше знаходити все, але й захистить особисту інформацію ваших клієнтів.
Тепер більше клієнтів знають, що їх інформація збирається щоразу, коли вони переглядають Інтернет. З цим усвідомленням виникає страх втратити особисті дані третій стороні, яка може використовувати їх без їхнього дозволу для різних особистих справ. Якщо ви чітко опишете, як і навіщо ви збираєте їхню інформацію, клієнти у відповідь відчуватимуть до вас більше довіри.
Ділова репутація складається з багатьох різних речей, і те, як ви обробляєте дані, і закон також позиціонує вас на ринку. Чим організованішою та безпечнішою є ваша обробка даних, тим стабільнішою ви виглядаєте як компанія для інших компаній.
Ніколи не пізно почати піклуватися про свої процеси обробки даних. Ви можете виконати прості кроки, щоб переконатися, що ваш онлайн-бізнес відповідає GDPR.
1. Знайте свої процеси збору даних. Знайте свої перекази (включно з інвентаризацією даних)
Якщо ваш збір даних йде неспокійно та не в порядку, ви не зможете переконатися, що ваша відповідність GDPR належним чином. Якщо ви вже деякий час збираєте дані і не знаєте, як цей процес працює у вашій компанії, це перше, що вам слід зробити. Якщо ви тільки починаєте, вам слід переконатися, що ваші процеси збору даних викладені належним чином і призводять до безпечної та функціональної обробки даних.
2. Призначте контролера даних. Створіть Реєстр даних – документ, у якому можна зберігати записи
Ви можете навіть не підозрювати, скільки даних ви можете зібрати та скільки зусиль доведеться докласти для їх організації. На щастя, є кілька способів допомогти собі в цьому процесі.
По-перше, ви можете призначити контролера даних – особу, основною відповідальністю якої буде збір і облік усіх даних, які ви отримуєте, моніторинг процесів у разі витоку даних і звітування про ефективність і безпеку. По-друге, ви можете вести реєстр даних — документ, у якому ви можете вести записи про те, як ваша компанія відповідає GDPR. Ви можете включити в документ такі речі, як потік обробки даних, заходи безпеки та оновлення політики конфіденційності.
3. Створіть план на випадок витоку даних
Порушення даних може статися з найкращими з нас, але важливо те, як ми на це реагуємо. По-перше, щоб запобігти витоку даних, ви повинні переконатися, що дані, які ви збираєте, є максимально безпечними. Ви ніколи не можете надто дбати про безпеку, особливо тому, що технології розвиваються з великою швидкістю.
Тоді ви отримаєте користь від точного плану на випадок витоку даних. Контролер даних або команда, відповідальна за збір даних, повинні повідомити про порушення даних, коли вони це помітять.
4. Будьте чесними та чіткими щодо того, навіщо вам потрібні дані
Одним із головних вимог GDPR до компаній є отримання усвідомленої та свідомої згоди від власників даних. Інформована згода можлива, лише якщо ви надаєте відвідувачам свого веб-сайту інформацію про те, які дані ви збираєте (наприклад, електронні адреси, імена, номери телефонів або IP-адреси) і чому ви це робите (для реклами чи аналізу цілей). Ви можете заохочувати їх прочитати вашу Політику конфіденційності, перш ніж погодитися на включення в інформаційний бюлетень електронною поштою або колекцію файлів cookie. Крім того, ви повинні надати своїм відвідувачам право відхилити запрошення або підписатися на інформаційний бюлетень у будь-який час.
5. Інтегруйте перевірку віку
Хоча цей пункт дуже пов’язаний з попереднім, ми вирішили поговорити про нього окремо. Свідому згоду на збір даних можна отримати лише від дорослих, які можуть взяти на себе відповідальність за свій вибір. Обов’язково запитуйте своїх клієнтів, чи їм виповнилося 16 років, оскільки GDPR дозволяє збирати дані лише від осіб віком від 16 років.
6. Оновлюйте своє Повідомлення про конфіденційність
Оновлення GDPR відбуваються не так часто, але коли вони трапляються, ви повинні відповідно змінити свої документи. Повідомлення про конфіденційність, яке ви розміщуєте на веб-сайті, має бути завжди актуальним. Документ має містити всі процеси, пов’язані з вашими процесами збору даних, наприклад, яку інформацію ви збираєте, як ви її використовуєте або як довго ви її зберігаєте.
7. Будьте обережні з третіми особами
Навіть якщо ваші процеси збору даних можуть бути найбільш організованими, ви завжди повинні пам’ятати, що треті сторони також можуть збирати дані від ваших відвідувачів. Якщо вони використовують цю інформацію без згоди, ви також несете відповідальність за надання їм платформи. Зверніть увагу на те, як треті сторони, якими ви користуєтеся, як-от служби аналітики чи маркетингу електронною поштою, збирають і обробляють дані користувачів.
Найважливішим є перший крок — розуміння ваших процесів обробки даних. Він є основою для всього іншого та дозволяє вам найкращим чином організувати свої дані. Неважливо, чи ви тільки починаєте визнавати відповідність GDPR, чи хочете нарешті навести порядок у своїх базах даних, вам потрібно буде пройти етап аналізу та організації.
У AVITAR ми допомагаємо онлайн-бізнесу привести процеси обробки даних у порядок і відповідати GDPR та іншим відповідним нормам. Якщо вам потрібна допомога в організації ваших процесів та адаптації до регламенту, ви можете зв’язатися з нами, і ми домовимося про консультацію з одним із наших спеціалістів.
LinkedIn
YouTube
Instagram
Facebook
Telegram
Medium
business@avitar.legal