Váš web a GDPR
Všeobecné nariadenie o ochrane údajov (GDPR) je európsky zákon o ochrane súkromia, ktorý nadobudol účinnosť 25. mája 2018.
GDPR sa netýka iba európskych spoločností. Nové nariadenie sa vzťahuje na každú spoločnosť, ktorá môže potenciálne spracovávať údaje o občanoch EÚ, čo znamená, že na každú spoločnosť na svete bez ohľadu na jej umiestnenie sa vzťahuje GDPR. Bez ohľadu na to, kde vaša spoločnosť uchováva alebo spracúva osobné údaje, musí byť v súlade s pokynmi GDPR.
GDPR poskytuje ľuďom rozsiahlejšiu kontrolu nad ich osobnými údajmi. Nový zákon konkrétne dáva ľuďom právo na prístup, opravu, vymazanie a obmedzenie spracovania spotrebiteľských údajov a tiež stanovuje prísne pokyny pre súhlas používateľov.
Ak zhromažďujete alebo ukladáte akékoľvek informácie, ktoré možno prepojiť s jednotlivcom, považujú sa to za osobné údaje. Môžete si prečítať celé znenie nariadenia GDPR, aby ste sa dozvedeli viac.
Niektoré podniky môžu na zaistenie súladu s nariadením GDPR potrebovať viac prípravy ako iné. Táto príručka poskytuje všeobecný prehľad o súlade s GDPR a uvádza najbežnejšie požiadavky.
Ako sa pripraviť na GDPR
Váš web zhromažďuje a spracúva osobné údaje v súlade s predpismi. Je však vašou zodpovednosťou dodržiavať požiadavky GDPR, keď zhromažďujete a spracúvate osobné údaje od svojich zákazníkov v EÚ.
Čo sú osobné údaje
Osobné údaje sú definované ako akékoľvek informácie, ktoré možno použiť na priamu alebo nepriamu identifikáciu osoby. Patrí sem meno, fotografia, e‑mailová adresa, IP adresa, bankové údaje, príspevky na webových stránkach sociálnych sietí, lekárske informácie a dokonca aj náhodné kódy, ktoré sú používateľom prideľované na zhromažďovanie analýz, vykonávanie testov A / B a ďalšie.
GDPR významne rozširuje definíciu osobných údajov tak, aby zahŕňala všetky informácie, ktoré je možné spojiť so známou osobou. Príklady zahŕňajú históriu prehliadača a aktivitu na sociálnych sieťach. Prijíma tiež osobitné ustanovenia pre informácie týkajúce sa fyzického a duševného zdravia jednotlivca, ako sú genetické a biometrické údaje.
Prečo je dôležitý súhlas používateľa?
Môžem mať váš súhlas?
Základným kameňom GDPR je súhlas. Potrebovali ste súhlas pred GDPR, ale bolo to oveľa jednoduchšie získať ho. V súvislosti s novými predpismi už nie je získanie súhlasu istá. GDPR jasne hovorí, že pokiaľ nejde o oprávnený záujem, prinútenie klientov, aby povedali áno, je potrebné urobiť výslovným spôsobom, jednoduchým jazykom a objasniť dôvody, pre ktoré sa vyžaduje súhlas. Používateľ musí presne vedieť, na čo a kto bude používať jeho osobné údaje.
Uplatňovanie najprísnejších výkladov s využitím osobných údajov občana EÚ si vyžaduje, aby bol takýto súhlas slobodný, konkrétny, informovaný a jednoznačný. Vyžaduje si to pozitívny prejav súhlasu – nemožno to vyvodiť z ticha, vopred začiarknutých políčok alebo nečinnosti.
Oprávnený záujem sa nerovná získaniu súhlasu, pretože získané údaje nemožno použiť na iné ako uvedené účely.
Po získaní súhlasu ho musíte zaznamenať a strážiť a na požiadanie byť pripravení odovzdať ho.
Nástroj Sitebuilder vám pomáha zhromažďovať súhlas používateľa, vyvíjať nový formulár žiadosti o súhlas, pridávať do formulárov jasné políčka so žiadosťami o súhlas, pripomínať vám dôsledky vopred začiarknutých políčok a nabádať vás k aktualizácii zmluvných podmienok.
Musíte získať súhlas so spracovaním osobných údajov vašich zákazníkov. Pripravte si jasné pravidlá ochrany osobných údajov, v ktorých uvediete, prečo zhromažďujete osobné údaje, vysvetlite, ktoré údaje sa uchovávajú, a ponúknite právo na odvolanie súhlasu.
Poskytnúť zákazníkom právo na prístup k ich údajom
To znamená, že musíte zákazníkom poskytnúť kópiu ich osobných údajov v ľahko čitateľnom a prenosnom formáte. K osobným údajom zákazníkov máte prístup priamo vo vašom ovládacom paneli. Mali by ste tiež vziať do úvahy všetky služby tretích strán, ktoré používate a ktoré môžu mať prístup k osobným údajom vašich zákazníkov.
Poskytnúť zákazníkom právo na odstránenie, úpravu a obmedzenie určitých použití údajov
Základné požiadavky (napr. Zákazník vás požiada o odstránenie objednávky) môžete rýchlo vybaviť na ovládacom paneli. Opäť si pamätajte všetky služby tretích strán, ktoré môžu mať prístup k týmto údajom.
Odporúčame ukladať údaje digitálne. Šifrované údaje chránené heslom s minimálnou odporúčanou silou – alebo chránené pomocou generátora hesiel – ponúkajú bezpečnú možnosť v porovnaní s tlačenými faktúrami.
Oznámenia o porušení ochrany údajov
Váš internetový obchod funguje ako spracovateľ údajov, zatiaľ čo naši obchodníci (vy) pôsobia ako správcovia údajov. Ak na vašom webe dochádza k porušeniu údajov akéhokoľvek druhu, môže sa od vás vyžadovať upozornenie dotknutých zákazníkov. Podľa nariadenia GDPR musí byť oznámenie odoslané do 72 hodín od okamihu, keď sa o porušení dozviete. Spracovatelia údajov sú tiež povinní informovať používateľov, ako aj správcov údajov, ihneď potom, ako sa dozvedia o porušení ochrany údajov.
Zmeny vo vašom tíme
Podľa nových právnych predpisov musíte vymenovať úradníka pre ochranu údajov (DPO). To je požiadavka, ak máte v úmysle pravidelne spracúvať osobné údaje. DPO bude ústrednou osobou, ktorá spoločnosti radí s dodržiavaním GDPR, a bude tiež hlavným kontaktom pre orgány dohľadu.
Trénujte svoj tím. Poskytnutie primeraného školenia osobám s prístupom k údajom o súvislostiach a dôsledkoch GDPR by malo pomôcť zabrániť možnému porušeniu, takže tento bod nepreskočte. Ochrana údajov môže byť dosť nudná a suchá téma, ale strávenie len malého množstva času na zabezpečenie informovanosti zamestnancov bude čas strávený dobre.
Niektoré dôležité body na zapamätanie:
Webové stránky potrebujú certifikáty SSL (tu sa môžete dočítať čo je to SSL a o rozdieloch medzi HTTP: // a HTTPS: //)
Váš web musí mať pravidlá ochrany súkromia
Predplatiteľom alebo klientom musí existovať spôsob odstránenia ich údajov.
Predplatiteľ musí byť tiež schopný požiadať o svoje údaje
Ak sa zaregistrujete na bezplatné stiahnutie, musíte dať jasný súhlas, že tiež súhlasia s pridaním do všeobecného zoznamu adries.
Mali by ste skontrolovať svoj súčasný e‑mailový zoznam pre predplatiteľov z krajín EÚ a požiadať ich o súhlas s tým, či by chceli zostať na vašom zozname, čo je tiež vhodný čas na opätovné zaslanie vašich pravidiel ochrany osobných údajov.