Cum să faceți ca site-ul dvs. să fie compatibil cu GDPR

Mulți dintre utilizatorii noștri ne-au întrebat despre GDPR: ce înseamnă? Pentru cine și pentru ce se aplică? Cum mă afectează ca afacere? Știm că, deși multe informații circulă pe net, o parte din aceste informații pot fi incomplete, incorecte sau înșelătoare.

Acesta este motivul pentru care am contactat una dintre cele mai importante firme de avocatură britanice, Fladgate, o firmă specializată în proprietatea intelectuală. Au avut amabilitatea de a oferi răspunsuri complete și profesionale pe această temă, incluse în această postare.

Mai jos veți găsi instrucțiuni lizibile și ușor de înțeles pentru GDPR, deoarece se referă la subiecte relevante pentru creatorii de site-uri Elementor. Este redactat în scris legal, deci este puțin diferit de lingo-ul nostru obișnuit pe blog, dar credem că este cel mai bun (și singurul) mod de a înțelege regulile GDPR în mod clar. Dorim să-i mulțumim lui Eddie Powell de la Fladgate, pentru compunerea și clarificarea acestor orientări elaborate și cuprinzătoare pentru comunitatea noastră.

Întrebările la care s-a răspuns în această postare includ:

Ce este GDPR și de ce este important?

Care sunt regulile de bază ale GDPR?

Ce date personale pot utiliza și cum ar putea fi utilizate?

Pot transfera date cu caracter personal către o terță parte?

Ce drepturi au persoanele fizice împotriva întreprinderilor?

Cum ar trebui, în calitate de proprietar de companie, să protejez datele personale de pe site-ul meu web?

GDPR reprezintă Regulamentul general privind protecția datelor. Este noul set de reguli formulate de UE care guvernează modul în care întreprinderile dețin și utilizează datele personale ale persoanelor.

Majoritatea oamenilor au auzit despre amenzile care pot fi impuse întreprinderilor care încalcă regulile. Acestea pot rula până la 20 de milioane de euro sau pentru grupuri de companii deosebit de mari, 4% din cifra de afaceri globală a grupului, care ar putea fi o sumă masivă de bani.

Mai important, însă, publicitatea asociată nerespectării regulilor de protecție a datelor poate afecta semnificativ reputația unei companii și poate duce la lipsa încrederii clienților și furnizorilor. În plus, noile afaceri vor fi afectate dacă clienții nu au încredere în companie cu informațiile și că vor menține un standard ridicat de confidențialitate. Clienții doresc să se simtă în control asupra informațiilor lor personale.

Regulile se aplică „datelor cu caracter personal”. Datele personale includ lucruri evidente, cum ar fi numele persoanelor, adresele și detaliile de contact etc. Va include, de asemenea, o listă de adrese de e-mail în care puteți identifica persoana de la adresa sa (de exemplu [e-mail protejat] - puteți spune că Bob Smith lucrează la Universal Widgeturi) și adrese IP. Informațiile nu vor mai fi date cu caracter personal dacă le anonimizați astfel încât să nu puteți afla cine este o persoană din setul de informații.

GDPR spune că nu puteți colecta, stoca, utiliza și transfera aceste date personale (toate acestea se numesc „prelucrare”) pur și simplu pentru că sunt stocate în sistemul afacerii dvs. Trebuie să te gândești la ceea ce vrei să faci și să aplici regulile.

Trebuie să aveți unul dintre cele 6 motive pe care GDPR le specifică. Cele mai importante pentru scopurile noastre sunt:

• executarea unui contract cu persoana fizică sau utilizarea informațiilor pentru a pune în aplicare un contract;
• respectarea unei obligații legale (nu a unui contract cu o altă companie) la care este supusă afacerea - cum ar fi respectarea regulilor de combatere a spălării banilor sau prevenirea infracțiunilor;
• în cazul în care individul și-a dat consimțământul (care trebuie să fie specific, informat și lipsit de ambiguitate) la ceea ce doriți să faceți cu informațiile sale; și
• în cazul în care prelucrarea pe care doriți să o efectuați este necesară pentru interesul legitim al companiei, dar echilibrată cu drepturile și interesele persoanei în cauză, care va fi interesată de confidențialitatea lor.

Există reguli speciale în care aveți de-a face cu copii în care trebuie să verificați consimțământul acestora de la părinții lor. Există, de asemenea, reguli speciale pentru tratarea informațiilor despre condamnările penale ale oamenilor și pentru ceea ce legea numește „categorii speciale”, care include informații despre:

• Sănătate
• Etnie
• Orientarea sexuală
• Convingeri politice
• Religie
• Afilierea la sindicat
• Date genetice și biometrice.

De asemenea, merită să ne amintim că există reguli speciale (care nu fac parte din GDPR) pentru marketingul prin e-mail și SMS - nu presupunem că, deoarece aveți adresa de e-mail sau datele de contact ale cuiva, sunteți în regulă să le trimiteți comunicări de marketing prin aceste canale. Trebuie să le fi acordat posibilitatea de a renunța la aceste comunicări atunci când ați colectat informațiile și includeți întotdeauna posibilitatea ca aceștia să dorească să se dezaboneze de la viitoarele comunicări de marketing.

Dacă doriți să utilizați date personale pentru ceva, cum ar fi o nouă implementare software, un nou proiect de bază de date sau pentru a oferi clienților un serviciu mai personalizat, este foarte important să nu presupuneți că este în regulă să luați datele personale existente care pot fi pe sistemele companiei și utilizați-o. Trebuie să vă gândiți la bazele care au fost discutate mai sus și, în special, să vă gândiți dacă pot exista date de categorie specială care ar putea fi incluse, deoarece regulile despre acestea sunt mult mai stricte.

Dacă colectați informații suplimentare pentru scopul declarat, asigurați-vă că colectați doar ceea ce aveți de fapt nevoie. Nu cereți persoanelor să ofere mai mult decât este necesar pentru a vă atinge scopul despre care li s-a spus.

Individului trebuie să i se spună în termeni foarte clari despre ceea ce se întâmplă cu informațiile sale personale. Aceasta include:

• detaliile companiei și datele de contact;
• care este scopul prelucrării datelor;
• către cine urmează să trimiteți datele;
• dacă intenționați să exportați datele în altă țară;
• pentru cât timp veți păstra datele; și
• informații despre drepturile de retragere a consimțământului și alte drepturi care decurg din GDPR.

Aceste informații trebuie furnizate conform GDPR atunci când informațiile sunt colectate sau (dacă informațiile sunt primite indirect) în termen de o lună de la primire. Compania dvs. ar trebui să aibă formulare standard care să vă permită să furnizați aceste informații - acestea ar trebui utilizate întotdeauna atunci când sunt colectate noi date personale.

După ce ați respectat cele de mai sus, apoi executați proiectul planificat, dar respectați-l și asigurați-vă că ștergeți orice date personale care nu sunt necesare sau care nu ar putea fi păstrate în mod legitim. Amintiți-vă că, dacă vă schimbați planurile sau decideți să faceți altceva cu datele personale, trebuie să reveniți din nou la pași și să refaceți exercițiul.

Fiți deosebit de atent cu privire la utilizarea datelor personale care au fost colectate pentru ca afacerea dvs. să le poată utiliza și acum doriți să le transmiteți unei terțe părți.

Trebuie să vă gândiți la pașii de bază de conformitate de mai sus și să vă asigurați că ați îndeplinit temeiurile legale pentru procesare și că individului i s-au oferit toate informațiile necesare cu privire la aceasta.

Dacă destinatarul îndeplinește un loc de muncă pentru dvs. (cum ar fi un furnizor de servicii de salarizare) la instrucțiunile dvs., atunci acesta va fi „procesatorul” dvs. și trebuie să aveți un contract scris cu aceștia, care să includă anumite garanții cu privire la securitate și conformitate.

Este foarte puțin probabil să puteți primi sau transfera „categorii speciale” de date și, dacă acest lucru devine necesar, ar trebui să vă asigurați că consultați echipa de conformitate a companiei dvs.

Există, de asemenea, reguli speciale dacă doriți să mutați informații într-o țară care se află în afara UE, unde legile privind protecția datelor cu caracter personal pot să nu fie la fel de stricte. Poate fi necesar să utilizați forme standard de contracte cu compania sau organizația care urmează să primească datele cu caracter personal sau să facă alte aranjamente care să asigure respectarea drepturilor individului.

GDPR acordă persoanelor o serie de drepturi împotriva companiilor care dețin datele lor personale. Acestea includ

• Rectificare - orice erori sau inexactități trebuie corectate;
• Acces - trebuie să se furnizeze o copie a datelor și detaliile pentru ce sunt utilizate;
• Încetarea prelucrării - opriți orice utilizare a datelor personale ale cuiva
• Ștergerea (dreptul de a fi uitat) - ștergerea tuturor înregistrărilor despre individ
• Portabilitate - transferul datelor personale păstrate într-un format care poate fi citit de mașină către individ sau către alt furnizor.

GDPR nu specifică nivelurile de securitate; se spune doar că întreprinderile trebuie să aibă un nivel adecvat de securitate tehnologică și organizațională, astfel încât compania dvs. va avea la dispoziție proceduri de securitate concepute pentru a vă ajuta să respectați această cerință. Ascultați-le întotdeauna.

Amintiți-vă că nu doar atacurile cibernetice la scară largă pot constitui o încălcare a securității datelor cu caracter personal. Adesea, lucrurile mici cauzează cele mai mari probleme, cum ar fi datele personale stocate pe dispozitivele mobile, care sunt pierdute sau laptopurile necriptate, care sunt lăsate în spațiile publice. Una dintre cele mai mari cauze ale pierderii datelor cu caracter personal sunt e-mailurile rătăcite din cauza completării automate a introducerii unei adrese de e-mail greșite.

GDPR impune companiilor obligația de a notifica autoritățile cu privire la orice încălcare a securității, iar compania dvs. va fi obligată să țină o evidență a oricăror încălcări, oricât de minore ar fi, astfel încât conducerea să poată lua o decizie cu privire la ceea ce trebuie notificat. . Asigurați-vă că orice pierdere care implică date cu caracter personal, chiar dacă este corectată rapid sau este puțin probabil să provoace daune, este raportată în conformitate cu politica companiei dumneavoastră.

Eddie Powell este partener în echipa Commercial Sport și IP la avocații Fladgate LLP din Londra. Pentru mai multe informații, consultați https://www.fladgate.com/lawyer/eddie-powell/

Ce măsuri ați luat pentru ca site-ul dvs. să fie compatibil cu GDPR? Spuneți-ne în comentariile de mai jos.