GDPR (General Data Protection Regulation) — регламент ЕС по защите персональных данных его резидентов. Этот документ накладывает значительный отпечаток на то, как будет работать онлайн-бизнес не только в Европейском Союзе, но и в Украине.
Если компания нарушает Регламент, то на него может быть наложен штраф в размере до 4% от ее годового мирового оборота или до 20 млн евро.
- Как подготовить сайт к работе в условиях GDPR?
- Какие изменения следует внести в функционал сайта, дизайн веб-ресурса?
- Как правильно подготовить Политику конфиденциальности чтобы соответствовать новым требованиям, что наберут силу 25 мая 2018 в Общем регламенте защиты данных ЕС (GDPR)?
- Считаются ли cookie персональными данными?
- Как выстраивать отношения со сторонними сервисами (Google Analytics, MailChimp и др.), Которые имеют данные ваших пользователей?
- Данные о клиентах лучше никогда не хранить в базах данных сайта?
- Как теперь принимать онлайн-платежи на сайте?
- Что такое DPO и нужен ли он вашему бизнесу?
В 2018 году для сайтов внесено множество изменений, и не последним из них является Общее правило защиты данных (GDPR), которое вводится Европейским союзом, начиная с 25 мая 2018 года. Версия TL; DR — это то, что GDPR говорит, что пользователи имеют полный контроль над своими данными, и вы должны сказать им, зачем вам это нужно. В этот момент они могут дать добро или нет. Практически, однако, это немного сложнее.
Данные просачиваются и текут между нашими сайтами и пользователями, а GDPR говорит, что нам достаточно хорошо управлять нашими сайтами, чтобы пользователи могли управлять своими данными. Несмотря на то, что это правило, принятое ЕС, всё же оно затрагивает почти весь мир. Потому что, если вы собираете бит или байт данных от человека в ЕС (независимо от вашего собственного местонахождения), вы подчиняетесь этому закону, потому что тогда у вас есть информация, принадлежащая гражданину ЕС. И если вы оказались в несоблюдении, то можете быть оштрафованы до 20 миллионов евро.
Выбор показателя GDPR
ЕС сказал, что вы должны «дать свое ясное согласие на обработку данных» во всех 28 государствах-членах ЕС. Это означает, что пользователи должны явно сказать «да», не только имеют возможность сказать «нет».
Вот пример: у вас есть онлайн-дропшиппинг-бизнес, и, возможно, вы используете какую-то CMS интернет-магазина. Когда пользователи добираются до вашей страницы проверки, у вас есть флажок, который гласит: «[x] Да, я хочу зарегистрироваться для вашего удивительного списка электронной почты!»
Нет проблем, не так ли? Если у вас установлен флажок по умолчанию, вы ошибаетесь. Это дает им возможность отказаться. Это не то, о чем говорит правило выбора GDPR. Они должны прямо заявить о себе, чтобы поделиться с вами своей информацией.
То же самое относится к разделам комментариев, которые автоматически подписывают людей на поток комментариев или какой-либо автоматизированный контакт, который не инициируется непосредственно пользователем. (Всплывающие чаты могут быть в порядке, потому что они не доходят до их данных, но могут по-прежнему влиять на предложение псевдонимации GDPR.)
Но ваша цель №1 — ничего не делать по умолчанию. И, честно говоря, примите как можно меньше, когда вы получите явное разрешение.
Задайте минимальный уровень информации
Многие веб-сайты с формами, плагинами и онлайн-магазины запрашивают информацию, которая им действительно не нужна. В общем, хорошим правилом является просить как можно меньше информации от ваших пользователей. Если вам не нужны их имена, даже, не принимайте их. Или, может быть, только их первое. Иногда все, что требуется, — это их электронная почта, чтобы выполнить свою работу.
Это не значит, что вы не можете запросить другую информацию. GDPR просто говорит, что вы должны сказать людям, зачем вам это нужно. Если вы просите их имя и фамилию, скажите им, почему. Если вы спросите их дни рождения, дайте понять, что вы отправляете купоны в качестве подарков на день рождения, например. Из-за GDPR больше не нужно запрашивать информацию «на всякий случай» или «для будущих, неопределенных проектов».
Многие плагины форм позволяют включать заметку под / рядом с основным ярлыком, поэтому, если у вас есть поле для телефонных номеров, вы можете иметь рекламный ролик, в котором говорится: «Мы запрашиваем ваш номер телефона, чтобы наши представители обслуживания клиентов могли ускорить процесс настройки для ваших индивидуальных заказов. »
Кроме того, когда вы запрашиваете информацию, ЕС говорит, что вам нужно раскрыть «кто вы […], как долго они будут храниться, и кто его получает». Что касается того, как и когда вам нужно раскрыть этот материал, это может отличаться. Первый заключается в том, что вы должны сказать, кто вы и в то же время вы делаете запрос на их данные.
Это фактически ничем не отличается от требуемых нижних колонтитулов, которые требуется каждому почтовому сервису. Просто приведите предложение или сообщение, объясняющее, кто вы, единственная строка, в которой говорится, что «данные этого сайта обрабатываются ИМЯ КОМПАНИИ и ее дочерних компаний». Или даже что-то вроде «Данные, представленные этой формой, будут использоваться ИМЯ КОМПАНИИ и более никем другим » не будет работать.
Это означает, что ваша контактная форма, форма регистрации, страницы проверки, где пользователи могут предоставлять вам информацию, должны четко идентифицировать вас и всех.
Ваши условия использования и политика конфиденциальности
Что касается других частей положений о сохранении информации о GDPR, вы можете включить в них информацию о причинах, причинах и способах использования данных в ваших Условиях обслуживания или Политике конфиденциальности. И это тоже хорошая идея, потому что они являются частью явного выбора GDPR.
Действующий шаг здесь двоякий: во-первых, убедитесь, что ваши Условия пользования и политика конфиденциальности соответствуют требованиям GDPR. И, во-вторых, создайте явные обязательные поля в каждой форме, указывающей на принятие обоих документов, прежде чем что-либо обработать. Флажки в порядке, и текстовые поля, в которых пользователи могут вводить «Я согласен», еще лучше (но действительно неприятны).
Вы можете проверить, как добавить необходимые соглашения в свои формы здесь на скриншотах. И если вы не знаете, с чего начать свою Политику конфиденциальности, мы порекомендуем сервисы:
Политика конфиденциальности веб-сайтов не получает внимания, которого они заслуживают. Тем не менее, они являются важными элементами любого веб-сайта, который серьезно относится к правилам защиты данных. Помимо того, что вы поддерживаете свои операции, в политике конфиденциальности также описывается, как ваш сайт обрабатывает личную информацию, что должно помочь посетителям:
Если вы не знаете, с чего начать, когда дело доходит до создания политики конфиденциальности веб-сайта, вот три онлайн-генератора, которые просты в использовании и функционально упакованы:
- https://www.iubenda.com/en основанный на модуле генератор политики конфиденциальности, поддерживающий десятки сторонних служб.
- https://termsfeed.com/ этот простой сервис позволяет вам создать базовую политику с помощью вопросника.
- https://www.shopify.com/tools/policy-generator этот генератор предназначен для магазинов Shopify.
Есть ли у вас какие-либо вопросы о том, какие положения политики конфиденциальности должны включать? Давайте поговорим о них в разделе комментариев ниже!
Мы бы предложили добавить абзац в ваши Условия предоставления услуг о принятии Политики конфиденциальности в качестве срока и ссылки на него непосредственно из Условий. Затем в Политике конфиденциальности добавьте параграф, в котором обсуждается его роль в Условиях, а также точно, как ваш сайт управляет данными в соответствии с GDPR. В частности, вам необходимо будет предоставить подробные инструкции в вашей Политике конфиденциальности, объясняющие каждое из следующих.
- Как получить доступ и загрузить полную запись любых данных, которые у вас есть на них
- Процесс, посредством которого пользователи могут полностью удалять свои данные из ваших записей (а не просто отказаться от подписки и т. д.) В рамках законов о праве на забывание, ранее принятых в ЕС
- Точно как вы будете информировать пользователей о нарушениях данных, если они когда-либо произойдут
- Подробные объяснения того, кто вы, для чего используете данные, кто имеет к нему доступ, и как долго вы его сохраняете
Сейчас важнее, чем когда-либо, иметь Политику конфиденциальности. Это было довольно важно, потому что Google хотел, чтобы у вас был такой. И это значение только что началось.
Наши разработчики уже много трудятся над тем, чтобы помочь с выбором и соответствием GDPR. Есть еще много деталей, которые вам нужно будет выработать в своем бизнесе, но в ближайшие месяцы ожидаем, что в ваших любимых плагинах появятся варианты — или расширения GDPR, сделанные третьими лицами, — которые включает всё, что упомянуто, просто проверяя несколько ящиков и заполнение нескольких полей.
В принципе, чтобы сделать ваш сайт GDPR совместимым, сводится к тому, чтобы вы были прозрачны с людьми. Сообщите им, что вы делаете, не просите о посторонней информации и не позволяйте им делать это вам, а не по умолчанию.
Какие шаги вы предприняли перед соблюдением требований GDPR? Любые советы, которые вы можете поделиться в комментариях, были бы замечательными!
Сотрудник по защите данных
По условиям GDPR, организация должна назначить служащего по защите данных (DPO — Data Protection Officer), если она осуществляет масштабную обработку специальных категорий данных, осуществляет масштабный мониторинг таких лиц, как отслеживание поведения или государственный орган.
Что касается государственных органов, то в группе организаций может быть назначен единственный DPO. Несмотря на то, что для организаций, которые не участвуют в вышесказанном выше, не назначается DPO, всем организациям необходимо будет обеспечить их навыки и персонал, необходимый для быть совместимым с законодательством GDPR.
Невозможность назначить работника по защите данных, если это потребуется ГГНРИ, может считаться несоответствием и привести к штрафу.
Поддержка требований GDPR для сайта на CMS WordPress, Joomla или Drupal
Ваш сайт работает на CMS WordPress, Joomla или Drupal? Поэтому самым быстрым способом является установка коммерческого плагина готовности вашего сайта для GDPR. Цена — 20-45$. Решение вскоре так же будет доступно для CMS Magento, PrestaShop, OpenCart, Bitrix, Cs-Cart, MODX.
В других случаях — так же обращайтесь, всегда возможно что-то придумать. Реализовать это в доработке вашего сайта под техническое задание.