Quy tắc mới để làm việc với dữ liệu cá nhân của người châu Âu

Các trang web làm việc với khách hàng từ các quốc gia EU gần đây có thể nhận khoản tiền phạt lên tới 20 triệu euro nếu họ không bắt đầu tuân thủ các quy định mới về dữ liệu cá nhân của GDPR. Không có nạn nhân nào, nhưng đây không phải là một lý do để vi phạm pháp luật. An toàn tốt hơn :-)

Quy định bảo vệ dữ liệu chung (GDPR) là một quy định ngoài lãnh thổ nhằm bảo vệ an ninh dữ liệu của tất cả các công dân EU. Nếu bạn thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân (bao gồm cookie) của ít nhất một khách hàng từ Châu Âu, bạn phải tuân thủ các quy định bất kể nơi nào trang web và công ty được đăng ký.

Nếu bạn có một trang web hoạt động độc quyền ở Nga, bạn không thể lo lắng về việc tuân thủ các yêu cầu của GDPR. Tuy nhiên, chúng ta không được quên rằng 152-FZ về dữ liệu cá nhân có hiệu lực tại Nga (phiên bản cập nhật có hiệu lực vào ngày 1 tháng 7 năm 2017), phần nào lặp lại các yêu cầu của GDPR và cũng hạn chế công việc với thông tin cá nhân của khách hàng.

Ai cần một chính sách bảo mật trên trang web và cách phát triển nó

Dữ liệu cá nhân là gì

Một danh sách cụ thể các thông tin được coi là dữ liệu cá nhân không được cung cấp ở bất cứ đâu. Dữ liệu cá nhân là bất kỳ thông tin nào về một người, có thể được sử dụng để nhận dạng người đó trực tiếp hoặc gián tiếp.

Nguyên tắc cơ bản của quy định và quyền của chủ thể dữ liệu cá nhân

Nói tóm lại, tất cả các quy tắc có thể được hình thành như sự cởi mở và tôn trọng thông tin cá nhân của khách hàng của bạn. Dưới đây là năm nguyên tắc cơ bản:

  • Nguyên tắc hợp pháp, công bằng và minh bạch: Khai báo công khai tất cả các phương pháp thu thập và xử lý dữ liệu cá nhân trong chính sách bảo mật của bạn.
  • Nguyên tắc giới hạn mục tiêu: chỉ rõ tại sao bạn đang thu thập dữ liệu này.
  • Nguyên tắc hạn chế lưu trữ: chỉ định thời gian lưu giữ - không thể lưu trữ dữ liệu cá nhân lâu hơn bạn cần để đạt được các mục tiêu đã chỉ định.
  • Nguyên tắc tối thiểu hóa dữ liệu: chỉ được phép thu thập tối thiểu cần thiết cho mục đích của bạn.
  • Nguyên tắc toàn vẹn, bảo mật và chính xác thu thập dữ liệu. Dữ liệu phải chính xác và bảo mật.

Do đó, mọi cư dân của các quốc gia EU đều có một số quyền mà bạn phải tôn trọng:

  • biết dữ liệu cá nhân nào được thu thập (trong đó, cho mục đích gì và trong bao lâu chúng sẽ được lưu trữ);
  • yêu cầu họ từ công ty;
  • yêu cầu xóa tất cả dữ liệu (cái gọi là quyền lãng quên).

Chủ sở hữu trang web cần làm gì

  1. Kiểm tra xem hệ thống CRM bạn sử dụng có cung cấp các quyền cơ bản của khách hàng hay không, nghĩa là nó cho phép bạn:
    • cung cấp thông tin về dữ liệu cá nhân được thu thập,
    • sửa đổi và bổ sung nó;
    • xóa dữ liệu theo yêu cầu.

Thật thú vị, có một thứ gọi là "quyền chuyển đổi dữ liệu" (quyền chuyển đổi dữ liệu). Điều này có nghĩa là theo yêu cầu của chủ đề dữ liệu cá nhân, bạn phải chuyển tất cả dữ liệu của anh ấy sang tổ chức thứ ba - điều này giúp đơn giản hóa việc chuyển khách hàng từ công ty này sang công ty khác. Hãy sẵn sàng cho việc này.

  1. Cảnh báo về việc thu thập thông tin. Nó là đủ để đặt một tấm với văn bản ở dưới cùng của trang theo tinh thần "chúng tôi thu thập cookie để cá nhân hóa nội dung trên trang web. Tiếp tục sử dụng trang web, bạn đồng ý với điều này."

Ở đây, ví dụ, làm thế nào Meduza cảnh báo về việc sử dụng cookie. Liên kết dẫn đến bài viết.

  1. Yêu cầu xác nhận để gửi thư. Trong tiếp thị qua email, điều này được gọi là chọn tham gia kép. Bằng cách gửi thư có nội dung "nhấp vào nút để xác nhận sự đồng ý với bản tin", bạn rõ ràng nhận được sự đồng ý của người dùng và chứng minh rằng bạn đã nhận được email này một cách trung thực (ví dụ: không mua cơ sở dữ liệu spam).

Dưới đây là thư chọn tham gia kép Mailchimp tiêu chuẩn:

  1. Yêu cầu người dùng đồng ý với việc thu thập dữ liệu cá nhân. GDPR yêu cầu người dùng đồng ý với việc xử lý dữ liệu cá nhân ở dạng rõ ràng (như trong ví dụ trên). Để thực hiện việc này, hãy đánh dấu bên cạnh biểu mẫu thu thập dữ liệu, nhấp vào đó người dùng đồng ý xử lý dữ liệu cá nhân của anh ta. Xin lưu ý rằng hộp kiểm này không thể được nhấn theo mặc định - người dùng phải tự làm điều này.
  1. Báo cáo mất dữ liệu. Dữ liệu cá nhân của khách hàng của bạn nên được theo dõi rất cẩn thận và được lưu trữ ở nơi an toàn. Nếu dữ liệu được gửi cho bên thứ ba mà nó không dành cho (bạn bị hack, rò rỉ do bất cẩn hoặc bất cẩn, hoặc bạn mất nó theo bất kỳ cách nào khác), bạn phải thông báo cho người dùng về điều này trong vòng năm ngày. Tất nhiên, đây sẽ không phải là một sự kiện lớn như Facebook giật gân Facebook bị rò rỉ vào tháng 3, nhưng vẫn có một chút thú vị.

Điều gì sẽ xảy ra cho việc không tuân thủ

Như với bất kỳ vi phạm, mức độ nghiêm trọng, số lượng nạn nhân và nguyên nhân sẽ được xem xét. Mức phạt tối đa cho việc vi phạm quy định có thể lên tới hai mươi triệu euro, tương đương 4% doanh thu hàng năm của công ty. Tuy nhiên, đừng ngay lập tức rơi vào hoảng loạn - đây là mức tối đa sẽ không được áp dụng cho lần vi phạm đầu tiên. Lần đầu tiên, bạn có khả năng bị cảnh báo và yêu cầu đưa mọi thứ phù hợp với quy định. Bạn cũng có thể bị cấm hoặc hạn chế xử lý dữ liệu cá nhân và chỉ là biện pháp cuối cùng bị phạt (không nhất thiết phải là hàng triệu đô la).

Ngoài ra, việc không tuân thủ luật pháp có thể ảnh hưởng đến uy tín và niềm tin của bạn vào công ty. Không ai muốn đăng ký nhận bản tin của bạn và sau đó nhận nội dung không thể hiểu được từ các tổ chức bên thứ ba.

Để bảo vệ quyền của người dùng ở mỗi quốc gia EU, các cơ quan có thẩm quyền bảo vệ dữ liệu đặc biệt (DPA) đã được tạo ra và các quốc gia ngoài EU phải cử người đại diện ở châu Âu sẽ tương tác với DPA. Chi tiết công việc với các quốc gia chưa đề cử người đại diện không được tiết lộ. Người ta cũng không biết đầy đủ các công ty bên ngoài EU sẽ phải chịu trách nhiệm như thế nào đối với các vi phạm. Nhưng điều quan trọng là phải hiểu rằng, mặc dù sự mơ hồ này, các quy tắc không nên bị bỏ qua.

Không có tiền lệ cho luật này. Tuy nhiên, tốt hơn là hoàn thành tất cả các đơn thuốc và tự tin vào chính mình.

Loading...

Để LạI Bình LuậN CủA BạN