Интернет кардинально изменил то, как мы общаемся и как решаем повседневные задачи. Мы отправляем электронные письма, делимся документами, оплачиваем счета и покупаем товары, вводя свои личные данные онлайн не задумываясь. Но безопасно ли это?
Информация в интернете
Вы когда-нибудь замечали то, каким количеством личных данных вы поделились в интернете? Или что происходит с этой информацией? Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и сайтах, которые вы посетили, все эти данные хранятся в цифровом виде.
Компании сообщают вам, что они собирают такого рода информацию, чтобы усовершенствовать обслуживание, предлагать вам более целенаправленные и релевантные услуги, то есть предоставить вам лучший опыт работы с клиентами.
Но реально ли данные используются для этих целей? Этот вопрос задан Европейским Союзом еще много лет назад, но только в мае 2018 года было введено в действие европейское регулирование под названием GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент навсегда изменил способ сбора, хранения и использования вами в качестве бизнеса данных клиентов.
Итак, занимаетесь ли вы технологиями, путешествиями или розничной торговлей на международном уровне, мы в данной статье объясним, что такое GDPR и как это влияет на ваш бизнес. Также мы включим практические советы, как вы можете подготовиться к соблюдению GDPR.
По теме: что такое оборотные штрафы за утечку персональных данных
Что такое GDPR
GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент включен во все местные законы «о конфиденциальности» во всех регионах Евросоюза. Также регламент распространяется на все компании, продающие или хранящие личную информацию о гражданах в Европе.
Другими словами, введение GDPR — это введение законодательства, которое бы адекватно защищало персональные данные граждан ЕС. В соответствии с регламентом GDPR «персональные данные» — это любая информация, относящаяся к человеку, такая, как: имя, фотография, адрес электронной почты, банковские реквизиты, обновления на сайтах социальных сетей, сведения о местоположении, медицинская информация или IP-адрес компьютера.
8 основных прав GDPR
В соответствии с GDPR физические лица имеют:
- Право на доступ. Это означает, что физические лица имеют возможность запрашивать доступ к своим персональным данным и спрашивать, как их данные используются компанией после того, как они были собраны. Компания должна предоставлять копию собранных персональных данных бесплатно и в электронном формате по запросу физического лица.
- Право на удаление. Если потребители больше не являются клиентами или если они отзывают свое согласие у компании на использование своих персональных данных, то они имеют возможность на удаление своих данных.
- Право на перенос данных. Физические лица имеют возможность передавать личные данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
- Право быть проинформированными. Это распространяется на любой сбор данных компаниями, где частные лица должны быть проинформированы ещё до сбора самих данных. Потребители должны согласиться на сбор своих данных, и согласие оформляется в четком виде.
- Право на исправление информации. Это гарантирует то, что физические лица вправе обновлять личные данные, если они устарели, являются неполными или неверными.
- Право на ограничение обработки. Физические лица вправе потребовать, чтобы их данные не использовались для обработки. Их запись может оставаться в системе, но не использоваться.
- Право на возражение — это включает в себя возможность физических лиц на прекращение обработки их данных для любого рода маркетинга. Из этого правила нет исключений, и любая обработка должна быть прекращена, как только запрос получен.
- Право на получение уведомления. В случае утечки данных, которая ставит под угрозу персональные данные физического лица, последнее имеет право быть проинформированным в течение 72 часов с момента, когда компании впервые стало известно об утечке.
Влияние GDPR на бизнес
Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не входящие в ЕС, попадают под действие GDPR, если бизнес предлагает товары и/ или услуги гражданам ЕС.
Все организации и компании, работающие с персональными данными, должны назначать сотрудника/организацию по защите данных, которые должны отвечать за соблюдение GDPR.
Для тех компаний и организаций, которые не соблюдают требования GDPR, предусмотрены жесткие штрафы в размере до 4 % от годовой мировой выручки или 20 миллионов евро, в зависимости от того, что больше.
Подготовка к соблюдению GDPR
Первоначально необходимо, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Есть много вещей, которые компания должна сделать, чтобы соответствовать требованиям GDPR. Если вам еще предстоит сделать следующий шаг на пути к соблюдению требований, то вот лишь несколько моментов, которые помогут вам начать:
Шаг 1. Сопоставьте данные вашей компании
Составьте карту, откуда берутся все персональные данные в вашем бизнесе, и задокументируйте, что вы делаете с этими данными. Определите, где хранятся данные, кто способен получить к ним доступ и существуют ли какие-либо риски для данных.
Шаг 2. Определите, какие данные должны оставаться
Не храните больше информации, чем необходимо, и удаляйте любые данные, которые вы не используете. Если ваш бизнес собрал много данных без какой-либо реальной выгоды и смысла, то сейчас самое время подумать, какие данные важны для вашего бизнеса, а какие в обязательном порядке необходимо удалить.
Шаг 3. Примите меры безопасности
Разработайте и внедрите меры безопасности во всей вашей инфраструктуре, чтобы помочь предотвратить любые нарушения/утечку данных. Помимо принятия мер безопасности для защиты от утечки данных, это в том числе включает в себя принятие быстрых мер для уведомления отдельных лиц и органов власти в случае, если нарушение произойдет.
Обязательно свяжитесь со своими поставщиками/партнерами. Аутсорсинг не освобождает вас полностью от возможной ответственности, и вам необходимо убедиться, что у ваших партнеров тоже есть действующие меры безопасности.
Шаг 4. Ознакомьтесь с вашей документацией
В соответствии с GDPR физические лица должны дать явное согласие на сбор и обработку своих данных. Предварительно установленные флажки или подразумеваемое согласие не являются приемлемыми. Вам придется просмотреть все ваши заявления о конфиденциальности и раскрытии информации и при необходимости скорректировать их.
Шаг 5. Установите процедуру обработки персональных данных
Как мы упоминали ранее, необходимо иметь в виду, что физические лица имеют 8 основных прав в соответствии с GDPR.
Заключение
Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.
Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.
Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением.
