GDPR и конфиденциальность данных для фрилансеров и малого бизнеса

Конфиденциальность данных и значение GDPR для малых предприятий и фрилансеров за пределами ЕС

15/11/2018

Термин GDPR сегодня у всех на слуху, и, кажется, все еще порождает довольно много вопросов. Принятый в Европейском союзе Общий регламент по защите данных (General Data Protection Regulation, GDPR) вызывает немало разговоров и сомнений как в самом Евросоюзе, так и за его пределами. Читайте дальше, и вы узнаете, какое влияние GDPR может оказывать на малые предприятия, стартапы и индивидуальных предпринимателей и что вам с этим делать.

Итак, начнем с хорошей новости: в отношении содержания новый закон не такой уж и новый. Что действительно ново в нем, так это, в первую очередь, меры наказания за несерьезное отношение к положениям регламента. Какова же плохая новость? Вам, как и большинству владельцев предприятий, скорее всего, придется предпринять определенные действия. И немедленно. Но давайте разбираться во всем по порядку.

Серьезное отношение к конфиденциальности данных

«Защита физических лиц в отношении обработки персональных данных является фундаментальным правом».

Так начинается Регламент 2016/679 Европейского парламента и Совета ЕС о защите физических лиц в отношении обработки персональных данных и свободном движении таких данных, отменяющий директиву 95/46/ЕС (Общий регламент по защите данных), принятый в 2016 году (после двух редакций) и вступивший в силу 25 мая 2018 года. Для потребителей это, безусловно, хорошее событие: все потребители получили контроль над своими данными. Для предпринимателей, однако, все не так однозначно. Персональные данные дают доступ к ценной маркетинговой информации, делают возможной эффективную индивидуализированную рекламу. А это значит, что использование персональных данных может быть одной из важных составляющих успеха компании. Так должны ли вы полностью отказаться от использования персональных данных? И да, и нет.

 

Персональные данные и их использование согласно GDPR

GDPR — отличная вещь с точки зрения потребителей: мы все получаем контроль над своими данными. (Автор фотографии: gpointstudio | stock.adobe.com)

Безусловно, вам никто не запрещает использовать персональные данные. Главное — подробно информировать потребителей из ЕС о том, что вы собираетесь делать с их данными. Какая информация будет хранится? Где? Как долго? Ах да, под «потребителями из ЕС» мы в данном случае подразумеваем каждого посетителя вашего сайта.

Для использования персональных данных в маркетинговых целях вам нужно получить активное согласие на это пользователей. Если, например, вы хотите рассылать маркетинговые письма, вы должны сначала получить согласие адресатов на это (согласие, которое может быть подтверждено). Как это сделать? Читайте дальше.

 

Как соответствовать GDPR

Итак, GDPR влияет на все компании за пределами ЕС, предоставляющие товары/услуги частным лицам из ЕС. А это, согласитесь, огромная часть цифровой экономики. Идет ли речь о малом предприятии или огромной корпорации, коммерческой или некоммерческой организации, вне зависимости от того, купит посетитель что-либо на вашем сайте или нет, как только кто-либо из Европейского союза заходит на ваш сайт, GDPR вступает в действие.

 

Шаг 1. Проверка конфиденциальности данных

Как только кто-либо из Европейского союза заходит на ваш сайт, GDPR вступает в действие. (Автор фотографии: Redpixel | stock.adobe.com)

«Я рекомендую первым делом провести проверку конфиденциальности данных. Какие данные обрабатываются в компании? Как и кем данные хранятся?» — советует Пауль-Лукас Гоод, специалист по защите данных компании Good & Partner Rechtsanwälte, Швейцария. Вы храните данные с адресами в файле Excel на своем компьютере? Пользуетесь Rolodex для работы с адресами клиентов? Используете облако? Пройдитесь по всем процессам своей компании и отметьте, какие данные собираются и где они хранятся.

Шаг 2. Информирование «субъектов данных»

«Далее необходимо представить информацию об обработке данных в политике конфиденциальности на сайте или в приложении или в соответствующих пунктах договора в бумажной форме», — продолжает Пауль-Лукас Гоод. Согласно статье 13 GDPR в случае сбора персональных данных субъектов данных вы обязаны представить об этом информацию. Среди прочего, вам необходимо указать:

  • название и контактные данные контролера данных и, если применимо, представителя контролера;
  • цели и правовое основание для обработки персональных данных;
  • если применимо, получателей или категории получателей персональных данных;
  • период хранения персональных данных; если указать точный период невозможно, критерии определения такого периода.

Более того, вы должны проинформировать субъектов данных об их правах и гарантировать предоставление информации, исправление, удаление и ограничение обработки персональных данных в любое время. Непростая задача, особенно если вы работаете с плагинами третьих сторон.

 

Шаг 3. Проверка куки, плагинов и инструментов

«Даже если речь о кнопке «Нравится» Facebook, вы должны спросить себя, будет ли разрешена обработка данных, — предупреждает Гоод, — ведь это, в сущности, прямой путь с вашего сайта на Facebook». Согласно вышеупомянутой статье 13 вам необходимо объяснить, что именно Facebook делает с данными после нажатия вышеуказанной кнопки. Если же вы не получаете соответствующей информации от Facebook, вы не соблюдаете новые требования в полной мере. Стоит отметить, что инструменты вроде Google Analytics предоставляют возможность настройки и анонимизации используемых данных согласно установленным требованиям. «Хотя остается открытым вопрос, насколько в действительности анонимизированы получаемые данные», — отмечает Гоод.

GDPR и конфиденциальность данных для фрилансеров и малого бизнеса

Если вы не получите достаточное количество информации от сторонних провайдеров, вы не сможете соблюдать новые требования в полной мере.
(Автор фотографии: Мэтью Генри (Matthew Henry) | Unsplash)

В большинстве случаев данные регистрируются в форме куки. И для такой регистрации данных необходим баннер куки для получения согласия пользователей. Инструменты вроде Cookie Bot показывают, как все делается в действительности. Такие инструменты предоставляют подробное объяснение, позволяющее пользователям отключить сбор данных для целей выявления предпочтений и статистики и явно выразить согласие с использованием персональных данных для маркетинговых целей. Это объясняется тем, что в отношении маркетинга применяется только принцип выражения согласия. Будут ли пользователи выражать свое согласие и как это отразится на персонализированном маркетинге, покажет время.

 

 

Шаг 4. Получение подтверждения подписки на рассылку

Итак, сбор данных — это одно дело, их использование в маркетинговых целях — совсем другое. А значит, для использования адресов электронной почты из вашей базы данных для email-рассылки вам необходимо явное разрешение пользователей. В большинстве случаев получение подтверждения подписки на рассылку означает, что пользователь подтверждает свой адрес электронной почты посредством перехода по ссылке в электронном письме, полученном после регистрации для получения информационных бюллетеней. И это правило применяется ко всем пользователям из вашего списка, а не только к новым.

 

GDPR за пределами ЕС

Компании, использующие цифровые технологии, чаще всего предоставляют свои услуги во всем мире, а значит, GDPR оказывает влияние на мировом уровне. В качестве пользователя MoneyPenny, к примеру, вы храните платежную информацию клиентов в своем аккаунте MoneyPenny в облаке — на надежных швейцарских серверах. Пожалуй, лучший способ узнать, что это значит для вас — посетить наш собственный центр безопасности. «Важным аспектом GDPR является взаимодействие закона и технологий: недостаточно создать безукоризненные с юридической точки зрения общие условия использования, необходимо гарантировать их техническое исполнение», — подытоживает Гоод.

Мы, команда MoneyPenny, заботимся о защите данных наших пользователей. Именно поэтому с нами вы всегда сможете контролировать использование своих данных и наслаждаться преимуществами комплексного облачного приложения.

Вы все еще не являетесь пользователем MoneyPenny? Опробуйте наше приложение! Бесплатно и без каких-либо обязательств. И да, мы соблюдаем все требования GDPR.

 

 


Также интересно


БЕСПЛАТНЫЙ доступ к zistemo на 30 дней прямо сейчас!

Кредитная карта не требуется. Вы сможете удалить свою учетную запись в любое время.