GDPR: чи готовий ваш ecommerce-проект до нового світового порядку

25 травня набув чинності Загальний регламент щодо захисту даних (GDPR). Якщо ви не встигли підготуватися до нових правил і переконатися, що ваш ecommerce відповідає всім вимогам Євросоюзу, то краще зробити це якомога швидше. У даній статті ми намагатимось коротко викласти всю найнеобхіднішу інформацію про законодавство з контролю і обробки персональних даних користувачів. А також поділимося корисними посиланнями, щоб ви могли детальніше ознайомитися з принципами роботи GDPR. В кінці статті ви знайдете короткий контрольний список для самоперевірки на відповідність GDPR, який допоможе вам уникнути чималих штрафів.

Що таке GDPR

У 2010 році Європейська комісія розробила стратегію щодо посилення захисту персональних даних мешканців ЄС, переглянувши нині застарілу Директиву ЄС про захист даних від 1995 року і Закон Великобританії про захист даних від 1998 року.

Опитування, проведене Європейською комісією серед громадян ЄС, показав, що 61% користувачів турбуються про безпеку особистої інформації, яка збирається ecommerce сайтами. Більше половини респондентів (55%) висловили занепокоєння з приводу шахрайства при здійсненні покупок в Інтернеті.
Згідно з опитуванням, 75% респондентів хотіли б мати можливість запитувати і видаляти особисту інформацію в Інтернеті, коли захочуть. І більше 90% опитаних хотіли б мати однакові права на інформаційну безпеку в усіх країнах Європи.

Протягом 6 років Європейська комісія розробляла принципи захисту даних і ефективні методи реалізації цих принципів у всесвітній мережі Інтернет. Нарешті, в 2016 році GDPR був прийнятий парламентом ЄС. Давайте розглянемо його основні положення в загальних рисах.

Основні положення GDPR

1. Законність і прозорість. Всі дії, на які ви запитуєте згоду відвідувачів сайту, повинні бути описані максимально простою і зрозумілою мовою. Це ж стосується і Політики конфіденційності, і Умов надання послуг. Будь-які електронні листи, які ви відправляєте своїм клієнтам або потенційним клієнтам, повинні містити можливість відписатися від розсилки і пояснення, чому вони отримали ваш лист. Згідно з вимогами Європейського союзу, у клієнтів має бути повне право знати про цілі, методи і обсяги оброблюваних вами персональних даних.

2. Адекватність і релевантність.  GDPR спрямований на мінімізацію кількості особистої інформації клієнтів, що зберігається у вас , яка не має відношення до діяльності компанії. Ви повинні збирати тільки ті дані, які плануєте використовувати для email-маркетингу і холодних листів, і не зберігати непотрібну інформацію і пасивні контакти.

3. Точність і доступність.  Зібрані вами персональні дані повинні бути точними і актуальними. Щоб забезпечити це, ви повинні надати клієнтам можливість змінювати свою особисту інформацію, коли вони того побажають. Клієнти також повинні мати можливість запитувати інформацію про те, які дані обробляє ваша компанія, і можливість скористатися правом на забуття..

4. Обмеження терміну зберігання. Ви не повинні зберігати особисті дані довше, ніж це необхідно для цілей обробки. У всякому разі, перевіряючі поки не встановили тимчасові рамки для зберігання інформації. Тому цей принцип слід розглядати в контексті «права на забуття».

5. Цілісність і конфіденційність.   Ви не маєте права передавати або продавати особисті дані клієнтів, інших людей або компаній без згоди на те власника даних. Кожна компанія несе відповідальність за свої бази даних і зобов'язана забезпечити їх безпеку.

Що таке персональні дані

Термін «персональні дані» визначається законом як «будь-яка інформація, що відноситься до живого, ідентифікованого або ідентифікованій фізичній особі». Дані положення застосовуються до всіх державних органів, які зберігають і відстежують дані будь-якого громадянина ЄС.

Таким чином, регламент GDPR стосується вас, якщо:

  • Ваші клієнти і потенційні клієнти — громадяни Європейського Союзу,

  • Одержувачі вашої email розсилки знаходяться в ЄС,

  • Ваша база даних для холодного маркетингу включає в себе особисті дані жителів ЄС.

Не має значення, створювався ваш сайт на WordPress, Magento, WooCommerce, або ж використовувалася ваша власна CMS. GDPR стосується виключно ваших користувачів і безпеки їх особистих даних.

Згідно GDPR, до особистих даних відносяться:

  • ім'я;

  • ідентифікаційний номер;

  • дані про місцезнаходження;

  • ідентифікатори файлів cookie;

  • онлайн-ідентифікатори;

  • біометричні дані;

  • дохід;

  • фактори, що мають відношення до «фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності суб'єкта, за якими можна ідентифікувати особу.

Великі штрафи GDPR

Положення GDPR багато обговорюються через великий розмір штрафів за їх недотримання. Найбільший може становити до 20 млн. Євро або до 4% від річного обороту вашої компанії за попередній фінансовий рік (в залежності від того, що більше). Тому великий ecommerce вважав за краще витратити більше мільйона доларів на те, щоб привести бізнес у відповідність GDPR.

Однак кожна ситуація розглядається індивідуально, тому і розмір штрафу буде призначатися для кожного окремого випадку свій. Як правило, компанія може бути оштрафована за двома основними причинами: через масовий витік особистих даних або внаслідок порушення їх конфіденційності.

Фахівці із захисту даних

Обов'язковий крок, з якого слід почати підготовку до GDPR (якщо ви ще цього не зробили). У вашій ecommerce компанії повинен бути юрист / соліситор, який добре розбирається у всіх тонкощах GDPR і буде відповідати за захист даних ваших клієнтів. Якщо ви зберігаєте і обробляєте конфіденційні дані з високим ризиком розкриття інформації або побоюєтеся масового порушення даних, у вашому штаті повинен бути співробітник з питань захисту даних. .

У числі обов'язків такого фахівця - відповідати на скарги клієнтів і стежити за тим, щоб ваш сайт відповідав вимогам GDPR, особливо якщо ваша компанія тестує нові рішення, форми, маркетингові листи, розробляє новий інтерфейс або додаток для сайту.

Крім того, фахівець із захисту даних зобов'язаний повідомляти ICO про загрози витоку даних протягом 72 годин, будь то системний збій, хакерська атака або будь-яка інша проблема, яка може призвести до серйозних наслідків для безпеки ваших клієнтів.

Чи корисний GDPR для ecommerce?

Загальний регламент щодо захисту даних може, і неодмінно буде корисний для представників сектора онлайн-торгівлі, оскільки завдяки йому виросте довіра і лояльність клієнтів, а також покращиться довіра до процесу оплати. Саме тому слід інформувати клієнтів про те, що ви подбаєте про збереження їх персональних даних найкращим чином.

Відповідність ecommerce-проектів нормам GDPR

Спочатку регламент GDPR містить величезну кількість вимог і деталей. Але в цей контрольний список ми постаралися включити найбільш важливі деталі. Пройдіться по списку нижче і перевірте, чи не пропустили ви що-небудь з того, що необхідно реалізувати на сайті, в email розсилках, контактних формах і формах згоди.

1. Спеціаліст з питань захисту даних

Будучи оброблювачем персональних даних, для роботи з конфіденційною інформацією ви взяли в штат фахівця / інспектора з питань захисту інформації.

2. Чекліст для форми на сайті

  • Дії, на які ви запитуєте згоду користувача, описані простою і зрозумілою мовою, так щоб ваші клієнти могли легко зрозуміти, які дані, яким чином обробляються, і на що саме вони дають згоду.

  • Ваші форми згоди користувача на обробку даних дають чітку, однозначну інформацію. Вони не містять попередньо зазначених полів і не мають на увазі мовчазної згоди в будь-якій іншій формі.

  • Кнопка з позитивним варіантом відповіді не виділена іншим кольором.

  • Форма помітна на сайті і відділена від розділу «Умови та положення».

  • У нижній частині форми вказані назва вашої компанії і всіх третіх сторін.

  • Ви пояснили, яким чином ваші клієнти можуть відкликати свою згоду.

  • Ви пояснили, яким чином ваші клієнти можуть відкликати свою згоду.

  • Якщо ви припускаєте або знаєте, що у відвідувачів сайту є діти, ваша форма згоди повинна містити підтвердження віку і запит на згоду батьків..

Тут ви знайдете кілька адаптованих до GDPR шаблонів форм згоди на обробку персональних даних. Щоб отримати більш детальну інформацію про вимоги до вмісту таких форм, ознайомтеся з розробленим в Великобританії керівництвом по їх приведенню у відповідність GDPR.

3. Чекліст на відповідність GDPR:

  • Ви переглянули текст умов використання та політики конфіденційності. І ви впевнені, що вони складені зрозуміло для ваших клієнтів. Політика конфіденційності описує те, як обробляються призначені для користувача дані і наводить список сервісів третіх сторін, які ви використовуєте для обробки інформації про користувачів.

  • На вашому сайті зазначено, яким чином клієнти можуть запросити інформацію, яку ви зберігаєте, змінити або видалити свої дані з сайту.

  • Ви додали інструкцію, як ваші клієнти можуть повідомити вам про порушення будь-яких положень GDPR, які зачіпають їх інтереси.

  • Ви вказали, що ви не караєте своїх клієнтів за зняття їх згоди.

  • У політиці конфіденційності адреси e-mail уповноваженого з питань захисту даних (DPO).

  • Ви розмістили посилання на Політику конфіденційності на видному місці в футере сайту.

4. Чекліст по управління призначеним для користувача угодою

  • Ви ведете облік того, коли, де і яким чином ви отримали згоду кожного з ваших клієнтів.

  • Ви ведете облік точної інформації, яку надають ваші клієнти.

  • Ви склали розклад регулярних перевірок статусу клієнта, обробки і цілі обробки даних.

  • Ви встановили частоту оновлення призначених для користувача даних.

Переконайтеся, що ви не відправляєте персональні дані своїх клієнтів в Google Analytics на рівні коду - список включає адреси електронної пошти, імена, ідентифікатори користувачів, дані про місце розташування, ідентифікатори транзакцій і IP-адреси відвідувачів. Прочитайте цю статтю Google, щоб дізнатися більше.

На жаль, користувачі звикли давати свою згоду на більшість умов. Тому ми рекомендуємо створити ще одне, додаткове спливаюче вікно, щоб переконатися, що ваші клієнти розуміють, які дані вони надають.

Оцінка ризиків

Команда фахівців із захисту даних повинна підготувати документ, в якому буде вказано, які конкретно дані збирає компанія, як і для чого обробляється отримана інформація.

Ви провели аналіз ризиків, знайшли потенційні слабкі місця і продумали дії на випадок, якщо щось піде не так.

Цей документ не обов'язково завантажувати на сайт, але це може бути сильною законної основою для ваших дій на випадок, якщо ви отримаєте скаргу.

Підведемо підсумки

Сьогодні GDPR як і раніше знаходиться на ранній стадії і буде розвиватися з часом. Проте, відповідати регламенту вже зараз - звичайна ввічливість по відношенню до клієнтів з точки зору глобальної тенденції до прозорості бізнесу. Зрозуміло, на це потрібен час і ресурси, які, як ми сподіваємося, у вас вже є. Але наполеглива праця і спроби стати краще допоможуть вам знайти довіру клієнтів.

1. Дозвольте клієнтам самим вирішувати, яку особисту інформацію вони можуть залишити.

2. Допоможіть їм дізнатися, які дані і з якою метою обробляються.

3. Будь ласка, повідомте клієнтам, як вони можуть запросити персональну інформацію, відкликати згоду або відмовитися від підписки.

4. Пишіть для аудиторії простою мовою - немає необхідності просити копірайтерів використовувати тисячі непотрібних юридичних термінів, в яких ніхто не розбирається.

5. Перепроектуйте форми для згоди на збір і обробку даних.

6. Ретельно таргетуйте розсилки для цільової аудиторії.

7. Складіть список обов'язків співробітників із захисту даних і заведіть для них окрему адресу електронної пошти.

8. Ведіть облік будь-якої інформації користувачів, яку збираєте і обробляєте.

9. Поновіть ваші умови використання та політику конфіденційності.

 

Якщо ви хочете працювати з нами,
давайте почнемо з обговорення завдання

Отримати консультацію

Отримуйте новини інтернет-маркетингу

Тільки корисна інформація від експертів Promodo

Якщо ви хочете працювати з нами,
давайте почнемо з обговорення завдання

Отримати консультацію

Отримуйте новини інтернет-маркетингу