Ultima încercare: verificați dacă comerțul dvs. electronic este gata pentru GDPR

Publicat: 2018-05-24

Mai sunt doar câteva ore până vor intra în vigoare principiile Regulamentului General pentru Protecția Datelor. Aceasta înseamnă că mai aveți la dispoziție o perioadă scurtă de timp pentru a verifica conformitatea GDPR a afacerii dvs. de comerț electronic cu toate cerințele UE.

În această postare, vom încerca să oferim pe scurt cele mai necesare informații despre legislația care se profilează cu privire la controlul și prelucrarea datelor cu caracter personal ale utilizatorilor dumneavoastră. De asemenea, pentru a include link-uri utile unde puteți examina în detaliu modul în care funcționează GDPR. Veți găsi, de asemenea, o scurtă listă de verificare GDPR în partea de jos a acestei postări, care vă poate ajuta să evitați amenzi uriașe după 25 mai 2018.

GDPR: Rădăcini și fructe

În 2010, Comisia Europeană a stabilit o strategie de consolidare a normelor UE de protecție a datelor și de revizuire a Directivei UE din 1995 privind protecția datelor și a Actului privind protecția datelor din Regatul Unit din 1998, care sunt ambele învechite.

Ei au efectuat un sondaj în rândul cetățenilor UE care a reieșit că, 61% dintre utilizatori sunt îngrijorați de confidențialitatea informațiilor personale pe care le dețin site-urile de comerț electronic și mai mult de jumătate dintre preocupările lor (55%) erau legate de fraudă atunci când cumpără online.
Potrivit sondajului, 75% dintre respondenți ar dori să poată solicita și șterge informațiile personale online oricând doresc. Și peste 90% dintre oameni și-au dorit să aibă aceleași drepturi de protecție a datelor în toată Europa.

Abonați-vă pentru a rămâne la curent și pentru a primi sfaturi rapide de marketing direct în căsuța dvs. de e-mail.

De-a lungul a 6 ani, Comisia Europeană a elaborat principiile protecției datelor utilizatorilor și metode eficiente de implementare a acestora în internetul mondial. Și, în sfârșit, în 2016, GDPR a fost adoptat de parlamentul UE. Să luăm în considerare aceste principii în general.

Principiile GDPR

  • Legalitate, justiție și transparență
    Toate consimțământurile pe care le oferiți vizitatorilor dvs. trebuie scrise într-un limbaj simplu și clar. Precum și politica dvs. de confidențialitate și termenii serviciilor. Orice tip de e-mail pe care le trimiteți consumatorilor sau potențialilor dvs. ar trebui să includă un buton „dezabonare” și să conțină o explicație de ce au primit e-mailul dvs. Uniunea Europeană cere ca clienții dumneavoastră să aibă drepturi de a fi conștienți de scopurile, metodele și volumul datelor lor pe care le procesați.
  • Adecvarea, relevanța și limitarea
    GDPR urmărește să minimizeze datele personale irelevante și datele utilizatorilor pseudonimizați pe care le dețineți. Ar trebui să colectați numai datele pe care intenționați să le utilizați în marketingul prin e-mail, e-mailurile la rece și să scăpați de contactele inutile sau pasive.
  • Precizie
    Datele personale pe care le dețineți ar trebui să fie exacte și actualizate. Pentru a asigura acest lucru, clienții dvs. trebuie să aibă posibilitatea de a-și schimba informațiile personale oricând doresc. De asemenea, pot solicita informații despre datele lor personale pe care compania ta le prelucrează și își pot exercita dreptul de a fi uitat.
  • Limitarea stocării
    Nu ar trebui să păstrați datele cu caracter personal mai mult timp decât acestea sunt necesare pentru scopurile dvs. de prelucrare. Oricum, operatorii nu au stabilit până acum limite de timp pentru păstrarea datelor. Prin urmare, acest principiu ar trebui luat în considerare în lumina „dreptului de a fi uitat”.
  • Integritate și confidențialitate
    Nu trebuie să partajați sau să vindeți niciodată datele personale ale altor persoane sau companii ale clienților dvs. fără acordul proprietarului datelor. Toate companiile sunt responsabile pentru bazele lor de date și ar trebui să aibă grijă de securitatea lor.

Lista de date cu caracter personal GDPR

În lege, termenul „date cu caracter personal” este definit ca „orice informație referitoare la o persoană fizică în viață, identificată sau identificabilă”. Aceste principii se aplică tuturor autorităților publice care dețin și urmăresc datele oricărui cetățean al UE.

Prin urmare, GDPR vă preocupă dacă:

  • Voi clienții și potențialii sunteți cetățeni ai Uniunii Europene
  • Abonații dvs. de e-mail sunt din UE
  • Baza de date pentru marketing prin e-mail rece constă în date personale ale rezidenților UE.

Nu contează dacă site-ul dvs. de comerț electronic a fost construit folosind WordPress, Magento, WooCommerce sau Joomla, sau dacă ați dezvoltat site-ul în propriul dvs. CMS. GDPR se referă numai la utilizatorii dvs. și la securitatea datelor lor personale .

Ce înseamnă „date cu caracter personal” conform GDPR:

  • Un nume;
  • Un număr de identificare;
  • date despre locație;
  • Identificatori cookie;
  • identificatori online;
  • date biometrice;
  • Sursa de venit;
  • Unul sau mai mulți factori specifici „identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale” a subiectului care pot ajuta la identificarea persoanei acestuia.

Taxe GDPR

Principiile GDPR au generat multă zgomot din cauza amenzilor mari pentru nerespectare. Cea mai mare amendă poate fi de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare. Acesta este motivul pentru care majoritatea companiilor mari au decis să cheltuiască mai mult de milioane de dolari pentru conformitatea cu GDPR.
Dar ar trebui să vă amintiți că fiecare situație este unică, așa că mărimea unei amenzi va fi estimată pe o bază individuală.
În general, există două motive principale pentru care compania dvs. de vânzare cu amănuntul poate fi amendată: o scurgere în masă a datelor cu caracter personal și încălcarea datelor personale sensibile.

Specialisti in protectia datelor

Acesta este un pas obligatoriu cu care ar trebui să începeți (dacă nu ați făcut acest lucru deja). Compania dvs. de comerț electronic ar trebui să aibă un avocat/avocat care cunoaște toate detaliile GDPR și se va ocupa de protecția datelor clienților dvs. În cazul în care dețineți și procesați date sensibile cu un risc ridicat de divulgare sau vă așteptați la o încălcare în masă a datelor, trebuie să angajați un responsabil cu protecția datelor.
Printre responsabilitățile lor se numără răspunsul la plângerile clienților și monitorizarea conformității cu GDPR a site-ului dvs. de comerț electronic, mai ales dacă compania dvs. testează noi soluții, formulare, e-mailuri de marketing, dezvoltă o nouă interfață sau aplicație pentru site-ul web.
De asemenea, ofițerul dumneavoastră de protecție a datelor (sau specialistul) trebuie să notifice ICO cu privire la notificarea de încălcare a datelor în termen de 72 de ore dacă aceasta este o defecțiune sistemică, atac de tip hack sau orice altă problemă care poate duce la consecințe grave pentru securitatea clienților dumneavoastră.

Este GDPR un lucru bun pentru comerțul electronic?

Regulamentul general privind protecția datelor poate și va avea un efect pozitiv asupra sectorului comerțului cu amănuntul online. În măsura în care acest lucru poate spori încrederea și loialitatea clienților, precum și creșterea încrederii în procesul de plată. De aceea, vă recomandăm să vă informați clienții că vă veți îngriji în cel mai bun mod de nedezvăluirea datelor lor personale.

Lista de verificare a comerțului electronic GDPR

Există un număr mare de cerințe și detalii în documentul principal GDPR. Dar am încercat să includem cele mai necesare în această listă de verificare. Uitați-vă la aceasta pentru a afla dacă nu ați omis nimic de implementat pe site-ul dvs. web, e-mailuri, formulare de contact și fiecare formular de consimțământ.

Specialist în protecția datelor

  • În calitate de procesator de date, ați angajat un specialist în protecția datelor sau un responsabil cu protecția datelor dacă procesați date sensibile.

Lista de verificare a conformității consimțământului

  • Consimțământul dumneavoastră este scris simplu și clar, astfel încât clienții dumneavoastră să poată înțelege cu ușurință ce și pentru ce vor fi procesate informațiile lor personale, precum și o înțelegere clară a ceea ce au convenit.
  • Formularele dvs. de consimțământ sunt explicite. Acestea nu conțin casete pre-bifate sau orice alt consimțământ în mod implicit.
  • „Butonul de răspuns” cu un consimțământ pozitiv nu este evidențiat de altă culoare.
  • Formularul dvs. de consimțământ este vizibil și separat de secțiunea Termeni și condiții.
  • V-ați denumit organizația și părțile terțe în partea de jos a formularului.
  • Ați subliniat că clienții dumneavoastră pot refuza acest consimțământ.
  • Ați explicat cum clienții dvs. își pot retrage consimțământul.
  • Dacă vă așteptați sau știți că printre clienții dvs. online ar putea fi copii, formularul de consimțământ conține verificarea vârstei și cererea de consimțământ parental.

De asemenea, puteți găsi mai multe opțiuni pentru a crea un șablon de formular de consimțământ compatibil GDPR aici.
Pentru a obține informații mai detaliate despre cerințele privind conținutul, vă rugăm să consultați Ghidul privind consimțământul ICO GDPR din Regatul Unit.

Politica de confidențialitate GDPR-Lista de verificare a conformității

  • Ați revizuit deja Termenii și condițiile și Politica de confidențialitate. Și ești sigur că acestea sunt scrise într-un limbaj clar pentru clienții tăi. Politica de confidențialitate constă în explicarea modului în care procesați datele utilizatorului și în lista oricăror servicii ale terților pe care le utilizați pentru a procesa datele utilizatorului.
  • Ați subliniat pe site-ul dvs. web cum clienții dvs. pot solicita informațiile pe care le dețineți, modifica sau retrage datele lor de pe site-ul dvs.
  • Ați adăugat instrucțiunile despre cum clienții dvs. vă pot raporta ca fiind o încălcare a oricăror principii GDPR care îi afectează.
  • Ați subliniat că nu vă penalizați clienții pentru retragerea consimțământului.
  • Ați inclus o adresă de e-mail a DPO în Politica de confidențialitate.
  • Ați inclus linkul către politica dvs. de confidențialitate în locul vizibil din subsolul site-ului dvs. web.

Gestionarea consimțământului

  • Păstrați o evidență a când, unde și cum ați primit consimțământul fiecărui client.
  • Păstrați o evidență a informațiilor exacte pe care ți le oferă clienții tăi.
  • Ai programat deja când urmează să aplici o verificare periodică că relația, prelucrarea și scopul nu s-au schimbat.
  • Ați programat deja în ce perioadă de timp veți reîmprospăta datele de utilizator.

Asigurați-vă că nu trimiteți datele personale ale clienților dvs., inclusiv adrese de e-mail, nume, ID-uri utilizatori, date despre locație, ID-uri tranzacții, adrese IP, către Google Analytics la nivel de cod. Citiți acest articol Google pentru a afla mai multe.

Utilizatorii s-au obișnuit să facă clic pozitiv pe majoritatea consimțământurilor, din păcate. Acesta este motivul pentru care vă recomandăm să creați un pop-up suplimentar de re-consimțământ pentru a vă asigura că clienții dvs. înțeleg ce date lasă.

Evaluare a riscurilor

  • Echipa ta de specialiști în protecția datelor trebuie să pregătească o evaluare a riscurilor - un document în care ar trebui să indice ce date specifice colectează compania, cum și pentru ce le prelucrează.
  • V-ați analizat riscurile, ați găsit potențiale puncte slabe și v-ați prezis acțiunea dacă ceva ar merge prost.

Acest document nu trebuie să fie încărcat pe site-ul dvs. web, dar acesta ar putea fi o bază solidă și legitimă pentru acțiunile dvs. atunci când primiți o reclamație.

Să alcătuim un rezumat GDPR

Astăzi, GDPR este încă în stadiile incipiente și va evolua în timp. Cu toate acestea, aceasta este acum o curtoazie obișnuită față de clienții dvs. în ceea ce privește tendința globală de transparență în afaceri.

  • Lasă-ți clienții să decidă ce fel de informații personale pot lăsa.
  • Ajutați-i să știe ce și din ce motiv pot fi prelucrate datele lor.
  • Spuneți-le cum ar putea să-și solicite informațiile personale, să-și retragă consimțământul sau să se dezaboneze.
  • Vă rugăm să folosiți un limbaj simplu atunci când vorbiți cu publicul - nu este nevoie să le cereți copywriterilor să folosească mii de termeni juridici inutili pe care nimeni nu îi înțelege.
  • Reproiectează-ți formularele de consimțământ.
  • Vizează cu atenție publicul tău de marketing prin e-mail.
  • Stabiliți responsabilitățile pentru responsabilul cu protecția datelor. Activați adresa lor separată de e-mail.
  • Păstrați o evidență a oricăror informații despre utilizator pe care le-ați primit și procesați.
  • Actualizați-vă fișierele Termenii și condițiile și Politica de confidențialitate.

Știm că acest lucru necesită timp și resurse, pe care sperăm că le aveți deja în vigoare până acum. Dar munca grea și efortul dumneavoastră de a deveni conform vor câștiga încrederea clienților.