10 шагов, чтобы подготовить свой бизнес к GDPR (Общий регламент по защите данных)

Даже если ваша компания не находится в ЕС

Общий регламент по защите данных — это новый набор правил с поправками к действующему Закону о проецировании данных, который вскоре будет применяться к предприятиям, имеющим дело с европейскими потребителями.

25 мая 2018 года регламент настаивает на защите персональных данных всех граждан государств-членов Европейского Союза. Хотя многие компании уже придерживаются спецификаций, важно убедиться, что в вашем бизнесе все учтено.

В этой статье мы рассмотрим, что вам нужно, чтобы избежать нарушения GDPR.

Правда в том, что эти новые правила нацелены на крупные компании, которые рассматривают информацию как источник дохода. Небольшие компании вряд ли будут оштрафованы на 4% от мирового валового дохода, или на 20 млн евро, как пострадают крупные корпорации, если будет установлено, что они нарушают правила.

Если вы беспокоитесь о том, что впереди у вас масса работы по подготовке, не стоит этого делать. Если вы не уверены, так ли это, ищите следующие ключевые сигналы:

1. Вы торгуете информацией как товаром;

2. Запрашивать пользовательские данные, когда они совершают покупку, и использовать или хранить данные в другом месте;

3. Вы имеете дело с одной или несколькими европейскими странами.

Если ответ отрицательный на оба вопроса, все будет хорошо!

Так что можно сделать на всякий случай?

Вот 10 шагов, которые может предпринять ваш бизнес, чтобы наилучшим образом подготовиться к GDPR, даже если вы физически не находитесь в ЕС.

1. Если на вашем веб-сайте есть онлайн-форма с предварительно установленным флажком для получения рекламной электронной почты от третьих лиц, этот флажок должен быть снят.

2. Если ваша компания использует какую-либо форму формирования списка, убедитесь, что все в списке явно согласились присутствовать на нем. Согласно канадскому PIPEDA подразумеваемого разрешения было достаточно; Однако, если в вашей базе данных есть резиденты ЕС, правила намного строже, предоставляя подписчикам право на получение хранящейся у них информации.

3. Убедитесь, что все сотрудники знают о новых правилах. Отправьте записку всем сотрудникам к следующему собранию, на котором будут рассмотрены вопросы. Задать несколько вопросов ключевым игрокам, на чьи роли больше всего повлияют новые правила, — отличный способ убедиться, что они знают, что им нужно делать.

4. Контролируйте всю сохраненную информацию о клиенте/покупателе и отслеживайте, откуда вы ее получили и где она использовалась. Запишите всю информацию и тех, кому вы ее предоставили в любое время, и задокументируйте отношения и рассуждения.

5. Обновите свою политику конфиденциальности, включив в нее обоснование хранения любых пользовательских данных, способы их законного использования и способы обращения пользователей в вашу компанию, если они считают, что их пользовательские данные каким-либо образом используются не по назначению.

6. Иметь четкий метод ответа на запросы об удалении пользовательских данных. В соответствии с DPA пользователи уже имели определенные права, но GDPR идет дальше, предоставляя права на информацию об их данных, хранящихся в вашей компании.

Права состоят из:

• право на получение информации

• право доступа

• право на исправление

• право на удаление

• право на ограничение обработки

• право на переносимость данных

• право на возражение

• право не подвергаться автоматизированному принятию решений, включая профилирование

Вы должны быть в состоянии предоставить всю эту информацию в понятном и машиночитаемом (не рукописном) формате.

7. Внедрить процесс подачи большого количества заявок. Ранее в рамках DPA у компаний было 40 дней на выполнение заявки. Он был сокращен до одного месяца. Все законные запросы должны выполняться, но если запросов много и предполагаемая причина может создать проблемы для вашего бизнеса, их можно оспорить на законных основаниях.

8. Предоставьте свое законное обоснование для хранения пользовательских данных или обмена ими с другими, четко изложенное для пользователей, и убедитесь, что опция согласия не выбрана заранее или неясна. Пользователи должны четко понимать, зачем вам нужны их данные, что вы с ними делаете и с кем можете ими поделиться. И им нужно позволить упасть. Это отдельно от Правил.

9. Если ваша компания имеет дело с лицами моложе 16 лет, вам потребуется согласие родителей или опекунов на обработку любых данных вашего ребенка. Это очень важно и строго регламентировано, но в то же время, если вы не относитесь к информации как к товару, вам, наверное, не о чем беспокоиться.

10. Примите меры по устранению утечки данных. В случае, если пользовательские данные могут быть скомпрометированы, вы должны иметь возможность информировать всех затронутых пользователей, что и когда было скомпрометировано. Назначить кого-то из сотрудников для координации реагирования — отличная идея.

И это все! Как видите, это большая проблема бизнеса, и она больше связана с защитой пользователей в Европе, где социальные сети считаются проблемными и уязвимыми для внешних воздействий.

Северная Америка не сильно пострадала, но проблема все же стоит публикации, что может заставить некоторых владельцев малого бизнеса нервничать, когда в этом нет необходимости. Сказав это, эта статья от Small Business BC https://smallbusinessbc.ca/blog/the-small-business-impact-of-gdpr/ указывает на кажущиеся безобидными потенциальные нарушения безопасности данных, которые могут подвергнуть вас риску взлома, например, отправка поздравительных открыток клиентам, проживающим в ЕС.