Ce este Regulamentul general al UE privind protecția datelor (GDPR) și cum va afecta afacerea dvs. online?

Este căsuța dvs. de e-mail inundată de e-mailuri care actualizează politicile de confidențialitate? Există un motiv pentru asta - și acesta este Regulamentul general privind protecția datelor sau GDPR.

Se pare că toată lumea vorbește despre GDPR în aceste zile. Dar de ce acum?

Ei bine, treaba este că GDPR a fost în lucru în ultimii șapte ani. Dar recent, a existat un acord cu privire la ceea ce va presupune cu adevărat această reformă a protecției datelor.

Practic, GDPR este un set de reglementări menite să ofere mai mult control asupra datelor cu caracter personal pentru cetățenii europeni. În afară de asta, această reformă va reglementa, de asemenea, legile generale privind consimțământul și confidențialitatea în lumea online, creând noi standarde pentru prelucrarea și stocarea datelor în general.

Cel puțin 50 la sută dintre organizații au declarat că se vor strădui să respecte GDPR dacă nu își schimbă operațiunile în mod semnificativ. Și acesta ar putea fi un regulament european, dar nu afectează doar Europa.

Întreprinderile online din întreaga lume sunt sfătuite să respecte noile reglementări GDPR — GDPR se aplică fiecărei companii din Uniunea Europeană ȘI oricărei organizații din afara UE care furnizează produse sau servicii clienților sau întreprinderilor din UE. Sunt șanse ca majoritatea corporațiilor din întreaga lume să fie conforme cu GDPR... inclusiv pe dvs., dacă compania dvs. intră sub incidența Legii privind protecția datelor din Marea Britanie.

Gândiți-vă la asta așa – sediul principal al Facebook este în America, dar oamenii care trăiesc în Europa și peste tot în lume se pot înscrie la Facebook. Deci, deoarece Facebook oferă servicii europenilor și colectează datele acestora, Facebook trebuie să respecte GDPR, chiar dacă este situat în principal în America.

Totuși, nu vă fie teamă să deveniți conform GDPR. Chiar dacă tehnic nu trebuie să fii.

Conformitatea GDPR nu poate face decât bine. Veți folosi un sistem care va procesa informații personale, sensibile despre clienții dvs. (sau abonații de e-mail), păstrând în același timp toate acele date în siguranță. În realitate, toată lumea poate beneficia de GDPR.

Lucrul bun despre GDPR este că vine cu reguli și linii directoare stricte cu privire la colectarea datelor. Asta înseamnă că nu mai există linii neclare și mai multă reglementare. Dar asta înseamnă și că cei care trebuie să respecte GDPR se vor confrunta cu sancțiuni dacă nu aderă la noile reglementări.

Există două tipuri distincte de prelucrare a datelor – persoanele (sau o agenție, autoritate etc.) responsabile cu prelucrarea datelor și persoanele responsabile cu controlul. Cu această configurație, fiecare dintre cele două părți este pe deplin responsabilă dacă are loc o utilizare greșită, dar dacă toată lumea respectă regulile privind protecția datelor, încălcările vor fi mai puțin probabile. Înainte de GDPR, nu exista o soluție reală dacă se întâmpla ceva cu datele.

Cum poate afacerea dvs. să devină conformă GDPR

Primul pas pentru a deveni conform GDPR este să aruncați o privire atentă asupra datelor pe care le colectați. Aceste date sunt personale? Dacă este, atunci ar trebui să aplicați regulile și reglementările GDPR.

Dacă orice date (o singură bucată din ea sau întregul grup) poate identifica persoana, atunci sunt date personale. În acest caz, trebuie să obțineți consimțământul acestor persoane, să le informați cum vor fi utilizate datele lor și pentru cât timp. De asemenea, trebuie să le oferiți informații despre datele pe care le aveți și să le permiteți să le ștergă dacă doresc.

Unele exemple tipice de date personale includ nume, adrese, fotografii și chiar adresa IP este considerată date personale.

În plus, dacă nu vor să șteargă datele, trebuie să efectuați o anumită activitate pentru a proteja acele date. Una dintre modalitățile de a face acest lucru este pseudonimizarea.

Ce este pseudonimizarea?

Deși numele este complicat, ideea este destul de simplă. Pseudonimizarea este o tehnică de gestionare a datelor în care scopul principal este de a depersonaliza datele, astfel încât să nu poată fi urmărite până la o persoană, nu decât dacă utilizați date suplimentare - aceasta este ca o cheie. Fără acea cheie, nu puteți descoperi data originală care o face criptată.

GDPR are, de asemenea, o listă de reguli despre stocarea tuturor acelor chei criptate, astfel încât procesul de depersonalizare și informațiile să rămână în siguranță.

Atât datele personale, cât și cele criptate reprezintă piese diferite de puzzle, unde dacă scoți una din ecuație, nu poți vedea întreaga imagine.

Diferența dintre pseudonimizare și criptare

Deși există asemănări, principala diferență este clară. Criptarea nu este pusă în piatră și există mai multe modalități de a o realiza. Rezultatul final este același - datele sunt protejate și criptate.

Diferența dintre criptare și pseudonimizare constă în faptul că nu puteți procesa datele criptate decât dacă le readuceți la starea lor originală, necriptată. Cu pseudonimizare, anonimizați doar temporar datele personale, astfel încât în ​​timpul prelucrării datelor, nimeni să nu le poată conecta la persoana reală.

Practic, deși criptarea este mult mai sigură și completă, este, de asemenea, foarte complex de realizat din punct de vedere tehnic, iar pseudonimizarea vă permite să criptați doar părțile sensibile ale datelor. Ar putea fi tradus aproximativ într-o situație reală în care efectuați un chestionar public, iar răspunsurile sunt anonime, dar rezultatul final este același - obțineți datele pe care le căutați.

GDPR și protecția eficientă a datelor

Pentru a procesa datele, companiile trebuie să folosească pseudonimizarea dacă doresc să respecte GDPR. Ei pot alege să nu fie, dar se vor confrunta cu amenzi multiple care ar putea ajunge la milioane de dolari.

Cu pseudonimizare, datele pot fi folosite în cercetări analitice, exploratorii și statistice, dar și cu acordul proprietarului datelor. Și companiile vor trebui, de asemenea, să aibă acel consimțământ la îndemână.

În afară de pseudonimizare, există mai multe soluții tehnice pe care companiile le pot implementa pentru a se asigura că aceste date sunt protejate. Cel mai bine este să ajungeți la criptarea completă, dacă este posibil, dar în afară de asta, companiile se pot asigura că sistemele lor actuale pot susține schimbările de politică.

O altă modalitate de a proteja datele este consolidarea sistemelor existente. Construiți garanțiile necesare în sisteme, dar asigurați-vă și că acestea sunt încorporate în produse și servicii încă din primele etape de dezvoltare.

Regulile GDPR vor începe să se aplice pe 25 mai 2018. Începând cu această dată, toate organizațiile și companiile din UE vor trebui să respecte GDPR.

Care sunt beneficiile GDPR?

• Mai puține încălcări ale datelor, hacking și abuzuri.
• Protecția datelor va fi inclusă în fiecare produs sau serviciu încă de la început.
• Întreprinderile vor avea în continuare acces la datele necesare dacă folosesc mecanisme de protecție a datelor, cum ar fi pseudonimizarea.
• Vor fi create noi locuri de muncă.
• Oamenii vor avea control complet asupra datelor lor.
• Companiile vor trebui să notifice consumatorii dacă datele lor au fost piratate, limitând mușamalizările.

Sunteți îngrijorat de modul în care legislația vă va afecta afacerea? Rămâneți la curent prin înscrierea la DesignRush Daily Dose!

Sancțiuni și amenzi GDPR

În timp ce multe companii cred că GDPR este doar o pacoste, sunt stimulate să respecte noile reguli GDPR, deoarece amenzile sunt gigantice. Sancțiunile pot varia de la 10 milioane de euro (mai mult de 11,5 milioane de dolari) până la 20 de milioane de euro (23 de milioane de dolari), sau două până la patru procente din cifra de afaceri globală anuală a unei companii, care ar putea valora miliarde de dolari pentru unele companii.

Companiile pot fi amendate dacă transferă date fără autorizare, ignorând solicitarea oamenilor de a vedea datele și de a elimina datele. Amenzile pot afecta și companiile care nu notifică utilizatorii și autoritățile în primele 72 de ore de la producerea unei încălcări. O altă instanță care poate suporta o amendă este aceea de a nu numi o persoană responsabilă cu regulile și conformitatea GDPR - o persoană responsabilă cu protecția datelor în cadrul organizației.

Numirea unui operator de date

Fiecare organizație care gestionează date sensibile, inclusiv procesarea, monitorizarea și urmărirea comportamentului, trebuie să numească un responsabil cu protecția datelor. Asta înseamnă că companiile care utilizează strategii de marketing digital probabil trebuie să respecte GDPR.

A fi DPO nu necesită un certificat și există doar un set de linii directoare, nu o legislație reală, cu privire la cine ar trebui să fie responsabil cu protecția datelor. În principal, acea persoană ar trebui să aibă experiență și înțelegere a legilor privind protecția datelor și ar trebui să desfășoare activități pentru a se asigura că compania respectă. Acea persoană este, de asemenea, făcută responsabilă dacă compania nu este conformă.

De asemenea, în funcție de dimensiunea companiei, ar putea exista doar un singur DPO sau întregul departament dedicat minimizării riscurilor și maximizării protecției datelor.

Faceți din GDPR o valoare de bază

Există mai multe moduri prin care companiile se pot asigura că GDPR este luat în serios și executat de companie.

• Pregatirea personalului
• Evaluări ale politicilor
• Reglementări HR
• Audituri interne
• Documentarea tuturor proceselor și activităților care implică utilizarea datelor
• Minimizarea utilizării datelor
• Folosind tactici precum pseudonimizarea

Cum pot companiile să pregătească legislația GDPR

Departamentele de marketing din cadrul companiilor sunt cele care folosesc în general date sensibile de la utilizatori, dar nu contează cine se ocupă de datele din interiorul companiei. Compania în ansamblu trebuie să se conformeze și iată o listă de verificare pentru a simplifica procesul.

Pasul 1 – Numiți un responsabil cu protecția datelor

Trebuie să aveți pe cineva care să supravegheze și să revizuiască toate procesele interne și să se asigure că compania dvs. respectă liniile directoare. Dacă credeți că nu aveți pe nimeni în cadrul companiei dvs. care să poată îndeplini un astfel de rol, atunci ar trebui să căutați să angajați pe cineva care poate. De asemenea, există acum cursuri de formare GDPR pe care personalul dvs. actual le poate urma pentru a afla mai multe despre GDPR.

Pasul 2 - Examinați-vă lista de corespondență

Faceți o revizuire completă a întregii liste de corespondență. Trimiteți e-mailurile necesare cu privire la noua actualizare a politicii de confidențialitate și întrebați oamenii dacă mai doresc să vă împărtășească datele. Dacă nu vă dau consimțământul, eliminați-i din listă. Dacă utilizați automatizarea marketingului prin e-mail, utilizați pur și simplu o nouă listă în care veți segmenta utilizatorii europeni, astfel încât să le puteți asigura consimțământul.

Pasul 3 - Aprobați campaniile de marketing printr-un responsabil cu protecția datelor

Până când personalul dvs. de marketing învață frânghiile, un DPO ar trebui să vă supravegheze campaniile de marketing și să le aprobe înainte de lansare. În acest fel, poți fi sigur că totul este în ordine și că rămâi conform GDPR.

Pasul 4 – Documentați fluxurile și procesele de date

Sunt șanse ca lista dvs. de e-mail să fie eliminată, dar după cum știți acum, aceasta este o necesitate. Cu toate acestea, trebuie să vă asigurați că toate colectările viitoare de date sunt, de asemenea, conforme cu GDPR. Punctele dvs. de intrare a datelor trebuie, de asemenea, să rămână în siguranță. Acestea includ înscrierea la newsletter, toate înregistrările de cont, diverse evenimente, liste de achiziții, securizarea datelor transferate către parteneri și, bine, orice tip de utilizare și colectare a datelor. Utilizatorii ar trebui să vă dea consimțământul pentru toate operațiunile dvs. de date și ar trebui să indicați în mod explicit toate activitățile pe care le veți efectua cu datele lor.

Pasul 5 – Actualizați-vă politica de confidențialitate

Asigurați-vă că site-ul dvs. are o pagină de politică de confidențialitate ușor accesibilă, unde puteți descrie public modul în care colectați și gestionați datele și ce acțiuni întreprindeți pentru a le proteja.

Pasul 6 – Implementați instruirea personalului și a managementului în GDPR

Învățați toți factorii de decizie și personalul de marketing despre protecția datelor și protocoalele existente. Puteți chiar să scalați acest lucru pentru a vă educa toți angajații despre noile reguli și procese. Acest lucru ar putea fi realizat prin seminarii, instruire, distribuirea de broșuri sau manuale online - indiferent de ceea ce funcționează pentru afacerea dvs.

Pasul 7 – Ștergeți datele pe care compania dvs. nu le folosește

Unul dintre pașii pentru a deveni conform GDPR este să minimizați datele pe care le utilizați în procesele de zi cu zi, dacă este posibil, și să ștergeți datele atunci când nu mai aveți nevoie de ele.

Pasul 8 – Reverificare

Trimiteți un e-mail tuturor rezidenților europeni și solicitați-le să-și reînnoiască consimțământul dacă doresc să fie pe lista dvs. Acest lucru se poate face prin e-mail, aplicație mobilă sau chiar prin poștă directă. Politicile GDPR interzic strict trimiterea unui nou e-mail persoanelor care s-au dezabonat anterior de pe lista dvs.

Confidențialitate implicită și confidențialitate prin design — Care este diferența

Există doi termeni noi care ar trebui recunoscuți și respectați în această nouă eră GDPR. Practic, am spus deja că noile produse și servicii trebuie să vină cu un mecanism încorporat care să respecte regulile GDPR. Confidențialitatea prin proiectare înseamnă că companiile ar trebui să se gândească și să planifice în avans cum să includă politicile de protecție a datelor, chiar și în etapele incipiente ale proiectului, precum și în restul ciclului de viață al unui proiect.

Procesatorii de date trebuie să asigure confidențialitatea datelor în mod implicit, ceea ce înseamnă că datele personale nu sunt disponibile pentru nimeni, cu excepția proprietarului datelor. De asemenea, procesatorii trebuie să colecteze doar datele personale minime necesare în scopul prelucrării, fără a stoca aceste date după finalizare.

Ce puteți face pentru a automatiza procesul

Încercați să asigurați o soluție tehnică care va rezolva multe dintre aceste probleme pentru dvs. Acesta ar putea fi, de exemplu, un software care va șterge automat anumite date personale.

Reevaluare și testare

Pentru a opri eventualele încălcări și pentru a respecta GDPR, este mai bine ca companiile să pună în mișcare diverse teste, studii de caz și procese de reevaluare.

Faceți o listă de verificare a conformității GDPR pentru fiecare sistem nou, campanie media, acțiune de planificare a proiectelor sau orice altceva similar. În acest fel, angajații dvs. pot evalua rapid procesul și pot notifica persoanele responsabile dacă proiectul nu se conformează și utilizează greșit datele în vreun fel. Sigur, companiile sau angajații ar putea considera acești pași suplimentari ca pe o povară, dar este mai bine să fii sigur decât să-ți pară rău.

Amintește-ți amenzile acelea de milioane de dolari.

Noi politici de colectare a datelor

Pe lângă securizarea datelor colectate anterior, trebuie să vă asigurați că viitoarea colectare a datelor este sigură de la început. Puteți folosi un limbaj simplu și natural atunci când cereți consimțământul.

Mascarea în spatele unui limbaj complicat poate fi foarte înșelătoare. Consimțământul pe care oamenii îl oferă trebuie să fie clar și fără ambiguitate. Asigurați-vă că descrieți clar cum veți folosi informațiile nou colectate.

De asemenea, este timpul pentru un alt consimțământ privind politica de cookie-uri pe site-ul dvs. Trebuie să vă asigurați că persoanele care se abonează sunt majore, deoarece, conform noilor reguli GDPR, doar persoanele cu vârsta de 16 ani și peste își pot furniza datele personale. Copiii sub 16 ani trebuie să aibă acordul părintesc.

Companiile trebuie să înțeleagă că nu pot cere informații personale fără o cauză adecvată. Nici chiar dacă stocarea acestor informații este în conformitate cu regulile GDPR. Companiile ar trebui să solicite asistență juridică pentru a pregăti o bază legală pentru fiecare activitate de colectare și prelucrare a datelor.

Noile formulare ar putea include vârsta utilizatorului și chiar țara de reședință pentru a determina dacă regulile GDPR se aplică sau nu. De asemenea, clienții dumneavoastră au dreptul să știe dacă datele lor vor fi transferate peste granițe. În orice moment, trebuie să vă asigurați că există un mecanism care va permite utilizatorilor să își retragă consimțământul sau chiar să depună o plângere.

Dacă oamenii solicită informații despre informațiile lor, companiile trebuie să se conformeze și să ofere un răspuns care nu este amânat fără motiv și, cel târziu, acesta trebuie trimis în termen de o lună de la primirea solicitării.

Noua lege privind confidențialitatea electronică

Comitetul European a publicat o nouă propunere de lege privind Regulamentul privind confidențialitatea electronică. Este intenționat să fie o actualizare a „Legii cookie-urilor” existentă, care va fi, de asemenea, în conformitate cu legea GDPR deja utilizată.

Diferența dintre GDPR și legea e-Privacy

În timp ce GDPR se preocupă de protecția datelor cu caracter personal, legea ePrivacy dorește să reglementeze confidențialitatea vieții personale a unui utilizator. Astfel, comunicarea online poate proteja utilizatorul. Există multe sectoare și industrii care sunt afectate de aceste legi. Comitetul European consideră că ar trebui să existe două seturi diferite de reguli care se bazează pe drepturile omului diferite.

Această nouă lege ePrivacy poate avea un impact destul de mare asupra industriei de marketing. Peste 92% dintre oameni sunt îngrijorați de confidențialitatea lor online și de modul în care datele lor sunt utilizate în scopuri de marketing. Sunt extrem de îngrijorați de percepția pe care o au companiile în viața lor, mai ales atunci când își monitorizează activitățile online, conținutul de e-mail și mesajele. De aceea, această noțiune a evoluat de la GDPR și protecția datelor cu caracter personal la legea ePrivacy și restul datelor.

Practic, vor exista reguli și politici mult mai reglementate cu privire la obținerea consimțământului pentru toate scopurile de marketing. Aceasta include și strategiile de marketing comportamental. Odată cu noua lege ePrivacy, companiile nu vor putea folosi nicio informație din comunicarea electronică, informații stocate în dispozitivele utilizate de consumatori sau orice alte informații, fără acordul utilizatorului, decât dacă acestea sunt necesare pentru prelucrarea imediată a datelor.

Cuvinte înțelepților — Atenție la escrocherii

Deoarece companiile au trimis e-mailuri care le oferă oamenilor să renunțe la listele lor de corespondență, escrocii au găsit o modalitate de a folosi întreaga conformitate GDPR pentru escrocherii lor de tip phishing. Nu poți scăpa de ironia că hackerii vizează în mod intenționat oamenii care încearcă să-și păstreze datele în siguranță cu noile reguli GDPR.

Iată cum puteți recunoaște o escrocherie de phishing GDPR:

Dacă compania vă întreabă dacă doriți să rămâneți în baza lor de date, probabil că nu este o înșelătorie de tip phishing. Cu toate acestea, dacă la un moment dat primiți un mesaj în care ar trebui să trimiteți din nou orice date sau informații personale - cum ar fi nume, adrese, nume de utilizator, parole și chiar informații de plată - evitați. O companie adevărată nu ar face niciodată asta printr-un e-mail.

Viitorul protecției datelor și modul în care afacerea dvs. poate folosi acele informații

Din nou, ca și în cazul GDPR, puterea controlului confidențialității revine proprietarului datelor. Cu această nouă lege, utilizatorii vor putea să-și dea consimțământul pentru utilizarea cookie-urilor sau să-l retragă, chiar în browserele lor de internet.

Făcând acest lucru, se crede că nu va trebui să existe o politică de cookie-uri pentru fiecare site web, ci mai degrabă un registru software care se va ocupa de el. Asta înseamnă, de asemenea, că site-urile web nu vor trebui să folosească ferestre pop-up plictisitoare pentru a cere consimțământul dacă site-urile folosesc doar colectarea de date anonimă.

Aceste noi legi de confidențialitate vor fi aplicabile tuturor serviciilor de mesagerie, inclusiv aplicației Facebook Messenger, Viber, WhatsApp și Gmail.

Multe dintre aceste măsuri vor avea un impact direct asupra viitorului marketingului digital, dar este încă devreme să spunem sau chiar să prezicem cum se va întâmpla acest lucru. Va trebui doar să așteptăm și să vedem, ținând un ochi pe datele noastre între timp.

Are afacerea dvs. nevoie de ajutor pentru a rămâne la curent cu toate aceste noi reglementări privind datele? Consultați lista DesignRush cu cele mai bune companii de securitate cibernetică și de gestionare a riscurilor care pot ajuta la eficientizarea procesului atunci când reglementările GDPR vor apărea.

Doriți mai multe informații despre afaceri? Înscrieți-vă pentru newsletter-ul nostru!