Общие правила защиты данных (GDPR): все, что вам нужно знать
Опубликовано: 2018-04-02Основная цель нового Общего регламента по защите данных (GDPR) - усилить и объединить обработку персональных данных из разных стран-членов и адаптировать их в соответствии с одним нормативным актом Европейского союза (ЕС).
В настоящее время каждая из 28 стран-членов ЕС имеет свои собственные правила защиты данных и применяет эти законы в своей международной торговле, что затрудняет осуществление прав на защиту личных данных.
Новый GDPR включает в себя широкий спектр правил, которые влияют на все компании, независимо от размера или сектора, и довольно часто нужно быть готовым сосредоточиться на разных областях своего бизнеса.
Новое постановление о защите физических лиц в отношении обработки и свободного обращения персональных данных вступает в силу 25 мая 2018 года, через два года после того, как постановление 2016/679 было принято Европейским парламентом и Советом. В этой статье мы хотим помочь вам понять, что вы можете и чего не можете делать, чтобы соответствовать требованиям этого нового правила, и заверить вас, что Benchmark, ваш инструмент электронного маркетинга, также соответствует требованиям этого нового правила.
Новый GDPR не отменяет действующее законодательство о защите данных каждой из стран-участниц. Вместо этого это помогает синхронизировать все страны-члены ЕС. Некоторые решения по-прежнему будут приниматься на национальном уровне для каждой из стран-участниц, но имейте в виду, что ответственные стороны теперь должны ссылаться на GDPR как на норму, а не на правила защиты данных своей страны .
Если вы в настоящее время соответствуете требованиям к защите данных для своей страны, значит, у вас уже есть хорошая основа. Однако вам все равно придется пересмотреть и изменить некоторые аспекты, чтобы соответствовать новым правилам.
При разработке стратегии электронного маркетинга необходимо учитывать три основных момента: согласие, доступ и сбор данных.
Согласие
Согласно статье 4 (11), «согласие» субъекта данных Как указано в определении, согласие пользователя должно быть недвусмысленным и явным. Эти два слова устраняют любые сомнения или двусмысленность.
(32) Согласие должно быть выражено четким позитивным актом, устанавливающим свободно данное, конкретное, информированное и недвусмысленное указание согласия субъекта данных на обработку персональных данных, относящихся к нему или ей, например, в письменном заявлении, в том числе в электронном виде. значит, или устное заявление. Это может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которые четко указывают в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных. Поэтому молчание, предварительно отмеченные флажки или бездействие не должны означать согласие. Согласие должно охватывать все действия по обработке, выполняемые для той же цели или целей. Если обработка имеет несколько целей, согласие должно быть дано для всех из них. Если согласие субъекта данных должно быть дано после запроса с помощью электронных средств, запрос должен быть четким, кратким и не должен излишне мешать использованию услуги, для которой он предоставляется.
Пример:
Недавно я принял участие в выставке и в течение дня собрал довольно много визитных карточек, которые я буду использовать для создания базы данных, которую затем загружу в свою учетную запись Benchmark с целью отправки информационных бюллетеней.
Законно ли это с новым Регламентом?
Нет. Сетевое взаимодействие, достигнутое между вами и людьми на выставке, не дает вам права использовать их личные данные, даже с устным подтверждением от человека. GDPR теперь требует наличия доказательств этого соглашения между обеими сторонами.
GDPR гласит, что должно быть недвусмысленное и явное согласие от лица, которое может быть подкреплено доказательствами в случае аудита. Должны быть доказательства того, что физическое лицо дает согласие на использование его личных данных.
РЕКОМЕНДАЦИЯ:
- Пересмотрите свои методы сбора данных и устраните любую двусмысленность, которая может существовать.
- Проанализируйте свою базу данных и только те данные, для которых вы можете предоставить доказательство того, что согласие было дано вам физическим лицом.
Доступ
Сторона, ответственная за обработку персональных данных, должна предоставить каждому пользователю простой и понятный доступ для изменения своих личных данных. Ответственная сторона также должна предоставить выход, в котором физическое лицо может подтвердить, что оно дает свое согласие с помощью электронных средств, будь то через свой собственный веб-сайт, формы регистрации или подтверждение по электронной почте.
У ответственной стороны будет один месяц на то, чтобы предоставить клиенту ответ, с возможностью продления этого срока до двух месяцев в случае, если это будет сложный запрос, в котором предпринимаются необходимые шаги для выполнения индивидуального запроса.
В случае с нашим инструментом электронного маркетинга опция «Управление подписками» позволяет человеку получить доступ к своим личным данным и при необходимости изменить данные или полностью отменить подписку.
В рамках этого пункта появляется новое право, которым является ПРАВО НА УДАЛЕНИЕ (Статья 17), пользователь может воспользоваться своим «правом на забвение» и навсегда удалить свои личные данные из базы данных. Мы выбрали две из шести причин, включенных в подпункт 1, которые дают человеку возможность реализовать свое право:
а) личные данные больше не нужны в связи с целями, для которых они были собраны или обработаны иным образом;
г) персональные данные были обработаны незаконно;
Компиляция:
GDPR выступает за простоту сбора личных данных. Как маркетологи, мы склонны запрашивать больше подробностей, чем необходимо, когда все, что мы делаем, - это рассылаем еженедельный информационный бюллетень. По этой причине эти новые правила поощряют сбор и компиляцию только минимального количества личных данных для нашей текущей стратегии, а не сбор дополнительных данных, которые, по вашему мнению, могут быть полезны в будущем.
Если вашей целью является информирование вашей базы данных о предстоящих рекламных акциях, компиляция имени человека и адреса электронной почты более чем достаточна для достижения вашей цели.
Brexit
Великобритания официально уйдет и больше не будет частью ЕС в 2019 году. С этим выходом правила к ним не будут применяться. В настоящее время мы не знаем, как Великобритания или компании в Великобритании будут обращаться с защитой данных, но мы полагаем, что они примут аналогичные правила, которые будут сопоставимы с ЕС.
Что произойдет, если я не буду соответствовать новым требованиям GDPR?
Общий регламент по защите данных устанавливает набор инструментов для соблюдения нового регламента, включая санкции и штрафы. При наложении штрафа за несоблюдение нового GDPR будет приниматься во внимание и тщательно оцениваться ряд факторов, таких как:
- тяжесть / продолжительность нарушения;
- количество затронутых субъектов данных и уровень понесенного ими ущерба;
- умышленный характер нарушения;
- любые действия, предпринятые для уменьшения ущерба;
- степень взаимодействия с надзорным органом.
Правила устанавливают два потолка для штрафов, если правила не соблюдаются. Первый потолок устанавливает штрафы в размере до 10 миллионов евро или, в случае предприятия, до 2% от мирового годового оборота. Эта первая категория штрафа будет применяться, например, если контролеры не проводят оценку воздействия, как того требует Регламент. Максимальный размер штрафов достигает 20 миллионов евро или 4% от мирового годового оборота. Примером может служить нарушение прав субъектов данных в соответствии с Регламентом. Штрафы регулируются в зависимости от обстоятельств каждого отдельного случая.
Вам нужно будет помнить об основных моментах (согласие, доступ и компиляция), когда придет время планировать свою маркетинговую стратегию по электронной почте.
Контрольный показатель
В Benchmark мы прилагаем все усилия, чтобы обновить нашу Политику конфиденциальности, чтобы соответствовать требованиям правил. Что касается GDPR, нам не предоставляется сертификат, подтверждающий, что мы соблюдаем новые правила, такие как Privacy Shield Framework.
Мы в Benchmark хотим заверить вас, что ваши личные данные обрабатываются в соответствии с новым GDPR.
Впервые ЕС демонстрирует лидерство и единство в том, как следует обращаться с личными данными, и вынуждает весь остальной мир без исключения, чтобы любая страна следовала этим правилам, если они хотят обрабатывать европейские личные данные.
Не забудьте поделиться этой статьей со своей аудиторией и оставить свои комментарии. Спасибо за прочтение!