Соответствие требованиям малого бизнеса: подробное руководство

Опубликовано: 2022-04-28

Одна из самых распространенных лжи в наше время? «Я прочитал и согласен с условиями». Кроме того, если бы у кого-то действительно было столько файлов cookie, сколько мы договорились, в среднем за час просмотра веб-страниц, возникла бы совершенно новая проблема со здоровьем.

Все это может показаться бесполезным с точки зрения пользователя. Никто не читает все эти положения и условия или соглашения о файлах cookie, потому что «никто не заботится» — до тех пор, пока не произойдет утечка данных.

Тогда бизнес атакуют со всех сторон. Плохая пресса, клиенты отворачиваются, а правительства готовы наказать их штрафами.

Это кажется суровым, но с той ценностью, которая заключается в данных, все это имеет смысл. Данные — это новое золото и нефть, и их необходимо защищать.

Особенно для малого бизнеса это может показаться хлопотным. В быстро меняющемся мире малого бизнеса достаточно сложно ориентироваться, не беспокоясь о соблюдении нормативных требований, данных и конфиденциальности.

Соблюдение требований малого бизнеса

Как владелец малого бизнеса, вы должны следить за тем, чтобы ваш бизнес оставался в рабочем состоянии. Кроме того, необходимо соблюдать постоянно расширяющийся список правил, таких как Общий регламент ЕС по защите данных (GDPR) и Калифорнийский закон о согласии клиентов (CCPA). Вздох.

Эти законы также недавно ввели новые сложности и требования для владельцев малого бизнеса, работающих в пределах их юрисдикции, как будто они еще недостаточно сложны.

В дополнение к этим новым законам владельцы малого бизнеса также обязаны соблюдать федеральные законы и постановления, такие как Закон о достоверной кредитной отчетности (FCRA) и Закон о честных и точных кредитных сделках (FACTA), которые действуют уже много лет. .

Все эти законы и постановления могут показаться непосильными, особенно для владельцев малого бизнеса с ограниченным бюджетом.

В этой статье мы подробно рассмотрим GDPR и CCPA. Во-первых, мы поможем вам понять, что они собой представляют, а затем дадим несколько практических советов о том, как справиться с соблюдением требований. Хотите узнать больше? Читайте дальше о том, как защитить данные вашего малого бизнеса!

Почему существуют GDPR и CCPA?

Эти правила предназначены для защиты потребителей, обеспечивая при этом их справедливое представительство в процессе сбора и использования данных.

Тем не менее, владельцы малого бизнеса часто перегружены огромным количеством законов, которые они обязаны соблюдать. Давайте посмотрим, что на самом деле влекут за собой основные действующие лица, GDPR и CCPA.

Конфиденциальность в Интернете

Что такое CCPA?

Калифорнийский закон о конфиденциальности потребителей (CCPA), в просторечии известный как «Закон о конфиденциальности данных», представляет собой новый закон, который требует от компаний прозрачности в отношении того, как они используют личные данные своих клиентов.

Название «Закон о конфиденциальности данных» немного неправильное; хотя закон требует от компаний раскрывать свои методы сбора данных, он также содержит несколько других положений, касающихся малого бизнеса.

Эти положения требуют от компаний получения согласия потребителей перед использованием или продажей их персональных данных, а также запрещают компаниям собирать определенные типы персональных данных без согласия клиента.

Целью CCPA является защита прав потребителей на конфиденциальность данных, а также требование к определенным предприятиям обеспечивать прозрачность и контроль над своими данными для своих клиентов.

CCPA является наиболее всеобъемлющим законом о конфиденциальности данных в Соединенных Штатах и ​​может коренным образом изменить способ взаимодействия компаний со своими клиентами.

CCPA применяется к предприятиям, в которых есть хотя бы один резидент Калифорнии и которые собирают, используют и раскрывают информацию о клиентах для любых целей.

Если вам нужна более конкретная информация, Осано поделился полезной информацией о соблюдении требований CCPA. Ясным и кратким языком вы узнаете все о практических аспектах CCPA. А пока вот несколько советов, которые помогут вам начать соблюдать требования.

Что такое GDPR?

Общее положение о защите данных (GDPR), иногда называемое Общим законом о защите данных (GDPR), является самым последним основным правовым инструментом ЕС, регулирующим использование и сбор персональных данных для защиты конфиденциальности жителей ЕС.

Он требует от компаний, работающих в ЕС, соблюдения определенных стандартов в отношении защиты персональных данных. Это достигается за счет кодификации основных принципов добросовестной информационной практики, включая право субъектов данных на доступ к их персональным данным, хранящимся у контролеров данных.

Когда большинство людей думают о GDPR, они думают о нем с точки зрения того, как он повлияет на бизнес. На самом деле GDPR защищает и потребителей.

GDPR

Влияет ли GDPR только на предприятия ЕС?

Нет, GDPR — это регламент, который защищает права на данные в ЕС, но он также имеет серьезные последствия для компаний, работающих за границей. Это относится к любому бизнесу, который обрабатывает данные граждан ЕС, независимо от того, где находится бизнес.

Как GDPR влияет на малый бизнес?

Да, GDPR — это сложный свод законов, но не паникуйте: если вы поймете, о чем идет речь, и получите советы, которые следуют, вы тоже сможете соответствовать требованиям и оставаться в силе.

Это может быть сложной задачей для некоторых предприятий, особенно если их основное внимание не сосредоточено на управлении данными. Независимо от их размера или основной деятельности, все предприятия должны соблюдать GDPR, чтобы избежать крупных штрафов.

Что вам действительно нужно знать о GDPR (доступным языком)

Полный текст GDPR содержит 99 отдельных статей. Мы понимаем, что вы не будете читать все это слово в слово. Даже если вы это сделаете, вы можете не помнить или даже не понимать всего.

К счастью, есть более простое резюме. GDPR вращается вокруг семи основных принципов: законность, справедливость и прозрачность; ограничение цели; минимизация данных; точность; ограничение хранения; целостность и конфиденциальность (безопасность); и подотчетность.

Вот что они влекут за собой.

Законность, справедливость и прозрачность

Вы можете обрабатывать персональные данные только в том случае, если у вас есть для этого веская причина, которая резюмирует законность. Некоторые из причин могут быть:

  • Пользователь дал вам согласие на это.
  • Вы должны сделать это, чтобы выполнить контракт.
  • Необходимо выполнить юридическое обязательство.
  • Для защиты жизненно важных интересов физического лица.
  • Это общественная задача, выполняемая в общественных интересах.

Вы также должны быть честными в отношении того, почему вы это делаете, и прозрачными.

Ограничение цели

Причина, по которой вы собираете и храните данные, распространяется на принцип ограничения цели, означающий, что данные «собираются только для определенных, явных и законных целей».

Цель должна быть ясна не только вам, но и потребителям, поэтому вам нужно сообщать о том, что происходит, в уведомлении о конфиденциальности. Наконец, вы также не можете отклоняться от этой цели.

Минимизация данных

Вам не нужно спрашивать у подписчиков ваших рассылок, какой у них номер телефона. Собирайте только те данные, которые вам нужны.

Точность

Данные, которые вы собираете и храните, должны быть точными, и это ваша ответственность. Вам необходимо проверить его и избавиться от неверных или неполных данных. Это выгодно всем!

Ограничение хранения

Вы не можете хранить данные вечно. Вы должны ограничить время хранения данных и обосновать, почему вы выбрали именно этот период времени.

Честность и конфиденциальность

Вы должны защитить данные, которые вы собираете, от внутренних и внешних угроз.

Подотчетность

И последнее, но не менее важное: вы должны взять на себя ответственность и быть в состоянии доказать, как вы работаете над соблюдением нормативных требований. Эти доказательства могут быть запрошены властями в любое время, поэтому убедитесь, что вы правильно документируете свои действия.

Советы по обеспечению соответствия требованиям и сохранению их — даже в малом бизнесе

Итак, теперь вы понимаете, из-за чего весь сыр-бор, пора успокоиться. Вот несколько шагов и советов, которые вы не должны пропустить.

  1. Составьте и поддерживайте список всех ваших действий по обработке данных и документируйте их: начните с долгих и серьезных размышлений о том, какие данные на самом деле находятся в вашем распоряжении и что вы будете собирать в будущем.
  2. Поймите свои обязательства как организации: какие правила применимы к вам? Существует бесчисленное множество законов, и может быть трудно выяснить, под какой из них подпадает ваш бизнес. Не стесняйтесь обращаться к эксперту, чтобы убедиться, что вы не соблюдаете неправильные законы.
  3. Убедитесь, что ваши сотрудники знают о своих обязанностях: защита данных и соответствие требованиям — это командная работа. Каждый человек несет ответственность. Вы также можете рассмотреть вопрос о том, нужно ли вам назначить сотрудника по защите данных (DPO).
  4. Убедитесь, что у вас есть соглашение со сторонними поставщиками о том, как они используют данные клиентов, или используйте программное обеспечение, которое поможет вам отслеживать это.
  5. Используйте инструмент для выполнения тяжелой работы: программное обеспечение платформы конфиденциальности может помочь вам отслеживать все ваши данные и любые обновления в соглашениях с поставщиками. Выполнение этого вручную стало почти невозможным без объема обрабатываемых данных.

Насколько вы уверены в своем согласии?

Когда дело доходит до соблюдения всех этих правил, лучший совет: лучше быть в безопасности, чем сожалеть.

Узнайте, что нужно сделать, и если вам кажется, что вам нужно сделать слишком много для ведения вашего бизнеса, подумайте о том, чтобы передать это на аутсорсинг эксперту, что всегда будет дешевле, чем платить штраф!