Ostatnia próba: sprawdź, czy Twój e-commerce jest gotowy na RODO

Opublikowany: 2018-05-24

Już tylko kilka godzin do wejścia w życie zasad Ogólnego Rozporządzenia o Ochronie Danych. Oznacza to, że nadal masz mało czasu, aby sprawdzić, czy Twoja firma e-commerce spełnia wymagania RODO.

W tym poście postaramy się przedstawić w skrócie najpotrzebniejsze informacje o nadchodzących przepisach dotyczących kontroli i przetwarzania danych osobowych Twoich użytkowników. Oprócz tego zawiera przydatne linki, w których można szczegółowo zbadać, jak działa RODO. Na dole tego posta znajdziesz również krótką listę kontrolną RODO, która może pomóc Ci uniknąć ogromnych kar po 25 maja 2018 r.

RODO: korzenie i owoce

W 2010 r. Komisja Europejska określiła strategię wzmocnienia unijnych przepisów o ochronie danych i dokonała przeglądu unijnej dyrektywy o ochronie danych z 1995 r. oraz brytyjskiej ustawy o ochronie danych z 1998 r., które są obecnie nieaktualne.

Przeprowadzili ankietę wśród obywateli UE, z której wynika, że ​​61% użytkowników obawia się o prywatność swoich danych osobowych w witrynach handlu elektronicznego, a ponad połowa ich obaw (55%) dotyczyła oszustw podczas zakupów online.
Według ankiety 75% respondentów chciałoby mieć możliwość wnioskowania o swoje dane osobowe i ich usuwania online, kiedy tylko zechce. A ponad 90% ludzi chciało mieć takie same prawa do ochrony danych w całej Europie.

Zasubskrybuj, aby być na bieżąco i otrzymywać szybkie, przydatne wskazówki marketingowe bezpośrednio do swojej skrzynki odbiorczej.

W ciągu 6 lat Komisja Europejska wypracowywała zasady ochrony danych użytkowników oraz skuteczne sposoby ich implementacji w światowym Internecie. I wreszcie w 2016 roku RODO uchwalone przez parlament UE. Rozważmy te zasady ogólnie.

Zasady RODO

  • Legalność, sprawiedliwość i przejrzystość
    Wszystkie zgody, które oferujesz swoim odwiedzającym, powinny być napisane prostym i jasnym językiem. Jak również politykę prywatności i warunki świadczenia usług. Wszelkiego rodzaju wiadomości e-mail, które wysyłasz swoim klientom lub potencjalnym klientom, powinny zawierać przycisk „zrezygnuj z subskrypcji” i zawierać wyjaśnienie, dlaczego otrzymali Twój e-mail. Unia Europejska wymaga, aby Twoi klienci mieli prawo do poznania celów, metod i ilości przetwarzanych przez nich danych.
  • Adekwatność, trafność i ograniczenie
    RODO ma na celu zminimalizowanie nieistotnych danych osobowych i pseudonimizowanych danych użytkowników, które posiadasz. Powinieneś zbierać tylko te dane, które planujesz wykorzystać w e-mail marketingu, cold mailingu i pozbyć się niepotrzebnych lub pasywnych kontaktów.
  • Precyzja
    Posiadane przez Państwa dane osobowe powinny być dokładne i aktualne. Aby to zapewnić, Twoi klienci muszą mieć możliwość zmiany swoich danych osobowych w dowolnym momencie. Mogą również zażądać informacji o swoich danych osobowych przetwarzanych przez Twoją firmę oraz skorzystać z prawa do bycia zapomnianym.
  • Ograniczenie przechowywania
    Nie powinieneś przechowywać danych osobowych dłużej, niż jest to potrzebne do celów przetwarzania. Zresztą administratorzy nie ustalili do tej pory limitów czasowych przechowywania danych. Tak więc tę zasadę należy rozpatrywać w świetle „prawa do bycia zapomnianym”.
  • Uczciwość i poufność
    Nigdy nie należy udostępniać ani sprzedawać danych osobowych innych osób lub firm swoich klientów bez zgody właściciela danych. Wszystkie firmy są odpowiedzialne za swoje bazy danych i powinny odpowiednio dbać o swoje bezpieczeństwo.

Lista danych osobowych RODO

W prawie termin „dane osobowe” definiuje się jako „wszelkie informacje dotyczące żyjącej, zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Zasady te mają zastosowanie do wszystkich organów publicznych, które przechowują i śledzą dane każdego obywatela UE.

Dlatego RODO dotyczy Cię, jeśli:

  • Twoi klienci i potencjał jesteście obywatelami Unii Europejskiej
  • Twoi subskrybenci poczty e-mail pochodzą z UE
  • Twoja baza danych do cold mail marketingu zawiera dane osobowe mieszkańców UE.

Nie ma znaczenia, czy Twoja witryna e-commerce została zbudowana przy użyciu WordPress, Magento, WooCommerce lub Joomla, czy też stworzyłeś witrynę we własnym CMS. RODO dotyczy tylko Twoich użytkowników i bezpieczeństwa ich danych osobowych .

Co to są „Dane osobowe” w ramach RODO:

  • Imię;
  • numer identyfikacyjny;
  • Dane lokalizacji;
  • identyfikatory plików cookie;
  • identyfikatory internetowe;
  • Dane biometryczne;
  • Dochód;
  • Jeden lub więcej czynników specyficznych dla „tożsamości fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej” podmiotu, które mogą pomóc zidentyfikować jego osobę.

Opłaty RODO

Zasady RODO wywołały spore zamieszanie ze względu na wysokie grzywny za nieprzestrzeganie przepisów. Największa grzywna może wynosić do 20 000 000 EUR lub do 4% całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych wartości jest wyższa. Dlatego większość dużych firm zdecydowała się wydać ponad milion dolarów na zgodność z RODO.
Należy jednak pamiętać, że każda sytuacja jest inna, dlatego wysokość grzywny zostanie oszacowana indywidualnie.
Zasadniczo istnieją dwa główne powody, dla których Twoja firma detaliczna może zostać ukarana grzywną: masowy wyciek danych osobowych i naruszenie wrażliwych danych osobowych.

Specjaliści ds. ochrony danych

Jest to obowiązkowy krok, od którego powinieneś zacząć (jeśli jeszcze tego nie zrobiłeś). Twoja firma e-commerce powinna mieć prawnika/adwokata, który zna wszystkie szczegóły RODO i zadba o ochronę danych Twoich klientów. Jeśli przechowujesz i przetwarzasz wrażliwe dane o wysokim ryzyku ujawnienia lub spodziewasz się masowego naruszenia danych, musisz zatrudnić inspektora ochrony danych.
Do ich obowiązków należy odpowiadanie na skargi klientów i monitorowanie zgodności z RODO Twojej witryny e-commerce, zwłaszcza jeśli Twoja firma testuje nowe rozwiązania, formularze, e-maile marketingowe, opracowuje nowy interfejs witryny lub aplikację.
Ponadto Twój inspektor ochrony danych (lub specjalista) jest zobowiązany do powiadomienia ICO o powiadomieniu o naruszeniu danych w ciągu 72 godzin, jeśli jest to awaria systemowa, atak hakerski lub jakikolwiek inny problem, który może prowadzić do poważnych konsekwencji dla bezpieczeństwa Twoich klientów.

Czy RODO jest dobre dla e-commerce?

Ogólne rozporządzenie o ochronie danych może i będzie mieć pozytywny wpływ na sektor handlu detalicznego online. Ponieważ może to zwiększyć zaufanie i lojalność klientów, a także zwiększyć zaufanie do procesu płatności. Dlatego zalecamy poinformowanie swoich klientów, że w najlepszy sposób zadbasz o nieujawnianie ich danych osobowych.

Lista kontrolna RODO dla e-commerce

W pierwotnym dokumencie RODO znajduje się ogromna liczba wymagań i szczegółów. Ale staraliśmy się uwzględnić w tej liście to, co najbardziej potrzebne. Spójrz na to, aby dowiedzieć się, czy nie przegapiłeś niczego do wdrożenia na swojej stronie internetowej, e-mailach, formularzach kontaktowych i każdym formularzu zgody.

Specjalista ds. Ochrony Danych

  • Jako podmiot przetwarzający dane zatrudniłeś specjalistę ds. ochrony danych lub inspektora ochrony danych, jeśli przetwarzasz dane wrażliwe.

Lista kontrolna zgodności zgody

  • Twoje zgody są napisane prosto i wyraźnie, aby Twoi klienci mogli łatwo zrozumieć, co i w jakim celu będą przetwarzane ich dane osobowe, a także jasne zrozumienie tego, na co wyrazili zgodę.
  • Twoje formularze zgody są wyraźne. Nie zawierają one domyślnie zaznaczonych pól ani żadnej innej zgody.
  • Twój „przycisk odpowiedzi” z pozytywną zgodą nie jest wyróżniony innym kolorem.
  • Twój formularz zgody jest widoczny i oddzielony od sekcji Regulamin.
  • Na dole formularza podałeś nazwę swojej organizacji i osób trzecich.
  • Wskazałeś, że Twoi klienci mogą odmówić tej zgody.
  • Wyjaśniłeś, w jaki sposób Twoi klienci mogą wycofać swoją zgodę.
  • Jeśli spodziewasz się lub wiesz, że wśród Twoich klientów online mogą być dzieci, Twój formularz zgody zawiera weryfikację wieku i prośbę o zgodę rodziców.

Kilka opcji tworzenia formularza zgody zgodnego z RODO znajdziesz tutaj.
Aby uzyskać bardziej szczegółowe informacje na temat wymagań dotyczących treści, zapoznaj się z wytycznymi dotyczącymi zgody ICO GDPR w Wielkiej Brytanii.

Polityka prywatności Lista kontrolna zgodności z RODO

  • Zapoznałeś się już z Warunkami korzystania z usługi i Polityką prywatności. I masz pewność, że są one napisane jasnym językiem dla Twoich klientów. Polityka prywatności zawiera wyjaśnienie, w jaki sposób przetwarzasz dane użytkownika oraz listę usług stron trzecich, z których korzystasz w celu przetwarzania danych użytkownika.
  • Wskazałeś na swojej stronie internetowej, w jaki sposób Twoi klienci mogą zażądać swoich informacji, które przechowujesz, zmienić lub wycofać swoje dane z Twojej witryny.
  • Dodałeś instrukcję, w jaki sposób Twoi klienci mogą zgłosić Cię jako naruszenie jakichkolwiek zasad RODO, które ich dotyczą.
  • Wskazałeś, że nie karzesz swoich klientów za wycofanie ich zgody.
  • Umieściłeś adres e-mail swojego IOD w swojej Polityce prywatności.
  • Umieściłeś link do swojej polityki prywatności w widocznym miejscu w stopce swojej witryny.

Zarządzanie Zgodą

  • Prowadzisz rejestr, kiedy, gdzie i w jaki sposób uzyskałeś zgodę każdego z Twoich klientów.
  • Prowadzisz rejestr, jakie dokładne informacje przekazują Ci Twoi klienci.
  • Zaplanowałeś już, kiedy zamierzasz regularnie sprawdzać, czy związek, przetwarzanie i cel nie uległy zmianie.
  • Zaplanowałeś już, w jakim okresie odświeżysz dane użytkownika.

Upewnij się, że nie wysyłasz do Google Analytics danych osobowych klientów, w tym adresów e-mail, nazwisk, identyfikatorów użytkowników, danych o lokalizacji, identyfikatorów transakcji i adresów IP, na poziomie kodu. Przeczytaj ten artykuł Google , aby dowiedzieć się więcej.

Użytkownicy przyzwyczaili się niestety do klikania pozytywnie w większość zgód. Dlatego zalecamy utworzenie dodatkowego wyskakującego okienka ponownej zgody, aby upewnić się, że Twoi klienci rozumieją, jakie dane pozostawiają.

Ocena ryzyka

  • Twój zespół specjalistów ds. ochrony danych musi przygotować ocenę ryzyka – dokument, w którym powinni wskazać, jakie konkretnie dane firma gromadzi, w jaki sposób i w jakim celu je przetwarza.
  • Przeanalizowałeś swoje ryzyko, znalazłeś potencjalne słabe punkty i przewidziałeś swoje działania, jeśli coś pójdzie nie tak.

Ten dokument nie musi być przesyłany do Twojej witryny, ale może to być silna uzasadniona podstawa dla Twoich działań po otrzymaniu skargi.

Pozwól nam sporządzić podsumowanie RODO

Dziś RODO jest wciąż na bardzo wczesnym etapie i będzie ewoluować z czasem. Niemniej jednak jest to obecnie powszechna uprzejmość wobec klientów w kontekście globalnego trendu przejrzystości biznesowej.

  • Pozwól swoim klientom zdecydować, jakie dane osobowe mogą pozostawić.
  • Pomóż im wiedzieć, z jakiego powodu i z jakiego powodu ich dane mogą być przetwarzane.
  • Poinformuj ich, jak mogą poprosić o ich dane osobowe, wycofać zgody lub zrezygnować z subskrypcji.
  • Proszę, używaj prostego języka, kiedy przemawiasz do swoich odbiorców – nie musisz prosić copywriterów o używanie tysięcy bezużytecznych terminów prawniczych, których nikt nie rozumie.
  • Przeprojektuj formularze zgody.
  • Starannie docieraj do odbiorców e-mail marketingu.
  • Sporządź obowiązki swojego inspektora ochrony danych. Aktywuj ich oddzielny adres e-mail.
  • Prowadź rejestr wszelkich otrzymanych i przetwarzanych informacji o użytkowniku.
  • Zaktualizuj pliki Warunków korzystania z usługi i Polityki prywatności.

Wiemy, że wymaga to czasu i zasobów, które mamy nadzieję, że już masz. Ale Twoja ciężka praca i wysiłek, aby osiągnąć zgodność, zdobędzie zaufanie klientów.