8 шагов, чтобы ваш веб-сайт соответствовал GDPR

Опубликовано: 2022-02-24

В 2018 году Европейский союз провел ряд реформ в области защиты данных, известных как Общий регламент по защите данных (GDPR). По сути, GDPR заменил все различные законы о защите данных единым набором правил, которые применяются во всех странах ЕС. Многим компаниям пришлось изменить свою политику, чтобы соответствовать GDPR, однако, несмотря на переходный период, в отношении новых правил все еще много путаницы.

Итак, что такое GDPR и как вы можете привести свой бизнес в соответствие с ним?

Оглавление

    В этой статье вы узнаете, как соответствовать требованиям GDPR, не читая сухую директиву ЕС о защите данных. Мы поможем вам понять, что такое GDPR, и расскажем, какие шаги необходимо предпринять, чтобы ваш сайт соответствовал GDPR.

    Что такое GDPR?

    GDPR — это директива о защите данных в Европейском союзе, предназначенная для защиты конфиденциальности граждан ЕС в Интернете. Он регулирует, как используются личные данные и какие типы данных веб-сайты могут собирать о вас. Несмотря на то, что GDPR является регламентом ЕС, он применяется ко всем веб-сайтам, к которым обращаются пользователи из ЕС. В результате веб-сайты и предприятия должны соответствовать GDPR или блокировать трафик ЕС.

    Имея это в виду, вот ключевые аспекты GDPR, которые могут повлиять на ваш бизнес:

    • Ваш сайт должен четко информировать посетителей о том, что их личные данные собираются.
    • Вы также должны раскрыть, как и почему их данные собираются и хранятся.
    • Если пользователи просят вас удалить собранные вами личные данные, в большинстве случаев вы должны выполнить запрос.
    • Пользователи также могут запросить копию всей личной информации, которую вы храните.
    • Если одним из основных видов деятельности вашего бизнеса является сбор и хранение личных данных, вам необходимо нанять сотрудника по защите данных.
    • Если ваш веб-сайт взломан и личная информация ваших пользователей просочилась, у вас есть 72 часа, чтобы сообщить о взломе.
    • Нарушение регламента GDPR может привести к штрафу в размере до 20 миллионов евро (~ 24 миллиона долларов США) или 4% от годового оборота вашей компании.

    Основная цель GDPR — защитить людей и их личную информацию от утечек данных. Теперь вопрос в том, какие типы данных подпадают под GDPR?

    Типы данных, регулируемые GDPR

    Независимо от того, создавали ли вы свой веб-сайт с нуля или использовали тему WordPress, ваш сайт собирает различные типы данных. Веб-сайты собирают информацию разными способами, в том числе с помощью аналитики, форм WordPress, форм подписки, контактных форм и маркетинговых кампаний по электронной почте.

    Короче говоря, все персональные данные подпадают под GDPR, но мы можем разделить их на следующие типы:

    • Генетическая и медицинская информация.
    • Биометрические данные.
    • Политические и/или религиозные взгляды.
    • Раса, этническая принадлежность и пол.
    • Веб-данные, такие как ваш IP-адрес и данные файлов cookie

    Пока ваш бизнес хранит какие-либо из вышеупомянутых данных граждан ЕС, ваш сайт должен соответствовать GDPR. Помните, что это применимо, даже если вы не имеете присутствия в границах Европейского Союза.

    Шаги, необходимые для соответствия GDPR

    Когда вы читаете о своих обязанностях владельца веб-сайта, вы можете почувствовать себя подавленным и решить, что проще заблокировать весь входящий трафик из ЕС. Не позволяйте GDPR обескуражить вас. Ниже приведены основные шаги, которые необходимо предпринять, чтобы соответствовать GDPR.

    1. Улучшите свою политику конфиденциальности

    Будьте прозрачными при сборе, хранении и обмене данными. Ваш веб-сайт должен содержать подробную политику конфиденциальности, в которой четко объясняются методы сбора данных, защита данных, использование файлов cookie и обмен данными. Хорошая политика конфиденциальности должна включать как минимум следующие пункты:

    • Вы не продаете личные данные своих пользователей.
    • Вы не делитесь личными данными, если закон не обязывает вас.
    • Типы данных, которые вы собираете.
    • Причины, по которым вы собираете данные и как вы их используете.
    • Как вы защищаете пользовательские данные.
    • Как ваши плагины собирают и используют данные.

    Будьте максимально ясны, используя простой язык, не оставляющий места для интерпретации, и вы получите четкую и прозрачную политику конфиденциальности.

    2. Создайте уведомление о сборе файлов cookie

    Согласно GDPR, файлы cookie считаются личными данными, поэтому перед использованием данных файлов cookie необходимо запросить согласие у своих пользователей. Разместите явное уведомление о сборе файлов cookie на своем веб-сайте и убедитесь, что вы разрешаете пользователям доступ к вашему веб-сайту, даже если они не дают согласия. Ваши пользователи также должны иметь простой способ отозвать свое согласие в любое время.

    3. Отображение уведомлений во всех формах веб-сайта

    Стандартной практикой является сбор некоторых пользовательских данных с помощью различных типов форм отправки. Если вы хотите продолжить сбор адресов электронной почты и других сведений, разместите уведомление о сборе данных. Не собирайте никаких данных до этого момента и без подтверждения пользователя. В противном случае ваш бизнес может получить крупный штраф за нарушение GDPR.

    Будьте максимально ясны в своих формулировках и предоставьте все важные детали о сборе данных. Вам также следует избегать использования предварительно отмеченных флажков. Пользователь должен понимать, что сбор данных является необязательным и требует его согласия.

    4. Убедитесь, что все плагины соответствуют GDPR

    Если вы используете сторонние плагины для сбора данных, например Google Analytics, вам необходимо сделать данные анонимными. Это может быть сложно сделать вручную, но вы можете найти плагины, совместимые с GDPR, которые справятся с этим процессом за вас. Просто найдите инструмент с настройками соответствия GDPR.

    5. Используйте двойную подписку

    GDPR не делает двойное согласие обязательным, но настоятельно рекомендуется его использовать. Двойное согласие означает, что вы дважды просите пользователя подтвердить, что он дает согласие на сбор данных. Это особенно важно для подписки на список рассылки.

    Чтобы добавить двойную подписку, вам необходимо сначала запросить согласие через форму подписки на веб-сайте. Затем пользователь должен дать согласие во второй раз, щелкнув ссылку, полученную по электронной почте.

    Использование двойного согласия показывает, что вы привержены защите данных и конфиденциальности, а также дает властям дополнительное доказательство того, что ваш сайт соответствует требованиям GDPR.

    6. Добавьте ссылки для отписки

    Включайте легко читаемые ссылки для отказа от подписки в каждое сообщение, которое вы отправляете своим подписчикам. Отписаться от списка рассылки должно быть легко и мгновенно.

    7. Удаление личных данных по запросу

    GDPR дает пользователям право на забвение. Это означает, что они могут в любое время запросить удаление своих данных. Всегда делай так, как просят. Это включает в себя удаление ваших пользователей из списков рассылки, удаление их учетных записей и уничтожение любой личной информации, которая у вас есть о них. Даже сообщения в блогах и комментарии на форумах считаются личными данными и должны быть удалены по запросу.

    8. Не покупайте списки рассылки

    Покупка списков рассылки не рекомендуется, поскольку вы можете нарушить GDPR. В большинстве случаев вы не можете быть уверены, что эти адреса электронной почты были собраны с согласия пользователей.

    Тем не менее, если вы все еще полны решимости купить список рассылки, убедитесь, что вы по крайней мере включаете ссылки для отказа от подписки с каждым отправляемым вами электронным письмом.

    Быть совместимым с GDPR того стоит

    Откройте свой веб-сайт и бизнес для граждан ЕС, выполнив все описанные выше шаги. Поначалу соблюдение GDPR может показаться сложным, но это не так уж и сложно. В основном это предполагает прозрачность сбора данных и запрос согласия. В качестве бонуса пользователи из стран, не входящих в ЕС, увидят, что ваш бизнес заботится о конфиденциальности и защите данных, и они с большей вероятностью будут вам доверять.