Последняя попытка: проверьте, готова ли ваша электронная торговля к GDPR

Опубликовано: 2018-05-24

До вступления в силу принципов Общего регламента по защите данных осталось всего несколько часов. Это означает, что у вас все еще есть немного времени, чтобы проверить соответствие GDPR вашего бизнеса электронной коммерции всем требованиям ЕС.

В этом посте мы постараемся в двух словах предоставить самую необходимую информацию о надвигающемся законодательстве о контроле и обработке персональных данных ваших пользователей. А также включить полезные ссылки, по которым вы можете подробно изучить, как работает GDPR. Вы также найдете краткий контрольный список GDPR в нижней части этого поста, который, возможно, поможет вам избежать огромных штрафов после 25 мая 2018 года.

GDPR: корни и плоды

В 2010 году Европейская комиссия разработала стратегию по ужесточению правил защиты данных ЕС и пересмотру Директивы ЕС о защите данных 1995 года и Закона Великобритании о защите данных 1998 года, которые сейчас устарели.

Они провели опрос среди граждан ЕС, который показал, что 61% пользователей беспокоятся о конфиденциальности своей личной информации на веб-сайтах электронной коммерции, и более половины их опасений (55%) связаны с мошенничеством при совершении покупок в Интернете.
Согласно опросу, 75% респондентов хотели бы иметь возможность запрашивать и удалять свою личную информацию онлайн в любое время. И более 90% людей хотели иметь одинаковые права на защиту данных по всей Европе.

Подпишитесь, чтобы оставаться в курсе событий и получать быстрые практические советы по маркетингу прямо на свой почтовый ящик.

В течение 6 лет Европейская комиссия разрабатывала принципы защиты пользовательских данных и эффективные методы их внедрения во всемирную сеть Интернет. И, наконец, в 2016 году GDPR был принят парламентом ЕС. Рассмотрим эти принципы в общем.

Принципы GDPR

  • Законность, справедливость и прозрачность
    Все согласия, которые вы предлагаете своим посетителям, должны быть написаны простым и ясным языком. А также вашу политику конфиденциальности и условия предоставления услуг. Любые электронные письма, которые вы отправляете своим потребителям или потенциальным клиентам, должны включать кнопку «отписаться» и содержать объяснение, почему они получили ваше электронное письмо. Европейский Союз требует, чтобы ваши клиенты имели право знать о целях, методах и объеме их данных, которые вы обрабатываете.
  • Адекватность, релевантность и ограниченность
    GDPR стремится свести к минимуму нерелевантные личные данные и обезличить данные пользователей, которыми вы владеете. Вам следует собирать только те данные, которые вы планируете использовать в емейл-маркетинге, холодных рассылках и избавляться от ненужных или пассивных контактов.
  • Точность
    Персональные данные, которые вы храните, должны быть точными и актуальными. Для этого ваши клиенты должны иметь возможность изменять свою личную информацию в любое время. Они также могут запросить информацию об их личных данных, которые обрабатывает ваша компания, и воспользоваться правом на забвение.
  • Ограничение хранения
    Вы не должны хранить личные данные дольше, чем это необходимо для ваших целей обработки. Во всяком случае, контролеры пока не установили сроки хранения данных. Так что этот принцип следует рассматривать в свете «права на забвение».
  • Честность и конфиденциальность
    Вы никогда не должны делиться или продавать личные данные ваших клиентов другим людям или компаниям без согласия владельца данных. Все компании несут ответственность за свои базы данных и должны должным образом заботиться об их безопасности.

Список персональных данных GDPR

В законе термин «персональные данные» определяется как «любая информация, относящаяся к живому, идентифицированному или идентифицируемому физическому лицу». Эти принципы применяются ко всем органам государственной власти, которые хранят и отслеживают данные любого гражданина ЕС.

Поэтому GDPR касается вас, если:

  • Ваши клиенты и потенциальные клиенты являются гражданами Европейского Союза
  • Ваши подписчики электронной почты из ЕС
  • Ваша база данных для холодного email-маркетинга состоит из личных данных жителей ЕС.

Неважно, был ли ваш веб-сайт электронной коммерции создан с использованием WordPress, Magento, WooCommerce или Joomla, или вы разработали сайт в своей собственной CMS. GDPR касается только ваших пользователей и безопасности их личных данных .

Что такое «персональные данные» согласно GDPR:

  • Имя;
  • идентификационный номер;
  • Данные о местоположении;
  • Идентификаторы файлов cookie;
  • Онлайн-идентификаторы;
  • биометрические данные;
  • Доход;
  • Один или несколько факторов, специфичных для «физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности» субъекта, которые могут помочь идентифицировать его личность.

Сборы GDPR

Принципы GDPR вызвали много шума из-за больших штрафов за их несоблюдение. Самый крупный штраф может составлять до 20 000 000 евро или до 4 % от общего годового оборота по всему миру за предыдущий финансовый год, в зависимости от того, что больше. Вот почему большинство крупных компаний решили потратить более миллиона долларов на соблюдение GDPR.
Но следует помнить, что каждая ситуация уникальна, поэтому размер штрафа будет рассчитываться в индивидуальном порядке.
Как правило, есть две основные причины, по которым ваша розничная компания может быть оштрафована: массовая утечка персональных данных и нарушение конфиденциальных персональных данных.

Специалисты по защите данных

Это обязательный шаг, с которого вы должны начать (если вы еще этого не сделали). В вашей компании, занимающейся электронной торговлей, должен быть юрист/адвокат, который знаком со всеми деталями GDPR и позаботится о защите данных ваших клиентов. Если вы храните и обрабатываете конфиденциальные данные с высоким риском раскрытия или ожидаете массового нарушения данных, вам необходимо нанять сотрудника по защите данных.
В их обязанности входит реагирование на жалобы клиентов и отслеживание соответствия вашего сайта электронной коммерции GDPR, особенно если ваша компания тестирует новые решения, формы, маркетинговые электронные письма, разрабатывает новый интерфейс веб-сайта или приложение.
Кроме того, ваш сотрудник по защите данных (или специалист) обязан уведомить ICO об уведомлении об утечке данных в течение 72 часов, если это системный сбой, хакерская атака или любая другая проблема, которая может привести к серьезным последствиям для безопасности ваших клиентов.

Подходит ли GDPR для электронной коммерции?

Общий регламент по защите данных может и окажет положительное влияние на сектор онлайн-торговли. Поскольку это может повысить доверие и лояльность клиентов, а также повысить доверие к процессу оплаты. Именно поэтому мы рекомендуем вам сообщить своим клиентам, что вы наилучшим образом позаботитесь о неразглашении их персональных данных.

Контрольный список GDPR для электронной торговли

В основном документе GDPR содержится огромное количество требований и деталей. Но мы постарались включить в этот чек-лист самое необходимое. Посмотрите на это, чтобы узнать, не пропустили ли вы что-нибудь, что нужно внедрить на свой веб-сайт, электронные письма, контактные формы и каждую форму согласия.

Специалист по защите данных

  • Как обработчик данных вы наняли специалиста по защите данных или сотрудника по защите данных, если вы обрабатываете конфиденциальные данные.

Контрольный список соблюдения согласия

  • Ваши согласия написаны просто и понятно, чтобы ваши клиенты могли легко понять, что и для чего будет обрабатываться их личная информация, а также четкое понимание того, на что они согласились.
  • Ваши формы согласия являются явными. По умолчанию они не содержат предварительно отмеченных полей или любого другого согласия.
  • Ваша «кнопка ответа» с положительным согласием не выделяется другим цветом.
  • Форма вашего согласия видна и отделена от раздела «Условия и положения».
  • Вы указали название своей организации и третьих лиц в нижней части формы.
  • Вы указали, что ваши клиенты могут отказаться от этого согласия.
  • Вы объяснили, как ваши клиенты могут отозвать свое согласие.
  • Если вы ожидаете или знаете, что среди ваших онлайн-клиентов могут быть дети, ваша форма согласия содержит проверку возраста и запрос родительского согласия.

Вы также можете найти несколько вариантов создания шаблона формы согласия, совместимого с GDPR, здесь.
Чтобы получить более подробную информацию о требованиях к содержимому, ознакомьтесь с Руководством по согласию GDPR в отношении ICO в Соединенном Королевстве.

Политика конфиденциальности Контрольный список соответствия GDPR

  • Вы уже ознакомились с Условиями использования и Политикой конфиденциальности. И вы уверены, что они написаны понятным языком для ваших клиентов. Политика конфиденциальности состоит из объяснения того, как вы обрабатываете пользовательские данные, и списка любых сторонних сервисов, которые вы используете для обработки пользовательских данных.
  • Вы указали на своем веб-сайте, как ваши клиенты могут запросить хранящуюся у вас информацию, изменить или отозвать свои данные с вашего веб-сайта.
  • Вы добавили инструкцию, как ваши клиенты могут сообщить вам о нарушении любых затрагивающих их принципов GDPR.
  • Вы указали, что не наказываете своих клиентов за отзыв их согласия.
  • Вы включили адрес электронной почты вашего DPO в свою Политику конфиденциальности.
  • Вы разместили ссылку на свою политику конфиденциальности на видном месте в нижнем колонтитуле своего веб-сайта.

Управление согласием

  • Вы ведете учет того, когда, где и как вы получили согласие каждого из ваших клиентов.
  • Вы ведете учет того, какую точную информацию предоставляют вам ваши клиенты.
  • Вы уже запланировали, когда будете применять регулярную проверку того, что отношения, обработка и цель не изменились.
  • Вы уже запланировали, в течение какого периода времени вы собираетесь обновлять свои пользовательские данные.

Убедитесь, что вы не отправляете личные данные своих клиентов, включая адреса электронной почты, имена, идентификаторы пользователей, данные о местоположении, идентификаторы транзакций, IP-адреса, в Google Analytics на уровне кода. Прочтите эту статью Google , чтобы узнать больше.

К сожалению, пользователи привыкли положительно нажимать на большинство согласий. Вот почему мы рекомендуем вам создать дополнительное всплывающее окно для повторного согласия, чтобы ваши клиенты понимали, какие данные они оставляют.

Оценка рисков

  • Ваша команда специалистов по защите данных должна подготовить оценку рисков — документ, в котором они должны указать, какие конкретно данные собирает компания, как и для чего она их обрабатывает.
  • Вы проанализировали свои риски, нашли потенциальные слабые места и предсказали свои действия, если что-то пойдет не так.

Этот документ не нужно загружать на ваш веб-сайт, но он может стать серьезным законным основанием для ваших действий при получении жалобы.

Давайте составим сводку GDPR

Сегодня GDPR все еще находится на ранней стадии и со временем будет развиваться. Тем не менее, теперь это обычная вежливость по отношению к вашим клиентам с точки зрения глобальной тенденции к прозрачности бизнеса.

  • Пусть ваши клиенты сами решают, какую личную информацию они могут оставить.
  • Помогите им узнать, что и по какой причине их данные могут быть обработаны.
  • Сообщите им, как они могут запросить свою личную информацию, отозвать свое согласие или отказаться от подписки.
  • Пожалуйста, говорите с аудиторией простым языком — не нужно просить ваших копирайтеров использовать тысячи бесполезных юридических терминов, которые никто не понимает.
  • Измените дизайн форм согласия.
  • Тщательно ориентируйтесь на свою аудиторию электронного маркетинга.
  • Составьте список обязанностей вашего сотрудника по защите данных. Активируйте их отдельный адрес электронной почты.
  • Ведите учет любой информации о пользователях, которую вы получили и обрабатывали.
  • Обновите файлы Условий использования и Политики конфиденциальности.

Мы знаем, что это требует времени и ресурсов, которые, мы надеемся, у вас уже есть. Но ваша тяжелая работа и стремление соответствовать требованиям завоюют доверие клиентов.