Что такое Общий регламент ЕС по защите данных (GDPR) и как он повлияет на ваш онлайн-бизнес?

Ваш почтовый ящик переполнен электронными письмами, обновляющими политику конфиденциальности? Для этого есть причина - и эта причина - Общий регламент по защите данных или GDPR.

Кажется, что в наши дни все говорят о GDPR. Но почему именно сейчас?

Дело в том, что GDPR разрабатывается последние семь лет. Но недавно было достигнуто согласие относительно того, что на самом деле повлечет за собой реформа защиты данных.

По сути, GDPR - это набор правил, призванных обеспечить больший контроль над личными данными для граждан Европы. Кроме того, эта реформа также будет регулировать общие законы о согласии и конфиденциальности в онлайн-мире, создавая новые стандарты обработки и хранения данных в целом.

По крайней мере, 50 процентов организаций заявили, что им будет сложно соблюдать GDPR, если они не изменят свою деятельность значительно. И это может быть европейское регулирование, но оно влияет не только на Европу.

Интернет-предприятиям во всем мире рекомендуется соблюдать новые правила GDPR - GDPR применяется к каждой компании в Европейском Союзе, И любой организации за пределами ЕС, которая предоставляет продукты или услуги клиентам или предприятиям в ЕС. Скорее всего, большинство мировых корпораций должны будут соответствовать GDPR ... включая вас, если ваша компания подпадает под действие Закона Великобритании о защите данных.

Подумайте об этом так: главный офис Facebook находится в Америке, но люди, живущие в Европе и во всем мире, могут зарегистрироваться в Facebook. Итак, поскольку Facebook предлагает услуги европейцам и собирает их данные, Facebook должен соответствовать GDPR, даже если он расположен в основном в Америке.

Однако не бойтесь стать совместимым с GDPR. Даже если технически это не обязательно.

Соблюдение GDPR пойдет вам на пользу. Вы будете использовать систему, которая будет обрабатывать личную конфиденциальную информацию о ваших клиентах (или подписчиках электронной почты), сохраняя при этом все эти данные в безопасности. На самом деле каждый может получить выгоду от GDPR.

Положительный момент GDPR заключается в том, что он содержит строгие правила и рекомендации в отношении сбора данных. Это означает, что больше никаких размытых линий и больше правил. Но это также означает, что те, кто должен соблюдать GDPR, столкнутся с штрафами, если они не будут соблюдать новые правила.

Существует два различных типа обработки данных: люди (или агентство, орган и т. Д.), Отвечающие за обработку данных, и люди, отвечающие за контроль. При такой настройке каждая из двух сторон несет полную ответственность в случае неправомерного использования, но если все будут соблюдать правила защиты данных, вероятность нарушений будет ниже. До GDPR не было реального решения, если что-то случалось с данными.

Как ваш бизнес может стать совместимым с GDPR

Первый шаг к обеспечению соответствия GDPR - это внимательно изучить собранные вами данные. Это личные данные? Если это так, то вам следует применить правила и положения GDPR.

Если какие-либо данные (отдельная часть или вся группа) могут идентифицировать человека, то это личные данные. В этом случае вы должны получить согласие этих лиц, сообщить им, как их данные будут использоваться и как долго. Кроме того, вы должны дать им представление об имеющихся у вас данных и позволить им удалить их, если они захотят.

Некоторые типичные примеры личных данных включают имена, адреса, фотографии, и даже IP-адрес считается личными данными.

Кроме того, если они не хотят удалять данные, вы должны выполнить определенное действие, чтобы защитить эти данные. Один из способов сделать это - псевдонимизация.

Что такое псевдонимизация?

Хотя название сложно, идея довольно проста. Псевдонимизация - это метод управления данными, основная цель которого - обезличить данные, чтобы их нельзя было отследить до человека, если только вы не используете дополнительные данные - это как ключ. Без этого ключа вы не сможете раскрыть исходный фрагмент данных, который делает их зашифрованными.

GDPR также содержит список правил хранения всех этих зашифрованных ключей, чтобы процесс обезличивания и информация оставались безопасными.

И личные, и зашифрованные данные представляют собой разные части головоломки, и если вы уберете одну из них, вы не сможете увидеть всю картину.

Разница между псевдонимизацией и шифрованием

Хотя есть сходства, основное различие очевидно. Шифрование не высечено на камне, и есть несколько способов его добиться. Конечный результат тот же - данные защищены и зашифрованы.

Разница между шифрованием и псевдонимизацией заключается в том, что вы не можете обрабатывать зашифрованные данные, пока не вернете их в исходное незашифрованное состояние. Используя псевдонимизацию, вы только временно анонимизируете личные данные, чтобы во время обработки данных никто не мог связать их с реальным лицом.

По сути, хотя шифрование намного безопаснее и полнее, его технически очень сложно реализовать, а псевдонимизация позволяет шифровать только конфиденциальные части данных. Это можно примерно перевести на реальную ситуацию, когда вы проводите публичный опрос, а ответы анонимны, но конечный результат тот же - вы получаете данные, которые искали.

GDPR и эффективная защита данных

Для обработки данных компаниям необходимо использовать псевдонимизацию, если они хотят соответствовать GDPR. Они могут решить не делать этого, но им грозят многочисленные штрафы, которые могут достигать миллионов долларов.

При псевдонимизации данные могут использоваться в аналитических, поисковых и статистических исследованиях, но также с согласия владельца данных. И компаниям также необходимо иметь в наличии такое согласие.

Помимо псевдонимизации, есть несколько технических решений, которые компании могут реализовать, чтобы обеспечить защиту этих данных. Лучше всего достичь полного шифрования, если это возможно, но в остальном компании могут убедиться, что их текущие системы могут выдерживать изменения политики.

Еще один способ защиты данных - укрепить существующие системы. Создавайте необходимые меры безопасности в системах, но также убедитесь, что они встроены в продукты и услуги на ранних этапах разработки.

Правила GDPR начнут применяться 25 мая 2018 года. С этой даты все организации и компании ЕС должны будут соответствовать GDPR.

Каковы преимущества GDPR?

• Меньше утечек данных, взлома и неправомерного использования.
• Защита данных будет встроена в каждый продукт или услугу с самого начала.
• Компании по-прежнему будут иметь доступ к необходимым данным, если они будут использовать механизмы защиты данных, такие как псевдонимизация.
• Будут созданы новые рабочие места.
• Люди будут иметь полный контроль над своими данными.
• Компании должны будут уведомлять потребителей, если их данные были взломаны, чтобы ограничить сокрытие.

Вы беспокоитесь о том, как законодательство повлияет на ваш бизнес? Оставайтесь в курсе, подписавшись на ежедневную дозу DesignRush!

Штрафы и штрафы GDPR

Хотя многие компании думают, что GDPR - это просто неудобство, они заинтересованы в соблюдении новых правил GDPR, потому что штрафы огромны. Штрафы могут варьироваться от 10 миллионов евро (более 11,5 миллиона долларов) до 20 миллионов евро (23 миллиона долларов), или от двух до четырех процентов годового глобального оборота компании, который для некоторых компаний может составлять миллиарды долларов.

Компании могут быть оштрафованы, если они передают данные без авторизации, игнорируя запросы людей на анализ и удаление данных. Штрафы также могут повлиять на компании, которые не уведомляют пользователей и органы власти в течение первых 72 часов после нарушения. Другой случай, когда может быть наложен штраф, - это отказ от назначения лица, отвечающего за соблюдение правил GDPR - лица, ответственного за защиту данных в организации.

Назначение контроллера данных

Каждая организация, которая обрабатывает конфиденциальные данные, включая обработку, мониторинг и отслеживание поведения, должна назначить сотрудника по защите данных. Это означает, что компании, использующие стратегии цифрового маркетинга, вероятно, должны соответствовать требованиям GDPR.

Для того, чтобы быть DPO, не требуется сертификат, и существует только набор руководящих принципов, а не действующее законодательство, о том, кто должен быть сотрудником по защите данных. В основном, этот человек должен иметь опыт и понимание законов о защите данных и должен выполнять действия, чтобы убедиться, что компания соблюдает его. Это лицо также несет ответственность, если компания не соблюдает правила.

Кроме того, в зависимости от размера компании может быть только один DPO или целый отдел, занимающийся минимизацией рисков и максимальной защитой данных.

Сделать GDPR ключевой ценностью

Есть несколько способов, с помощью которых компании могут обеспечить серьезное отношение к GDPR и их выполнение.

• Обучение сотрудников
• Обзоры политики
• Кадровый регламент
• Внутренний аудит
• Документирование всех процессов и действий, связанных с использованием данных
• Минимизация использования данных
• Использование тактики, как псевдонимизация

Как компании могут подготовить законодательство о GDPR

Маркетинговые отделы внутри компаний обычно используют конфиденциальные данные пользователей, но не имеет значения, кто обрабатывает данные внутри компании. Компания в целом должна соответствовать требованиям, и вот контрольный список, который поможет упростить этот процесс.

Шаг 1 - Назначьте сотрудника по защите данных

Вам нужен кто-то, кто будет контролировать и проверять все внутренние процессы, а также следить за тем, чтобы ваша компания придерживалась руководящих принципов. Если вы считаете, что в вашей компании нет никого, кто мог бы выполнять такую ​​роль, вам следует подумать о том, чтобы нанять кого-то, кто может. Кроме того, теперь есть тренинги по GDPR, которые ваши нынешние сотрудники могут пройти, чтобы больше узнать о GDPR.

Шаг 2 - Просмотрите свой список рассылки

Сделайте полную ревизию всего вашего списка рассылки. Отправьте необходимые электронные письма о новом обновлении политики конфиденциальности и спросите людей, хотят ли они по-прежнему делиться с вами своими данными. Если они не дают вам согласия, удалите их из списка. Если вы используете автоматизацию электронного маркетинга, просто используйте новый список, в котором вы будете сегментировать европейских пользователей, чтобы вы могли получить их согласие.

Шаг 3. Утвердите маркетинговые кампании через специалиста по защите данных

До тех пор, пока ваш маркетинговый персонал не научится, DPO должен контролировать ваши маркетинговые кампании и одобрять их перед запуском. Таким образом, вы можете быть уверены, что все в порядке и что вы соблюдаете GDPR.

Шаг 4 - Документируйте потоки данных и процессы

Скорее всего, ваш список адресов электронной почты будет удален, но, как вы теперь знаете, это необходимость. Однако вам все равно необходимо убедиться, что весь будущий сбор данных также соответствует требованиям GDPR. Ваши точки ввода данных также должны оставаться в безопасности. К ним относятся подписка на информационный бюллетень, все регистрации учетных записей, различные события, списки покупок, защита передаваемых данных партнерам и, ну, любой тип использования и сбора данных. Пользователи должны дать вам согласие на все ваши операции с данными, и вы должны четко указать все действия, которые вы будете выполнять с их данными.

Шаг 5 - Обновите свою Политику конфиденциальности

Убедитесь, что на вашем веб-сайте есть легко доступная страница политики конфиденциальности, на которой вы можете публично описать, как вы собираете и обрабатываете данные, а также какие действия вы предпринимаете для их защиты.

Шаг 6 - Проведите обучение персонала и руководства по GDPR

Обучите всех лиц, принимающих решения, и маркетинговый персонал о защите данных и действующих протоколах. Вы даже можете масштабировать это, чтобы обучать всех своих сотрудников новым правилам и процессам. Это можно сделать с помощью семинаров, тренингов, раздачи буклетов или онлайн-руководств - все, что работает для вашего бизнеса.

Шаг 7. Удалите данные, которые ваша компания не использует

Один из шагов к обеспечению соответствия GDPR - это минимизировать количество данных, которые вы используете в повседневных процессах, если это возможно, и удалить данные, когда они вам больше не нужны.

Шаг 8 - Повторное подтверждение

Отправьте электронное письмо всем жителям Европы и попросите их продлить свое согласие, если они хотят быть в вашем списке. Это можно сделать через электронную почту, мобильное приложение или даже прямую почтовую рассылку. Политика GDPR строго запрещает отправку нового электронного письма лицам, которые ранее отписались от вашего списка.

Конфиденциальность по умолчанию и конфиденциальность по дизайну - в чем разница

В эту новую эпоху GDPR следует признать и соблюдать два новых условия. По сути, мы уже сказали, что новые продукты и услуги должны иметь встроенный механизм, который будет соответствовать правилам GDPR. Конфиденциальность по дизайну означает, что компании должны подумать и заранее спланировать, как включить политики защиты данных, даже на ранних стадиях проекта, а также в остальную часть его жизненного цикла.

Обработчики данных по умолчанию должны обеспечивать конфиденциальность данных, что означает, что личные данные недоступны никому, кроме владельца данных. Кроме того, обработчики должны собирать только минимально необходимые личные данные для целей обработки, не сохраняя эти данные после завершения.

Что вы можете сделать для автоматизации процесса

Попробуйте найти техническое решение, которое решит за вас многие из этих проблем. Это может быть, например, программа, которая автоматически удаляет определенные личные данные.

Переоценка и тестирование

Чтобы предотвратить возможные нарушения и соблюдать GDPR, компаниям лучше задействовать различные тесты, тематические исследования и процессы переоценки.

Составьте контрольный список соответствия GDPR для каждой новой системы, медиа-кампании, действия по планированию проекта или чего-либо подобного. Таким образом, ваши сотрудники могут быстро оценить процесс и уведомить ответственных лиц, если проект не соответствует требованиям или каким-либо образом неправильно использует данные. Конечно, компании или сотрудники могут подумать об этих дополнительных шагах как об обузе, но лучше перестраховаться, чем сожалеть.

Вспомните те штрафы в миллион долларов.

Новые политики сбора данных

Помимо защиты ранее собранных данных, вы должны с самого начала убедиться, что будущий сбор данных безопасен. Вы можете использовать простой естественный язык, когда просите согласия.

Маскировка за сложным жаргоном может ввести в заблуждение. Согласие людей должно быть четким и недвусмысленным. Убедитесь, что вы четко определили, как вы будете использовать только что собранную информацию.

Пришло время еще раз согласиться с политикой использования файлов cookie на вашем веб-сайте. Вы должны убедиться, что люди, которые подписываются, достигли совершеннолетия, потому что согласно новым правилам GDPR только люди в возрасте 16 лет и старше могут предоставлять свои личные данные. Дети до 16 лет должны иметь согласие родителей.

Компании должны понимать, что они не могут запрашивать личную информацию без уважительной причины. Даже если хранение этой информации соответствует правилам GDPR. Компаниям следует обращаться за юридической помощью для подготовки правовой основы для каждой деятельности по сбору и обработке данных.

Новые формы могут включать возраст пользователя и даже страну проживания, чтобы определить, применяются ли правила GDPR. Кроме того, ваши клиенты имеют право знать, будут ли их данные передаваться за границу. Вы всегда должны убедиться, что существует механизм, позволяющий пользователям отозвать свое согласие или даже подать жалобу.

Если люди запрашивают подробности их информации, компании должны подчиниться и предоставить ответ, который не откладывается без причины, и самое позднее его следует отправить в течение одного месяца после получения запроса.

Новый закон об электронной конфиденциальности

Европейский комитет опубликовал предложение о новом законе, касающееся Регламента электронной конфиденциальности. Он задуман как обновление существующего «Закона о файлах cookie», который также будет соответствовать уже действующему закону GDPR.

Разница между GDPR и законом об электронной конфиденциальности

В то время как GDPR касается защиты персональных данных, закон о конфиденциальности хочет регулировать конфиденциальность личной жизни пользователя. Таким образом, онлайн-общение может защитить пользователя. Эти законы затрагивают множество секторов и отраслей. Европейский комитет считает, что должно быть два разных набора правил, основанных на разных правах человека.

Этот новый закон о конфиденциальности может сильно повлиять на индустрию маркетинга. Более 92% людей беспокоятся о своей конфиденциальности в Интернете и о том, как их данные используются в маркетинговых целях. Их очень беспокоит то, насколько компании понимают их жизнь, особенно при мониторинге их онлайн-активности, содержания электронной почты и сообщений. Вот почему это понятие эволюционировало от GDPR и защиты персональных данных до закона о конфиденциальности и остальных данных.

По сути, будет гораздо больше регулируемых правил и политик в отношении получения согласия для всех маркетинговых целей. Сюда также входят стратегии поведенческого маркетинга. С новым законом о конфиденциальности компании не смогут использовать какие-либо данные из электронных сообщений, информацию, хранящуюся на устройствах, используемых потребителями, или любую другую информацию без согласия пользователя, за исключением случаев, когда это необходимо для немедленной обработки данных.

Words To The Wise - Остерегайтесь мошенничества

Поскольку компании рассылают электронные письма, предлагая людям отказаться от их списков рассылки, мошенники придумали способ использовать полное соответствие GDPR для своих фишинговых атак. Невозможно избежать иронии судьбы, что хакеры целенаправленно нацелены на людей, которые пытаются защитить свои данные с помощью новых правил GDPR.

Вот как можно распознать фишинговую аферу с GDPR:

Если компания спрашивает, хотите ли вы остаться в их базе данных, вероятно, это не фишинг. Однако, если в какой-то момент вы получите сообщение, в котором вы должны снова отправить какие-либо личные данные или информацию - например, имена, адреса, имена пользователей, пароли и даже платежную информацию - держитесь подальше. Настоящая компания никогда бы не сделала этого по электронной почте.

Будущее защиты данных и то, как ваш бизнес может использовать эту информацию

Опять же, как и в случае с GDPR, возможность контроля конфиденциальности возвращается к владельцу данных. Благодаря этому новому закону пользователи смогут давать согласие на использование файлов cookie или отзывать их прямо в своих интернет-браузерах.

При этом считается, что для каждого веб-сайта не обязательно должна быть политика в отношении файлов cookie, это больше похоже на реестр программного обеспечения, который позаботится об этом. Это также означает, что веб-сайтам не придется использовать утомительные всплывающие окна для запроса согласия, если веб-сайты используют только анонимный сбор данных.

Эти новые законы о конфиденциальности будут применяться ко всем службам обмена сообщениями, включая приложение Facebook Messenger, Viber, WhatsApp и Gmail.

Многие из этих мер напрямую повлияют на будущее цифрового маркетинга, но пока рано говорить или даже прогнозировать, как это будет выглядеть. Нам просто нужно подождать и посмотреть, а пока следить за нашими данными.

Вашему бизнесу нужна помощь, чтобы оставаться в курсе всех этих новых правил обработки данных? Ознакомьтесь со списком DesignRush лучших компаний по кибербезопасности и управлению рисками, которые могут помочь упростить процесс, когда нарушаются правила GDPR.

Хотите больше информации о бизнесе? Подпишитесь на наши новости!