Kuidas oma veebisaidil samm-sammult GDPR-i järgida

Tänapäeval küsivad kasutajad endalt üha enam mida ettevõtted teie isikuandmetega teevadSee pole ainult juriidiline küsimus: privaatsusest on saanud usalduse loomisel võtmetegur ja iga väärtusliku digiprojekti kvaliteedikriteerium. Veebisaidi, isegi väikese, haldamisel on teil suurem vastutus, kui esmapilgul tundub.

Mõtle hetkeks kõigele, mida sa oma saidil kasutad: kontaktvormid, analüütika, küpsised, e-posti turundustööriistad, CRM äri jaoksmakseväravad...Kõik need elemendid koguvad isikuandmeid (nimi, e-posti aadress, IP-aadress, sirvimisharjumused jne), seega mõjutab isikuandmete kaitse üldmäärus (GDPR) teid otseselt. Veebisaidi kohandamine ei tähenda ainult üldise teate lisamist ja linnukese jätmist, vaid see hõlmab tervikliku vastavussüsteemi rakendamist.

Mis on GDPR ja miks teie veebisait ei saa seda ignoreerida

Isikuandmete kaitse üldmäärus on Euroopa määrus, mis See reguleerib isikuandmete kogumist, kasutamist, säilitamist ja jagamist. Euroopa Liidus viibivate inimeste kohta. See jõustus 2016. aastal, seda hakati kohaldama 2018. aasta mais ja see asendas 1995. aasta vana direktiivi, et kohaneda praeguse digimaailmaga.

See kehtib iga ettevõtte, kutseala või üksuse kohta, mis töödelda ELis inimeste andmeidisegi kui teie peakontor asub väljaspool Euroopat. Teisisõnu, kui müüte tooteid või teenuseid Euroopa kasutajatele või jälgite nende veebikäitumist (küpsised, reklaam jne), kuulute isikuandmete kaitse üldmääruse (GDPR) alla isegi siis, kui teie ettevõte asub teisel mandril.

Lisaks ei ole GDPR iseseisev. Hispaanias täiendab seda LOPDGDD, LSSI ja AEPD kriteeriumidSee muudab regulatiivse raamistiku nõudlikumaks ja spetsiifilisemaks. See tähendab, et mis tahes veebisaidilt kopeeritud tekstist ja mitmetähenduslikest küpsiste ribareklaamidest ei piisa; seadus nõuab andmetöötluse tõelist läbipaistvust ja jälgitavust.

Oluline on meeles pidada karistussüsteemi: trahvid nõuete rikkumise eest võivad ulatuda ... 20 miljonit eurot ehk 4% ülemaailmsest aastakäibestkumb iganes enne saabub. Lisaks karistusele võib privaatsusintsident brändi maine mõne päevaga hävitada.

Seega on isikuandmete kaitse üldmääruse järgimine nii juriidiline kohustus kui ka võimalus enesekindluse ja professionaalse kuvandi tugevdamiseks teie digitaalse projekti. Ettevõtted, kes suhtuvad sellesse tõsiselt, on lõpuks konkurentsivõimelisemad, kuna nad haldavad teavet paremini ja reageerivad intsidentidele kiiremini.

GDPR-i peamised kontseptsioonid ja arvud, mida peaksite teadma

Veebisaidi korrektseks kohandamiseks peate kõigepealt GDPR-i põhisõnavara mõistminesest see kordub kõigis dokumentides ja otsustes, mida peate tegema.

El huvitatud See viitab isikule, kellele andmed kuuluvad, st teie kasutaja, klient, tellija või töötaja. isikuandmete See hõlmab igasugust teavet, mis otseselt või kaudselt tuvastab või võib kedagi tuvastada: nimi, aadress, e-posti aadress, IP-aadress, geolokatsioon, finantsandmed, terviseandmed, foto jne.

El vastutav töötleja See on see, kes otsustab, milleks neid andmeid kasutatakse ja kuidas neid töödeldakse. Ettevõtte veebisaidil või e-kaubanduse saidil on see tavaliselt ettevõte ise või saidi omanik. ravi eest vastutav isik on kolmas osapool, kes töötleb andmeid andmetöötleja nimel, näiteks majutusteenuse pakkuja, e-posti turundusteenus, pilvepõhine CRM-süsteem või kampaaniaid haldav agentuur.

El ravi See hõlmab kõiki andmetega seotud toiminguid: nende kogumist vormi kaudu, andmebaasi salvestamist, nendega tutvumist, muutmist, edastamist teisele pakkujale, analüüsimist, kustutamist jne. Peaaegu kõik, mida teabega tehakse, kuulub selle mõiste alla ja seetõttu kuulub see isikuandmete kaitse üldmääruse (GDPR) alla.

Määrused määratlevad ka eriliigid andmedEriti tundlikud andmed hõlmavad rassilist või etnilist päritolu, poliitilisi vaateid, usutunnistust, tervist, biomeetrilisi andmeid, seksuaalset sättumust või süüdimõistvate kohtuotsustega seotud andmeid. Selliste andmete töötlemine nõuab täiendavaid kaitsemeetmeid, selgesõnalist nõusolekut ja paljudel juhtudel väga spetsiifilisi õiguslikke aluseid.

GDPR-i põhimõtted, mis peaksid teie veebisaiti juhtima

GDPR-i tuum koosneb seitsmest põhimõttest, mis määratlevad, kuidas kõiki isikuandmeid tuleb hallata. Teie veebisait peab neid põhimõtteid järgima alates disainifaasist ja kogu andmete elutsükli vältel.

Põhimõte seaduslikkus, lojaalsus ja läbipaistvus See nõuab, et igal töötlemistoimingul oleks selge õiguslik alus (nõusolek, leping, juriidiline kohustus, õigustatud huvi jne) ning et kasutaja mõistaks selgelt ja arusaadavalt, mida tema andmetega tehakse. Keerulised tekstid, millest keegi aru ei saa, või varjatud eesmärgid on vastuvõetamatud.

Põhimõte eesmärgi piiramine See sätestab, et võite andmeid kasutada ainult teie poolt deklareeritud eesmärkidel. Kui kogute e-posti aadressi hinnapakkumise saatmiseks, ei saa te seda lihtsalt reklaami saatmiseks kasutada, kui te pole seda selgitanud ja lubanud.

La andmete minimeerimine See tähendab, et küsida tuleb ainult seda, mis on ettenähtud eesmärgi saavutamiseks hädavajalik. Kui küsite kontaktvormis ebavajalikke andmeid (näiteks isikukoodi ilma mõistliku põhjuseta), võite seda põhimõtet rikkuda.

Andmed peavad olema täpne ja ajakohaneKui säilitate aegunud teavet, mis võib kellelegi kahju tekitada, peate selle parandama või kustutama. Teisest küljest kehtib põhimõte, et säilitusaja piiramine See nõuab andmete säilitamist ainult nii kaua, kui on eesmärgi saavutamiseks vajalik, ning seejärel nende kustutamist või anonüümseks muutmist.

La terviklikkus ja konfidentsiaalsus See hõlmab tehnilisi ja organisatsioonilisi turvameetmeid: pilvekrüptiminevarukoopiad, juurdepääsu kontroll, töötajate koolitus, paroolide haldamine jne. Lõpuks, ennetav vastutus See tähendab, et vastavusest üksi ei piisa; seda tuleb tõendada dokumentide, poliitikate ja tõenditega.

Kasutajaõigused: mida teie veebisait peab lubama

GDPR tugevdab ja laiendab üksikisikute õigused oma andmete üleIga huviline peaks saama Kasutage oma õigusi hõlpsalt ja saage tasuta vastus. maksimaalselt ühe kuu jooksul.

El õigus teabele See nõuab, et andmete kogumise ajal selgitaksite selgelt, kes vastutab, milleks andmeid kasutatakse, kui kaua neid säilitatakse, kes neid saab ja kuidas kasutajad saavad muid õigusi teostada. See teave esitatakse tavaliselt kahel tasandil: lühike kiht vormi kõrval ja täielikum kiht privaatsuspoliitikas.

El juurdepääsuõigus See võimaldab kasutajal teada, kas te töötlete tema andmeid, ja kui jah, siis saada koopia ja töötlemise üksikasjad. parandamise õigus See võimaldab teil parandada salvestatud ebatäpseid või mittetäielikke andmeid.

El õigus kustutamiseleÕigus olla unustatud, tuntud ka kui õigus kustutamisele, võimaldab üksikisikutel teatud asjaoludel taotleda oma andmete kustutamist: kui need pole enam vajalikud, nõusolek on tagasi võetud või töötlemine on ebaseaduslik jne. See ei ole absoluutne, kuna teatud teabe säilitamiseks võib olla seaduslik kohustus.

Kasutaja saab ka harjutada õigus töötlemise piiramiselenii et andmeid ainult salvestatakse, kuid neid ei kasutata konkreetsetel eesmärkidel, ja õigus vastuväidete esitamiseks, mis on otseturunduses väga oluline, mis nõuab, et me lõpetaksime teie andmete töötlemise sel eesmärgil, kui te seda taotlete.

Lõpuks õigus andmete teisaldatavus See võimaldab huvitatud isikul saada oma andmed struktureeritud ja üldkasutatavas elektroonilises vormingus või lasta need edastada otse teisele vastutavale töötlejale, kui töötlemine põhineb nõusolekul või lepingul ja toimub automatiseeritud vahendite abil.

Kehtiv nõusolek isikuandmete kaitse üldmääruse alusel: hüvasti eelnevalt märgitud kastikestega

Paljudel veebisaitidel on nõusolek peamine õiguslik alus, kuid isikuandmete kaitse üldmäärus seab selle kehtivuseks väga spetsiifilised tingimused. See peab olema vaba, konkreetne, teadlik ja üheselt mõistetav, väljendatuna selge jaatava tegevuse kaudu.

See tähendab, et vaikiv nõusolek, näiteks „kui jätkate sirvimist, nõustute…“, ei ole kehtiv, samuti mitte eelnevalt märgistatud kastid või nõusoleku peitmine üldise teksti sisse. Kasutaja peab vabatahtlikult kasti märkima või selget toimingut tegema mis näitab, et ta on nõus.

Lisaks peab nõusolek olema granuleeritudTe ei saa ühte välja koondada mitut erinevat eesmärki. Näiteks peate selgelt eristama oma andmete töötlemisega nõustumise päringule vastamiseks ja turunduskommunikatsiooni saamisega nõustumise.

Sa pead suutma esitage tõend selle kohta, millal ja kuidas te selle nõusoleku saite...juhul kui ametiasutused või kasutaja ise seda nõuavad. Ja nii nagu see on antud, peab see olema igal ajal hõlpsasti tühistatav ilma karistuste või keeruliste protseduurideta.

Mida peaks teie veebisait sisaldama, et see vastaks GDPR-ile

Liikudes edasi praktilise poole juurde, hõlmab veebisaidi kohandamine GDPR-iga mitme nähtava elemendi ülevaatamist ja kohandamist: juriidilised tekstid, küpsised, vormid, e-posti turundus ja sisemised protsessidAsi pole kogu saidi, vaid pigem nende võtmevaldkondade ümbertegemises.

Esiteks vajate rida Jaluse kaudu ligipääsetavad juriidilised lehedÕiguslik teade, privaatsuspoliitika, küpsiste kasutamise põhimõtted ja kui müüte veebis, siis ka tingimused. Igal neist on erinev eesmärk ja need peaksid olema kohandatud teie konkreetse ettevõtte vajadustele.

El juriidiline teade Tuvastage veebisaidi omanik (nimi või ettevõtte nimi, maksukohustuslase number, kontaktandmed), märkige sisu intellektuaalomand, kohaldatavad eeskirjad ja vajaduse korral liikmelisus kutseliitudes, ettevõtte registreerimisnumber jne.

La Privaatsus See on andmekaitse peamine dokument. See peab selgitama, milliseid andmeid te kogute, mis eesmärgil, millisel õiguslikul alusel, kui kaua, kas toimub andmeedastus või rahvusvaheline avalikustamine, milliseid turvameetmeid te rakendate ja kuidas andmesubjektid saavad oma õigusi teostada.

La küpsised poliitika See peab üksikasjalikult kirjeldama, millised küpsised on installitud, nende eesmärki, kas need on esimese või kolmanda osapoole küpsised, nende kestust ning kuidas neid konfigureerida või eemaldada. See peab olema lingitud ribareklaami või halduspaneeliga, mis võimaldab tõeliselt teadlikku nõusolekut.

Kui teil on e-kaubanduse ettevõte või pakute internetimakseteenuseid, siis lepingutingimused Nad peavad teavitama hindadest, maksudest, saatmiskuludest, ostuprotsessist, makseviisidest, tarneaegadest, taganemisõigusest, tagastamisest, garantiidest ja muudest tarbijakaitse eeskirjadega nõutavatest üksikasjadest.

Küpsised, ribareklaamid ja eelnev blokeerimine: mida eeskirjad nõuavad

Üks valdkondi, kus veebisaidid kõige sagedamini ebaõnnestuvad, on küpsiste haldamine. Tüüpiline teade „kui jätkate sirvimist, nõustute küpsistega” ei kehti enam. Hispaania andmekaitseamet (AEPD) ja Euroopa õigusaktid nõuavad... detailne, eelneva ja tühistatava nõusoleku süsteem.

Sa pead näitama selge ja nähtav küpsiste ribareklaam mis selgitab lihtsalt, mida te küpsiste jaoks kasutate, milleks neid kasutate ning mis pakub reaalseid võimalusi nende vastuvõtmiseks või tagasilükkamiseks kategooriate kaupa (tehnilised, analüütilised, isikupärastamise, reklaami jms).

Enne kasutaja aktsepteerimist on kohustuslik Ärge aktiveerige mitte-tehnilisi küpsiseidTeisisõnu, Google Analyticsi, reklaamipiksleid, vestluse jälgimise tööriistu jne ei tohiks laadida enne, kui on toimunud positiivne tegevus.

Lisaks esialgsele bännerile peab olema ka konfiguratsioonipaneel kus kasutaja saab oma eelistusi muuta või nõusoleku igal ajal tagasi võtta. Samuti on oluline perioodiliselt üle vaadata veebisaidi poolt kasutatavad küpsised, sealhulgas kolmandate osapoolte pistikprogrammide ja teenuste sisestatud küpsised.

Kõige selle haldamiseks on sageli kasulik integreerida küpsiste süsteem Google Tag Manager või muud tööriistadnii et sildid aktiveeritakse ainult siis, kui kasutaja on iga kategooria jaoks oma heakskiidu andnud.

Veebivormid, tellimused ja uudiskirjad vastavalt isikuandmete kaitse üldmäärusele

Iga vorm teie veebisaidil on kriitiline vastavuspunkt. Olgu see siis kontaktvorm, hinnapakkumise taotlus, ürituse registreerimine või uudiskirja tellimus – need kõik peavad olema täidetud. Lisage põhiteave ja märkimata kinnitusruut.

Koos vormiga peate lühidalt märkima: kes vastutab, mis eesmärgil andmeid kogutakse, milline on õiguslik alus, kas toimub andmeedastus või kasutatakse väliseid tööriistu ja kuidas õigusi teostadaSealt saate lisateabe saamiseks lingida privaatsuspoliitikale.

Te ei tohiks küsida rohkem andmeid, kui konkreetse ülesande jaoks vaja on. Näiteks uudiskirja tellimuse jaoks piisab tavaliselt e-posti aadressist ja võib-olla ka isikupärastamiseks nimest. Heade vormide kujundamisel veebilehe loojadTurunduskommunikatsiooni aktsepteerimiseks eraldi märkeruudu lisamine on segaduse vältimiseks ülioluline.

E-posti turunduses peate saama selgesõnaline nõusolek uudiskirjade saatmisekseriti kui adressaadid on eraisikud. Lisaks peaksid kõik meilid sisaldama lihtsat tellimuse tühistamise võimalust ning soovitatav on jälgida tellimusi, tellimuse tühistamisi ja eelistuste muudatusi.

Kui teil oli tellijate nimekiri juba enne isikuandmete kaitse üldmäärust (GDPR), pidite selle võib-olla tegema. nõusolekut uuesti kinnitama nende kontaktide puhul, kelle volitused ei vastanud kehtivatele standarditele, kinnituskampaaniate kaudu.

Ravitegevuste ja sisedokumentatsiooni dokumentatsioon

Lisaks sellele, mida kasutaja näeb, nõuab GDPR, et te säilitaksite ravitegevuste sisemine register kus kirjeldate, milliseid andmeid te töötlete, mis eesmärkidel, millised rühmad on kaasatud, kellele neid edastatakse ja milliseid turvameetmeid te rakendate.

See registreerimine on tavaliselt kohustuslik enamiku ettevõtete ja füüsilisest isikust ettevõtjate jaoks, kes töötlevad andmeid regulaarselt. See aitab andmeid jälgida. selge infovoogude kaart organisatsiooni sees ja see on üks esimesi dokumente, mida järelevalveasutus võib kontrolli korral nõuda.

Lisaks sellele dokumendile on soovitatav dokumenteerida sisejulgeolekupoliitikad, õiguste teostamise protseduurid, andmetega seotud rikkumistele reageerimise protokollid ja koolitusdokumendid töötajate peal teostatud. Kõik see aitab näidata ennetavat vastutust.

Kui uus projekt või tehnoloogia kujutab endast suurt ohtu inimeste õigustele ja vabadustele (näiteks massiline jälgimine, keerukas profileerimine või tundlike andmete intensiivne kasutamine), peate läbi viima ... andmekaitse mõjuhinnang enne selle käivitamist.

Andmekaitseametnik, tarnijad ja rahvusvahelised edastused

Kõigil organisatsioonidel ei pea seda olema, kuid paljudel juhtudel on selle määramine kohustuslik. Andmekaitseametnik (DPO)See on oluline avaliku sektori asutuste või organitega suhtlemisel, kui jälgimine on ulatuslikult rutiinne ja süstemaatiline või kui tegeletakse ulatuslikult erikategooriate andmetega.

DPD on sõltumatu tegelane, kes teostab sisemist vastavuskontrolli, nõustab juriidiliste kohustuste osas, vaatab läbi mõjuhinnanguid ning tegutseb kontaktpunktina andmekaitseasutuse ja sidusrühmadega.See võib olla töötaja või teenuste osutamiseks palgatud väline spetsialist.

Paralleelselt peaksite üle vaatama kõik andmetöötlejatena tegutsevad tarnijad (majutus, pilvetööriistad, agentuurid, haldustarkvara jne) ja sõlmige nendega lepingud, mis reguleerivad selgelt konfidentsiaalsuse, turvalisuse ning andmete tagastamise või hävitamise kohustusi teenuse lõppemisel.

Kui mõni neist tarnijatest asub väljaspool Euroopa Majanduspiirkonda, peate veenduma, et see on olemas. kehtiv rahvusvaheline ülekandemehhanismEuroopa Komisjoni piisavusotsus, tüüptingimused, siduvad kontsernisiseste reeglid või ülejäänud juhtudel erandid, näiteks andmesubjekti selgesõnaline nõusolek.

Pidage meeles, et isikuandmete kaitse üldmääruse kohaselt vastutate teenusepakkujaga seotud rikkumise korral peamiselt teie kui andmetöötleja, seega Tööriistade ja partnerite valimisel hinnake hoolikalt riske. Oluline on vältida ebameeldivaid üllatusi.

Turvalisus, andmetega seotud rikkumised ja pidev läbivaatamise süsteem

GDPR ei ütle täpselt, milliseid tehnilisi meetmeid peate rakendama, kuid see nõuab nende vastuvõtmist. riskiga proportsionaalsed turvakontrollid: mitmefaktoriline autentiminetundliku teabe krüptimine, tugevad paroolipoliitikad, regulaarsed varukoopiad, juurdepääsu segmenteerimine, auditid ja testimine.

Isikuandmeid mõjutavate turvaintsidentide korral – volitamata juurdepääs, leke, kadumine või juhuslik hävimine – peab teil olema lünkade haldamise protokoll mis võimaldab teil analüüsida juhtunut, kahju piirata ja kõik toimunu registreerida. Konsulteerige ühega intsidendijärgsete peamiste toimingute kontrollnimekiri selle protokolli struktureerimiseks.

Kui lünk kujutab endast ohtu mõjutatud isikute õigustele ja vabadustele, peate te teavitama andmekaitseasutust hiljemalt 72 tunni jooksul niipea kui sellest teadlikuks saate. Ja kui risk on suur, peate sellest ka mõjutatud isikuid selgelt ja otse teavitama.

GDPR-i nõuetele vastavus ei ole ühekordne asi. See nõuab järelevalve- ja perioodilise auditeerimise süsteemVaadake tegevuslogi vähemalt kord aastas üle, ajakohastage poliitikaid protsesside või eeskirjade muutumisel, kontrollige turvameetmete tegelikku tõhusust ja vaadake üle tarnijatega sõlmitud lepingud.

Paljud organisatsioonid toetuvad spetsialiseeritud privaatsus- ja andmehalduslahendused Need tööriistad automatiseerivad andmete inventuuri, nõusolekute haldamist, andmesubjekti õiguste taotlustele vastamist ja vastavusaruannete koostamist. Need ei ole kohustuslikud, kuid aitavad aega kokku hoida ja vigu vähendada.

GDPR-ile vastava veebisaidi kujundamine hõlmab määruse mõistmist, töödeldavate andmete kindlakstegemist, töötlemistegevuste dokumenteerimist, tekstide ja vormide kohandamist, küpsiste ja kolmandate osapoolte tööriistade õiget konfigureerimist, asjakohaste lepingute sõlmimist teenusepakkujatega ning turva- ja pideva järelevalvesüsteemi haldamist; seda tehes kaitsete end mitte ainult trahvide eest, vaid tugevdate ka... stabiilne ja usalduslik suhe oma kasutajate ja klientidegakes tajuvad teie projekti tõsise, turvalise ja professionaalse keskkonnana, kus nende teave on tõeliselt kaitstud.