חוקים חדשים לעבודה עם נתונים אישיים של האירופאים

אתרים שעובדים עם לקוחות ממדינות האיחוד האירופי יכולים לאחרונה לקבל קנסות של עד 20 מיליון יורו אם הם לא מתחילים לציית לתקנות החדשות על נתונים אישיים של התמ"ג. אין קורבנות עדיין, אבל זה לא סיבה לשבור את החוק. בטוח יותר :-)

תקנה כללית להגנה על נתונים (GDPR) היא תקנה מחוץ לטריטוריה המגינה על אבטחת המידע של כל אזרחי האיחוד האירופי. אם תאסוף, תאחסן או תעבד נתונים אישיים (כולל קובצי cookie) של לקוח אחד לפחות מאירופה, עליך לציית לתקנות ללא קשר למיקום האתר והחברה.

אם יש לך אתר שעובד אך ורק ברוסיה, אתה לא יכול לדאוג לגבי עמידה בדרישות של GDPR. עם זאת, אסור לנו לשכוח כי 152-FZ "על נתונים אישיים" הוא למעשה ברוסיה (הגרסה המעודכנת נכנס לתוקף ב -1 ביולי 2017), אשר חוזר מעט על הדרישות של GDPR וגם מגביל את העבודה עם מידע אישי של הלקוחות.

מי צריך מדיניות פרטיות באתר וכיצד לפתח אותה

מהם נתונים אישיים

רשימה ספציפית של מידע שנחשב לנתונים אישיים אינה מסופקת בשום מקום. נתונים אישיים הם כל מידע על אדם, אשר ניתן להשתמש בהם כדי לזהות את האדם שלו באופן ישיר או עקיף.

עקרונות יסוד של הרגולציה וזכויות של נתונים אישיים

בקיצור, כל הכללים ניתן לגבש כפתיחות וכבוד למידע האישי של הלקוחות שלך. להלן חמישה עקרונות בסיסיים:

  • עקרון החוקיות, הצדק והשקיפות: פתח בגלוי את כל השיטות לאיסוף ועיבוד נתונים אישיים במדיניות הפרטיות שלך.
  • העיקרון של הגבלת המטרה: ציין בבירור מדוע אתה אוסף נתונים אלה.
  • העיקרון של מגבלות אחסון: ציין את תקופת השמירה - לא ניתן לאחסן נתונים אישיים ארוכים יותר ממה שאתה צריך כדי להשיג את היעדים שצוינו.
  • עקרון צמצום הנתונים: מותר לאסוף רק את המינימום הדרוש למטרות שלך.
  • עקרון של יושר, סודיות ודיוק נתונים שנאספו. הנתונים חייבים להיות נכונים וסודיים.

לכן, לכל תושב של מדינות האיחוד האירופי יש מספר זכויות שאתה חייב לכבד:

  • לדעת מה הנתונים האישיים נאספים (אשר, עבור מה המטרות ועל כמה זמן הם יאוחסנו);
  • לבקש מהם מהחברה;
  • הביקוש למחוק את כל הנתונים (מה שמכונה הזכות לשכחה).

מה בעל האתר צריך לעשות

  1. ודא שמערכת CRM שבה אתה משתמש מספקת את הזכויות הבסיסיות של הלקוחות שלך, כלומר, היא מאפשרת לך:
    • לספק מידע על הנתונים האישיים שנאספו,
    • לשנות ולשלימו;
    • למחוק נתונים על הבקשה.

מעניין, יש דבר כזה "הזכות ניידות נתונים" (הזכות ניידות נתונים). כלומר, על פי בקשת נושא הנתונים האישיים, עליך להעביר את כל הנתונים שלו לארגון שלישי - זה מפשט את העברת הלקוח מחברה אחת לאחרת. להיות מוכן לזה.

  1. הזהר על איסוף מידע. זה מספיק כדי להציב צלחת עם טקסט בחלק התחתון של הדף ברוח "אנו אוספים עוגיות כדי להתאים אישית את התוכן באתר.המשך השימוש באתר, אתה מסכים לכך".

הנה, למשל, כיצד Meduza מזהיר לגבי השימוש בעוגיות. הקישור מוביל למאמר.

  1. אישור בקשה לשלוח דיוור. ב שיווק בדוא"ל זה נקרא פעמיים opt-in. על ידי שליחת מכתב עם הטקסט "לחץ על הכפתור כדי לאשר את הסכמתך לניוזלטר," אתה מקבל במפורש את הסכמת המשתמש ומוכיח שקיבלת את הודעת האימייל הזו בכנות (ולא קנית, לדוגמה, מסד נתונים של דואר זבל).

הנה תקן Mailchimp פעמיים opt-in מכתב:

  1. בקש מהמשתמשים הסכמה לאוסף הנתונים האישיים. התוצר המקומי הגולמי דורש שהמשתמשים ייתנו את הסכמתם לעיבוד נתונים אישיים בצורה מפורשת (כמו בדוגמה לעיל). לשם כך, הניחו סמן ליד טופס איסוף הנתונים, והקליקו על איזה משתמש יסכים לעיבוד הנתונים האישיים שלו. שים לב שלא ניתן ללחוץ על תיבת סימון זו כברירת מחדל - על המשתמש לעשות זאת בכוחות עצמו.
  1. דווח על אובדן נתונים. את הנתונים האישיים של הלקוחות שלך יש לעקוב בזהירות רבה ומאוחסנים במקום בטוח. אם הנתונים מגיעים לצדדים שלישיים שלא נועדו (אתה נפרץ, דליפה בשל חוסר זהירות או רשלנות, או שאתה מאבד את זה בכל דרך אחרת), עליך להודיע ​​על כך למשתמשים בתוך חמישה ימים. כמובן, זה לא יהיה כזה אירוע גדול כמו פייסבוק של סנסציוני פייסבוק דלף במרץ, אבל עדיין יש מהנה.

מה יקרה לאי-ציות

כמו בכל הפרה, יחושבו חומרתם, מספר הקורבנות והגורמים. הקנס המרבי על הפרת הרגולציה יכול להיות עד 20 מיליון יורו, או 4% מהמחזור השנתי של החברה. עם זאת, לא מיד ליפול לתוך פאניקה - זה הרמה המקסימלית כי לא יחולו על ההפרה הראשונה. בפעם הראשונה, אתה צפוי להיות הזהיר וביקש להביא הכל בקו אחד עם התקנות. אתה יכול גם לקבל איסור או הגבלה על עיבוד של נתונים אישיים, ורק כמוצא אחרון קנס (לא בהכרח מיליארדי דולר).

בנוסף, אי ציות לחוקים עלול לפגוע במוניטין שלך ואת אמון בחברה. אף אחד לא רוצה להירשם לניוזלטר שלך, ולאחר מכן לקבל תוכן לא מובן מארגוני צד שלישי.

כדי להגן על זכויותיהם של המשתמשים בכל מדינה באיחוד האירופי, רשויות מיוחדות להגנה על נתונים (DPA) נוצרו, ומדינות שאינן באיחוד האירופי חייבות למנות נציג באירופה שינהל אינטראקציה עם DPA. פרטים על עבודה עם מדינות שלא מינו נציג לא נמסרו. זה גם לא ידוע איך חברות מחוץ לאיחוד האירופי יהיו אחראים להפרות. אבל חשוב להבין שלמרות העמימות הזאת, אין להתעלם מהחוקים.

אין תקדימים בחוק זה. עם זאת, עדיף למלא את כל מרשמים להיות בטוחים בעצמך.

צפה בסרטון: HyperNormalisation 2016 + subs by Adam Curtis - A different experience of reality FULL DOCUMENTARY (נוֹבֶמבֶּר 2019).

Loading...

עזוב את ההערה שלך