• Главная
    • /
  • Блог
    • /
  • Загальний регламент щодо захисту даних (GDPR): що потрібно знати російським онлайн-продавцям

Загальний регламент щодо захисту даних (GDPR): що потрібно знати російським онлайн-продавцям

  1. Як працює GDPR
  2. Що розуміють під особистими даними в GDPR?
  3. Як GDPR вплине на мій бізнес?
  4. Як відповідати GDPR
  5. Повідомте співробітникам про зміни
  6. Перевірте досконально, які дані ви збираєте
  7. Оновлення свою політику конфіденційності
  8. Отримайте явне згоду покупців на збір і обробку їх даних
  9. Дайте користувачам можливість отримувати доступ до своїх персональних даних, змінювати і видаляти їх
  10. Забезпечте безпеку даних
  11. Як Еквід підготувався до GDPR

25 травня 2018 року почав діяти Загальний регламент щодо захисту даних (Англ. General Data Protection Regulation, GDPR), новий закон про захист персональних даних всіх громадян Європейського союзу.

Навіть якщо ви продаєте тільки по Росії, не можна бути впевненим, що в ваш інтернет-магазин не потрапить громадянин Євросоюзу. Він вводить свій email при покупці або підписується на розсилку, і ви тут же потрапляєте під дію регламенту. Тим, хто не дотримується правил, загрожує штраф до 20 мільйонів євро або від 2 до 4% річного глобального доходу компанії.

Розповідаємо, що робити, щоб не було проблем з GDPR. Вимоги регламенту можуть змінюватися в залежності від бізнесу, якщо ви вже продаєте свої товари в Європу, проконсультуйтеся з юристом.

Як працює GDPR

Загальний регламент щодо захисту даних дає громадянам Європейського союзу право повністю контролювати дані, які збирають інтернет-магазини та інші онлайн-сервіси.

Тепер при зборі персональних даних європейців компанія зобов'язана отримати на це явне дозвіл від користувачів, надати інформацію про зібраних даних, виправити, видалити їх і обмежувати до них доступ на першу вимогу користувача.

Що розуміють під особистими даними в GDPR?

Будь-яка інформація, за допомогою якої можна безпосередньо або побічно ідентифікувати людину: ім'я, email, дата народження, стать, вік, місце проживання, IP-адреса. Якщо ви збираєте дані, які відносяться до особистої, професійної або громадської життя людини, ви повинні дотримуватися вимог GDPR.

Як GDPR вплине на мій бізнес?

Ви несете повну відповідальність за особисті дані громадян ЄС, які вони вам надають, а також зобов'язані забезпечити їм можливість контролювати те, як ця інформація використовується.

  • Ви повинні завжди отримувати згоду на збір будь-яких даних користувачів, для чого б вони вам не знадобилися: маркетинг, продажі, бухгалтерський облік і так далі.
  • Ви повинні забезпечити покупцям простий спосіб доступу, зміни і видалення інформації, якою вони з вами поділилися.
  • Ви (або ваш співробітник) стаєте відповідальні за зберігання даних, повідомлення інформації про витік даних і порушеннях GDPR в Міжнародну організацію по сертифікації.

Порушення GDPR може коштувати вам ціле стан (до 20 мільйонів євро або 4% від річного світового обороту компанії). З іншого боку, практика виконання рішень ЄС в РФ розвинена не дуже добре. Якщо Комісія ЄС накладе штраф на російську компанію, можливо до його реального виконання не дійде. Але на території ЄС робота буде утруднена.

Не можна бути впевненим на 100%, що жоден громадянин ЄС не зайде на ваш сайт або мобільний додаток. Тому варто подбати про такий спосіб збору та зберігання особистих даних, який задовольняє вимогу регламенту. Є ймовірність, що інші країни (в тому числі Росія) в майбутньому прийде до тих же правилам. В цьому випадку ви вже будете готові.

Як відповідати GDPR

Якщо у вас є клієнти з ЄС, проконсультуйтеся з юристом. Якщо таких клієнтів поки немає, але ви не хочете переживати через GDPR, виконайте наші рекомендації:

Повідомте співробітникам про зміни

Розішліть всім цю статтю і проінструктуйте кожного, хто якось пов'язаний з особистими даними.

Перевірте досконально, які дані ви збираєте

Ви повинні записати все до дрібниць: як дані покупців надходять в вашу організацію, як використовуються і як залишають її. Документуйте:

  • Які особисті дані ви зберігаєте (наприклад, імена, електронні адреси).
  • В якому форматі дані надходять до вас (наприклад, онлайн або на папері).
  • Звідки вони до вас надходять (наприклад, по телефону, через послуги третіх осіб, соцмережі).
  • Як ви їх зберігаєте (наприклад, в хмарному сховищі, користуєтеся послугами третіх осіб, в своєму офісі).
  • Як ви їх використовуєте (наприклад, як довго вони зберігаються, з ким ви ними діліться).

Це необхідно, щоб зрозуміти, хто несе відповідальність за дані покупців на кожній стадії. Ревізія інформації допоможе вам оцінити всі ризики, пов'язані з потоком даних.

Оновлення свою політику конфіденційності

регламент зобов'язує написати Політику конфіденційності простою і зрозумілою мовою і дати доступ до неї на вашому сайті.

Документ повинен бути обов'язково, а ось пояснити його сенс покупцям можна різними способами, наприклад, за допомогою відео:

25 травня 2018 року почав діяти Загальний регламент щодо захисту даних (Англ

Цікавий підхід до оновлення Політики конфіденційності від ASOS: відео , В якому пояснюється, які дані покупців використовуються і навіщо

Ось що потрібно написати в Політиці конфіденційності, щоб вона відповідала GDPR (розпишіть все якомога детальніше):

  • Які дані ви збираєте.
  • Чому вони вам потрібні (на законних підставах, наприклад, для інформованої згоди).
  • Як ви їх отримуєте (по телефону, по електронній пошті і так далі, вручну або автоматично).
  • Як довго ви будете їх зберігати (на законних підставах, наприклад, поки не закінчиться термін дії гарантії товару).
  • З ким ви ними діліться (включаючи будь-які сторонні служби).
  • Як користувачі можуть отримувати доступ до своїх даних, змінювати або видаляти їх.
  • Як вони можуть відмовитися від вашої рекламної розсилки.

Ви повинні повідомити покупців про всі зміни в Політиці конфіденційності (наприклад, за допомогою розсилки). Не забувайте повідомляти про оновлення документа і вашим співробітникам.

Отримайте явне згоду покупців на збір і обробку їх даних

На сторінці підписки на розсилку, в кошику розмістіть форму з галочкою. У ній повинно бути чітко прописано, на що користувачі дають згоду, і кому вони його дають.

Не можна ставити галочку в формі за замовчуванням, користувач повинен натиснути на неї сам.

Реєструючи поштову скриньку на Яндексі, користувач бачить, на що дає згоду, і повинен поставити цю галочку сам

Щоб додати форму згоди в Еквід-магазині, використовуйте інструкцію .

Дайте користувачам можливість отримувати доступ до своїх персональних даних, змінювати і видаляти їх

Відповідно до GDPR, ви повинні надати клієнтам копію їх особистих даних, які зберігайте. Це стосується не тільки інтернет-магазину, але і всіх сервісів, які ви використовуєте. Наприклад, сервіс поштової або смс розсилки.

Дані клієнтів свого Еквід-магазину ви можете знайти в панелі управління. У разі додаткових питань від користувачів Еквід надасть вам інформацію, яку зберігає.

У вас повинна бути можливість швидко виправити неточні дані клієнта і дозволити клієнтам оновлювати свої переваги обміну даними. Наприклад, відписатися від вашої розсилки повинна бути легко. Додайте посилання «Відмовитися» в кожне ваш лист. Оперативно реагуйте на прямі запити: якщо клієнт просить вас оновити своє прізвище або email у вашій поштовій базі, ви повинні зробити це протягом 30 днів.

Якщо користувач просить видалити його дані, по GDPR ви також зобов'язані це зробити.

Забезпечте безпеку даних

Дані користувачів, які зберігаються в Еквіде, захищені. Вам не потрібно про них турбуватися. Однак, є кілька запобіжних заходів:

  1. Ніколи не повідомляйте свій логін і пароль від Еквід-магазину іншим людям. Якщо вам потрібно відкрити комусь доступ, використовуйте акаунти співробітників . Всі паролі повинні бути надійними .
  2. Перш ніж додати Еквід-магазин на ваш сайт, переконайтеся, що він використовує протокол HTTPS і наскрізне шифрування даних.

Користуйтеся послугами лише тих сервісів і сторонніх додатків, які відповідають вимогам GDPR. Якщо вам стало відомо про витік персональних даних, повідомте про це своїм клієнтам протягом 72 годин.

Як Еквід підготувався до GDPR

Еквід збирає, зберігає, обробляє і ділиться особистими даними, грунтуючись на рекомендаціях GDPR. Для дотримання регламенти ми зробили наступне:

  • призначили інженера по захисту даних, він відповідає за безпеку інформації в Еквіде;
  • навчили команду, як працювати відповідно до GDPR;
  • навчили команду обробляти запити на надання даних користувачам і видалення даних;
  • розробили методи виявлення, дослідження та усунення проблем з персональними даними;
  • працюємо тільки з партнерами, які можуть забезпечити збереження даних.

***

Якщо ви використовуєте надійні хмарні сервіси, як Еквід, відповідати GDPR буде простіше. Тим, хто покладається на внутрішні сервери або замовне програмне забезпечення, доведеться самим організовувати весь процес зберігання даних.

Ми постаралися привести Еквід в повну відповідність GDPR, щоб допомогти вам підготувати свій інтернет-магазин до змін.

про автора

Анна Конєва - контент-маркетолог і редактор в Еквіде. Розбирається в інтернет-рекламі і статистикою. Любить великі міста, пасту і фільми Вуді Аллена.

Як GDPR вплине на мій бізнес?
Що розуміють під особистими даними в GDPR?
Як GDPR вплине на мій бізнес?