Как сделать ваш сайт совместимым с GDPR

Многие из наших пользователей спрашивают нас о GDPR: что это значит? Кому и к чему это относится? Как это влияет на меня как на бизнес? Мы знаем, что, хотя в сети циркулирует много информации, часть этой информации может быть неполной, неверной или вводящей в заблуждение.

Поэтому мы обратились в одну из ведущих британских юридических фирм Fladgate, специализирующуюся на интеллектуальной собственности. Они были достаточно любезны, чтобы предложить полные и профессиональные ответы на тему, включенную в этот пост.

Ниже вы найдете удобочитаемые и простые для понимания инструкции по GDPR, поскольку они относятся к темам, актуальным для создателей сайтов Elementor. Он составлен в юридической форме, поэтому он немного отличается от нашего обычного жаргона в блогах, но мы считаем, что это лучший (и единственный) способ четко понять правила GDPR. Мы хотели бы поблагодарить Эдди Пауэлла из Fladgate за составление и разъяснение этих сложных и всеобъемлющих руководящих принципов для нашего сообщества.

В этом посте даны ответы на следующие вопросы:

Что такое GDPR и почему он важен?

Каковы основные правила GDPR?

Какие личные данные я могу использовать и как их можно использовать?

Могу ли я передать личные данные третьему лицу?

Какие права у людей есть против бизнеса?

Как мне, как владельцу бизнеса, защищать личные данные на моем веб-сайте?

GDPR расшифровывается как General Data Protection Regulation. Это новый свод правил, сформулированный в ЕС, регулирующий порядок хранения и использования персональными данными частных лиц предприятиями.

Большинство людей слышали о штрафах, которые могут быть наложены на предприятия, нарушающие правила. Они могут достигать 20 миллионов евро или 4% для особо крупных групп компаний от глобального оборота группы, что может быть огромной суммой денег.

Однако что еще более важно, публичность, связанная с несоблюдением правил защиты данных, может значительно повредить репутации компании и привести к тому, что клиенты и поставщики не будут ей доверять. Кроме того, новый бизнес будет затронут, если клиенты не будут доверять бизнесу информацию, и что он будет поддерживать высокий стандарт конфиденциальности. Клиенты хотят контролировать свою личную информацию.

Правила распространяются на «личные данные». Персональные данные включают в себя очевидные вещи, такие как имена людей, адреса, контактные данные и т. Д. Они также будут включать список адресов электронной почты, по которым вы можете идентифицировать человека по их адресу (например, [электронная почта защищена] - вы можете сказать, что Боб Смит работает в Universal Виджеты) и IP-адреса. Информация перестанет быть личными данными, если вы сделаете ее анонимной, так что вы никогда не сможете определить, кем является человек из набора информации.

GDPR говорит, что вы не можете просто собирать, хранить, использовать и передавать эти личные данные (все это называется «обработкой») просто потому, что они хранятся в системе вашего бизнеса. Вы должны думать о том, что вы хотите делать, и применять правила.

У вас должно быть одно из 6 оснований, указанных в GDPR. Ключевыми для наших целей являются:

• выполнение контракта с физическим лицом или использование информации для заключения контракта;
• соблюдение юридического обязательства (не договора с другой компанией), которому подчиняется бизнес, например, соблюдение правил борьбы с отмыванием денег или предотвращение преступлений;
• когда человек дал свое согласие (которое должно быть конкретным, информированным и недвусмысленным) на то, что вы хотите сделать с его информацией; а также
• когда обработка, которую вы хотите выполнить, необходима для законных интересов бизнеса, но сбалансирована с правами и интересами соответствующего лица, которое будет заинтересовано в их конфиденциальности.

Существуют особые правила, когда вы имеете дело с детьми, когда вы должны подтвердить их согласие с их родителями. Существуют также особые правила работы с информацией об уголовных судимостях людей и о том, что закон называет «особыми категориями», которые включают информацию о:

• Здоровье
• Этническая принадлежность
• Сексуальная ориентация
• Политические взгляды
• Религия
• Членство в профсоюзе
• Генетические и биометрические данные.

Также стоит помнить, что существуют особые правила (не являющиеся частью GDPR) для маркетинга по электронной почте и SMS - не думайте, что, поскольку у вас есть чей-то адрес электронной почты или контактные данные, вы можете отправлять им маркетинговые сообщения по этим каналам. Вы должны дать им возможность отказаться от этих сообщений при сборе информации и всегда включать возможность отказаться от подписки на будущие маркетинговые сообщения.

Если вы хотите использовать личные данные для чего-то, например, для внедрения нового программного обеспечения, нового проекта базы данных или для предоставления более персонализированных услуг клиентам, действительно важно не просто предполагать, что можно использовать существующие личные данные, которые могут быть в системах бизнеса и использовать его. Вам нужно подумать об основах, которые обсуждались выше, и, в частности, подумать о том, могут ли быть включены какие-либо данные специальной категории, потому что правила в отношении них намного строже.

Если вы собираете дополнительную информацию для заявленной цели, убедитесь, что вы собираете только то, что вам действительно нужно. Не просите людей предоставить больше, чем требуется для достижения цели, о которой им было сказано.

Человеку необходимо очень четко рассказать о том, что происходит с его личной информацией. Это включает:

• реквизиты вашей компании и контактные данные;
• какова цель обработки данных;
• кому вы собираетесь отправлять данные;
• собираетесь ли вы экспортировать данные в другую страну;
• как долго вы будете хранить данные; а также
• информация о правах на отзыв согласия и других правах, вытекающих из GDPR.

Эта информация должна быть предоставлена ​​в соответствии с GDPR при сборе информации или (если информация получена косвенно) в течение месяца с момента получения. В вашем бизнесе должны быть стандартные формы, которые позволят вам предоставлять эту информацию - их всегда следует использовать при сборе новых личных данных.

После того, как вы выполнили вышеперечисленное, выполните запланированный проект, но придерживайтесь его и убедитесь, что вы удалили все личные данные, которые не нужны или не могут быть законно сохранены. Помните, что если вы измените свои планы или решите сделать что-то еще с личными данными, вам нужно снова вернуться к шагам и повторить упражнение.

Будьте особенно осторожны при использовании личных данных, которые были собраны для использования вашим бизнесом, и теперь вы хотите передать их третьему лицу.

Вам нужно подумать об основных шагах по обеспечению соответствия, описанных выше, и убедиться, что вы удовлетворили юридические основания для обработки, и человеку была предоставлена ​​вся необходимая информация об этом.

Если получатель выполняет для вас работу (например, поставщик услуг по начислению заработной платы) по вашему указанию, то он будет вашим «обработчиком», и вы должны иметь с ним письменный договор, который включает определенные гарантии безопасности и соблюдения требований.

Очень маловероятно, что вы сможете получать или передавать «особые категории» данных, и если это станет необходимым, вам следует обязательно проконсультироваться с отделом соблюдения нормативных требований вашего бизнеса.

Существуют также особые правила, если вы хотите переместить информацию в страну, которая находится за пределами ЕС, где законы о защите личных данных могут быть не такими строгими. Возможно, вам придется использовать стандартные формы контрактов с бизнесом или организацией, которые собираются получать личные данные, или принять другие меры, которые обеспечат соблюдение прав человека.

GDPR дает физическим лицам ряд прав против компаний, хранящих их персональные данные. Это включает

• Исправление - любые ошибки или неточности должны быть исправлены;
• Доступ - необходимо предоставить копию данных и подробную информацию о том, для чего они используются;
• Прекращение обработки - прекратить любое использование чьих-либо личных данных
• Стирание (право на забвение) - удаление всех записей о личности
• Переносимость - передача персональных данных, хранящихся в машиночитаемом формате, физическому лицу или другому поставщику.

GDPR не определяет уровни безопасности; в нем просто говорится, что предприятия должны иметь адекватный уровень технологической и организационной безопасности, поэтому в вашей компании будут действовать процедуры безопасности, призванные помочь вам выполнить это требование. Всегда им подчиняйся.

Помните, что нарушением безопасности личных данных могут быть не только крупномасштабные кибератаки. Часто самые большие проблемы возникают из-за мелочей, таких как потеря личных данных, хранящихся на мобильных устройствах, или незашифрованные ноутбуки, оставленные в общественных местах. Одна из основных причин потери личных данных - это рассылка сообщений электронной почты из-за того, что автозаполнение вводит неправильный адрес электронной почты.

GDPR налагает на предприятия обязанность уведомлять власти о любых нарушениях безопасности, и ваша компания будет обязана вести учет любых нарушений, независимо от того, насколько они незначительны, чтобы руководство могло принять решение о том, о чем следует уведомлять. . Убедитесь, что о любой потере, связанной с личными данными, даже если она быстро исправляется или вряд ли может причинить какой-либо ущерб, сообщается в соответствии с политикой вашей компании.

Эдди Пауэлл - партнер в отделе коммерческого спорта и интеллектуальной собственности солиситоров Fladgate LLP в Лондоне. Для получения дополнительной информации см. Https://www.fladgate.com/lawyer/eddie-powell/.

Какие шаги вы предприняли, чтобы ваш сайт соответствовал требованиям GDPR? Дайте нам знать в комментариях ниже.