Новый общий регламент защиты данных (GDPR), введенный в действие в 2016 году, является одной из наиболее важных реформ правила конфиденциальности в Европе за последние 20 лет. Конечная цель GDPR — объединить законы о конфиденциальности данных в Европе, защитить личные данные европейских граждан и предоставить им больше прав и контроля над своими собственными данными.

Интернет-бизнесу необходим постоянный поток данных, чтобы улучшить взаимодействие с пользователем на веб-сайте, перенаправить посетителей и клиентов веб-сайта или создать персонализированную рекламу. Однако в соответствии с новым GDPR пользователи веб-сайта должны дать свое четкое согласие, прежде чем данные могут быть собраны. Теперь пользователю необходимо проинформировать о том, как собираются и обрабатываются данные. Таким образом, политика конфиденциальности должна быть для пользователя доступной и простой для понимания. Пользователям сайта необходимо получить представление о том, какие данные будут собираться и с какой целью, прежде чем они согласятся с условиями обслуживания, поскольку несоблюдение GDPR может привести к крупным штрафам и даже судебным разбирательствам.

Существует множество различных аспектов закона, которые хостеры веб-сайтов должны учитывать по всей Европе, что может быть довольно сложно. Но не каждый может позволить себе специалиста по GDPR в компании. Таким образом, следующие советы дадут вам первое представление о том, как ваш бизнес и веб-сайт могут постоянно соответствовать европейскому закону о защите данных. Это руководство не будет содержать юридических консультаций, но попытается дать базовое понимание требований GDPR.

1. Знайте терминологию

Прежде чем попытаться привести свой веб-сайт в соответствие с GDPR, вы должны иметь базовое понимание терминологии.

Личные данные

Персональные данные — это информация, которая может идентифицировать человека напрямую или посредством комбинации собранных данных. Данными, которые могут идентифицировать человека, могут быть, среди прочего, адрес электронной почты, IP-адрес (который может предсказать точное местоположение пользователя), имена, доход, религия или личные фотографии. Кроме того, это общее поведение с персональными данными веб-сайта, поскольку файлы cookie могут отслеживать действия при просмотре на нескольких веб-сайтах (например, какой контент пролистывают пользователи или на какой контент пользователь нажимает).

Политика Конфиденциальности

Политика конфиденциальности описывает, какие данные о наших пользователях вы собираете и как эти данные обрабатываются в дальнейшем. Кроме того, должна ли политика конфиденциальности содержать описание того, как личные данные будут храниться в тайне или кто будет иметь доступ к данным. Политика конфиденциальности должна быть легко понятной и доступной для пользователей сайта.

Процессор данных и контроллер

Контроллер данных — это физическое лицо или программное обеспечение, которое определяет цель данных и способ их дальнейшей обработки. С другой стороны, обработчик данных — это физическое лицо или программное обеспечение, которое обрабатывает и анализирует данные от имени контролера данных.

Соответствие ВВП

Что на самом деле означает соответствие требованиям GDPR? Соответствие действующему GDPR может иметь разное значение в зависимости от бизнеса, организации, ее пользователей и качества данных. Однако, чтобы соответствовать GDPR в целом, компания или физическое лицо, собирающее персональные данные, должны принять конкретные меры, чтобы гарантировать, что они будут безопасно обрабатываться и храниться по умолчанию.

2. Изменить наш веб-сайт в соответствии с действующими правилами защиты данных.

Когда закон вступил в силу в 2016 году, у большинства операторов веб-сайтов возник один и тот же вопрос: как я могу привести свой веб-сайт в соответствие с GDPR? Следующие шаги сделают ваш веб-сайт более совместимым с общими правилами защиты данных.

Разместите на своем сайте форму подписки и отказа.

Разместите на своем веб-сайте форму, которая будет хорошо видна пользователю и информирует его о действиях по сбору и обработке данных на веб-сайте. Большинство веб-сайтов используют всплывающие окна с файлами cookie, которые включают в себя форму пользовательского контента. Также человеку должно быть легко отозвать свое разрешение на сбор персональных данных. Это также широко известно как опция «отказа».

Перечислите все стороннее программное обеспечение для отслеживания

Многие веб-сайты используют сторонние программы для более эффективного анализа собранных данных. Создайте в своей политике конфиденциальности или во всплывающем баннере файлов cookie раздел, в котором будет перечислено и описано стороннее программное обеспечение для отслеживания, используемое на веб-сайте. Кроме того, на веб-сайте должно быть четко указано, какой стороне предоставляется согласие или существуют ли исключения.

Сделайте так, чтобы ваш пользователь мог легко отозвать данное разрешение, особенно в маркетинге по электронной почте.

Отзыв разрешения на данные права на обработку данных может быть сложно реализовать на веб-сайте, не нарушая при этом работу пользователя на веб-сайте. Однако согласно GDPR его можно легко удалить, как это было разрешено ранее. Одним из способов решения этой проблемы для компаний является перечисление конкретных областей, для которых потенциально будут использоваться данные, с которыми пользователь может согласиться или отклонить (например, персонализированная реклама, отслеживание поведения, персонализированный пользовательский опыт на веб-сайте). В основном это делается с помощью файлов cookie. Кроме того, подписчикам ваших информационных бюллетеней будет легко в любой момент отказаться от вашей рассылки. Если это четко не указано в вашем электронном письме или вообще нет возможности отказаться, это может привести к крупным штрафам.

3. Использование Google Analytics в соответствии с GDPR.

Google Analytics на сегодняшний день является наиболее используемым и самым популярным отслеживание сайта инструмент, который дает своим пользователям уникальную информацию о поведении посетителей веб-сайта. Но соответствует ли Google Analytics GDPR?

Есть несколько простых шагов, которые вы можете предпринять, чтобы использование Google Analytics на вашем веб-сайте соответствовало требованиям. Google Analytics регистрирует каждого пользователя с уникальным идентификатором пользователя, чтобы показать общее количество посетителей веб-сайта (например, новых или постоянных клиентов), поведение (например, через какие веб-сайты совершает конверсию клиент; показатель отказов) и взаимодействие на Веб-сайт. Кроме того, Analytics может сегментировать пользователей по возрасту, полу, а иногда даже по доходу. Вся указанная информация в соответствии с GDPR считается персональными данными, которые потенциально могут идентифицировать человека. Однако полный объем данных, собираемых с помощью Google Analytics, установить сложно, поскольку Google постоянно развивает и совершенствует этот инструмент.

В соответствии со своей политикой согласия в ЕС, которую владельцы веб-сайтов обязаны раскрывать, Google сообщает, что на веб-сайте используется Google Analytics. Дополнительно им необходимо получить согласие конечных пользователей сайта в Европейском Союзе и указать точную причину сбора персональных данных. Таким образом, Google Analytics перекладывает ответственность за требования по защите данных на владельца веб-сайта. Следующие советы помогут вам контролировать соблюдение GDPR при использовании Google Analytics.

Включите анонимизацию IP

IP-адрес считается в соответствии с GDPR персональными данными. Google использует IP-адреса пользователей для создания географического отчета. Таким образом, анонимизация снизит точность отслеживания ваших пользователей с помощью Google Analytics. Вы можете заархивировать анонимизацию IP-адреса, добавив следующую переменную в скрипт кода отслеживания Google Analytics:

{ 'anonymize_ip': правда }

Как только эта функция будет добавлена ​​в код отслеживания Google Analytics, IP-адрес будет анонимизирован в точке сбора.

2. Проверьте настройки псевдофикации Google Analytics.

В Google Analytics уже реализованы меры по предотвращению идентификации одного пользователя. Однако вам следует проверить, активны и работают ли следующие настройки псевдофикции.

Идентификатор пользователя: Убедитесь, что пользователи идентифицируются по цифрам или буквам, а не по конкретным адресам электронной почты или именам пользователей в виде обычного текста.

ID транзакции: объединение идентификатора транзакции с другими источниками данных в учетной записи потенциально может идентифицировать физическое лицо. Поэтому убедитесь, что идентификатор представляет собой случайный буквенно-цифровой идентификатор.

Зашифрованные данные: Зашифрованные данные могут включать адреса электронной почты или личные номера телефонов. Таким образом, рекомендуется избегать сбора зашифрованных данных через Google Analytics. Google Analytics предъявляет минимальные требования к хешированию SHA256 и рекомендует использовать соль длиной не менее 8 символов.

3. Проверьте заголовок страницы URL-адресов

Если URL-адрес содержит параметр «email= querystring», вполне вероятно, что вы передаете личные данные другим маркетинговым инструментам на своем веб-сайте. Проверьте заголовки страниц и URL-адреса, чтобы убедиться, что личные данные не собираются.

4. Другие меры для постоянного соблюдения требований

Помимо технических аспектов, существуют следующие измерения, важные для обеспечения постоянного соответствия GDPR.

• Найдите в компании человека, который будет отвечать за защиту данных и регулярную проверку соблюдения GDPR.
• Документируйте и записывайте все меры по рассмотрению жалоб на GDPR и защитите все заполненные формы согласия.
• Регулярно оценивайте свои меры по защите данных
• Обучайте сотрудников, чтобы способствовать пониманию использования и сбора персональных данных в соответствии с требованиями GDPR.

Обзор

Несмотря на то, что ажиотаж вокруг GDPR значительно снизился с момента принятия законопроекта в 2016 году, его не следует забывать или игнорировать. В компании могут проводиться различные меры по обеспечению соответствия, которые обеспечивают разные уровни соответствия. Насколько соответствовать требованиям GDPR он хочет, зависит от отдельного владельца веб-сайта. Однако следование предложенным советам поможет вам на шаг приблизиться к соблюдению требований GDPR.