Nova pravila za rad s osobnim podacima Europljana

Mjesta koja rade s klijentima iz zemalja EU-a mogu nedavno primiti novčane kazne u iznosu do 20 milijuna eura ako se ne počnu pridržavati novih propisa o osobnim podacima GDPR-a. Još nema žrtava, ali to nije razlog za kršenje zakona. Bolje je sigurno :-)

Opća Uredba o zaštiti podataka (GDPR) je izvanteritorijalna regulativa koja štiti sigurnost podataka svih građana EU-a. Ako prikupljate, pohranjujete ili obrađujete osobne podatke (uključujući kolačiće) najmanje jednog klijenta iz Europe, morate se pridržavati propisa bez obzira na to gdje su web-lokacija i tvrtka registrirani.

Ako imate web-lokaciju koja radi isključivo u Rusiji, ne možete brinuti o usklađenosti sa zahtjevima GDPR-a. Ipak, ne smijemo zaboraviti da je 152-FZ “O osobnim podacima” na snazi ​​u Rusiji (ažurirana verzija je stupila na snagu 1. srpnja 2017.), što donekle ponavlja zahtjeve GDPR-a i ograničava rad s osobnim podacima kupaca.

Tko treba politiku privatnosti na web-lokaciji i kako je razviti

Što su osobni podaci

Specifičan popis informacija koje se smatraju osobnim podacima ne nudi se nigdje. Osobni podaci su sve informacije o osobi, koje se mogu koristiti za identifikaciju njegove osobe izravno ili neizravno.

Osnovna načela regulacije i prava subjekata osobnih podataka

Ukratko, sva se pravila mogu formulirati kao otvorenost i poštivanje osobnih podataka vaših klijenata. Evo pet osnovnih načela:

  • Načelo zakonitosti, pravde i transparentnosti: Otvorite sve metode prikupljanja i obrade osobnih podataka u svojim pravilima o privatnosti.
  • Načelo ograničavanja cilja: jasno naznačite zašto prikupljate te podatke.
  • Načelo ograničenja pohrane: odrediti razdoblje čuvanja - osobne podatke nije moguće pohraniti dulje nego što je potrebno za postizanje navedenih ciljeva.
  • Princip minimizacije podataka: dopušteno je prikupiti samo minimum potreban za vaše potrebe.
  • Načelo integriteta, povjerljivosti i točnosti prikupljenih podataka. Podaci moraju biti točni i povjerljivi.

Dakle, svaki stanovnik zemalja EU-a ima niz prava koja morate poštovati:

  • znaju koji se osobni podaci prikupljaju (koji, u koje svrhe i koliko dugo će biti pohranjeni);
  • zatražiti ih od tvrtke;
  • zahtijevati brisanje svih podataka (tzv. pravo na zaborav).

Što vlasnik web-lokacije treba učiniti

  1. Provjerite da CRM sustav koji koristite pruža osnovna prava vaših klijenata, to jest, omogućuje vam da:
    • pružiti informacije o prikupljenim osobnim podacima,
    • izmijeniti i dopuniti;
    • brisanje podataka na zahtjev.

Zanimljivo je da postoji nešto kao "pravo na prenosivost podataka" (pravo na prenosivost podataka). To znači da na zahtjev subjekta osobnih podataka morate prenijeti sve njegove podatke na treću organizaciju - to pojednostavljuje prijenos klijenta iz jednog poduzeća u drugo. Budite spremni za ovo.

  1. Upozorite na prikupljanje informacija. Dovoljno je postaviti ploču s tekstom na dnu stranice u duhu "prikupljamo kolačiće kako bismo personalizirali sadržaj na web-mjestu. Nastavljajući koristiti web-lokaciju, slažete se s tim."

Ovdje, na primjer, kako Meduza upozorava na korištenje kolačića. Veza vodi do članka.

  1. Zatražite potvrdu za slanje e-pošte. U e-mail marketingu to se zove double opt-in. Slanjem pisma s tekstom "kliknite na gumb za potvrdu pristanka na newsletter" izričito primate korisnikov pristanak i dokazujete da ste ovu poruku e-pošte primili pošteno (a niste kupili, na primjer, spam bazu podataka).

Ovdje je standardno pismo za Mailchimp za dvostruko uključivanje:

  1. Zatražite od korisnika pristanak na prikupljanje osobnih podataka. GDPR zahtijeva da korisnici daju svoj pristanak za obradu osobnih podataka u eksplicitnom obliku (kao u gornjem primjeru). Da biste to učinili, postavite kvačicu pored obrasca za prikupljanje podataka, klikom na koji se korisnik slaže s obradom svojih osobnih podataka. Imajte na umu da ovaj potvrdni okvir ne može biti pritisnut po zadanom - korisnik to mora učiniti sam.
  1. Prijavite gubitak podataka. Osobne podatke vaših klijenata treba pažljivo pratiti i čuvati na sigurnom mjestu. Ako podaci dođu do trećih osoba za koje nisu bili namijenjeni (hakirani ste, propuštanje zbog nepažnje ili nepažnje ili ga na drugi način izgubite), morate o tome obavijestiti korisnike u roku od pet dana. Naravno, to neće biti tako važan događaj kao što je Facebookov senzacionalni Facebook procurio u ožujku, ali još uvijek je malo ugodno.

Što će se dogoditi zbog neusklađenosti

Kao i kod svih kršenja, razmatrat će se ozbiljnost, broj žrtava i uzroci. Maksimalna novčana kazna za povredu propisa može biti i do dvadeset milijuna eura, ili 4% godišnjeg prometa tvrtke. Međutim, nemojte odmah upasti u paniku - to je maksimalna razina koja se neće primijeniti za prvu povredu. Po prvi put ćete vjerojatno biti upozoreni i zamoljeni da sve uskladite s propisima. Također možete dobiti zabranu ili ograničenje obrade osobnih podataka, a samo kao posljednje rješenje može biti novčana kazna (ne nužno višemilijunski).

Osim toga, nepoštivanje zakona može pogoditi vaš ugled i povjerenje u tvrtku. Nitko se ne želi pretplatiti na vaš newsletter, a zatim primiti nerazumljiv sadržaj od organizacija trećih strana.

Kako bi se zaštitila prava korisnika u svakoj zemlji EU-a, stvorena su posebna tijela za zaštitu podataka (DPA), a zemlje koje nisu članice EU-a moraju imenovati predstavnika u Europi koji će komunicirati s DPA-om. Pojedinosti o radu sa zemljama koje nisu imenovale zastupnika nisu objavljene. Također nije u potpunosti poznato kako će tvrtke izvan EU biti odgovorne za kršenja. No, važno je shvatiti da, unatoč toj dvosmislenosti, pravila se ne smiju zanemariti.

Nema presedana za ovaj zakon. Međutim, bolje je ispuniti sve recepte i biti sigurni u sebe.

Pogledajte videozapis: Calling All Cars: A Child Shall Lead Them Weather Clear Track Fast Day Stakeout (Kolovoz 2019).

Ostavite Komentar