gdpr

25 мая 2018 года вступает в силу GDPR (General Data Protection Regulation), новое положение, регулирующее порядок работы с персональными данными во всех странах Европы. Это положение предполагает введение единых правил для защиты граждан европейских стран от любого несанкционированного использования их персональных данных, дает им новые права и контроль для обеспечения такой защиты, а также налагает крупные штрафы на компании, нарушающие новый порядок.

В краткосрочной перспективе, этот документ в основном коснется только тех российских компаний, которые работают на европейском рынке. Они должны будут организовывать сбор и обработку персональных данных в соответствии с новым регламентом.

Итак, какие меры помогут обеспечить соответствие с GDPR?

1. Проведение аудита своей политики в области обработки персональных данных
Проверьте и задокументируйте весь процесс работы с данными. Уточните, где и как хранятся и обрабатываются персональные данные ваших подписчиков и клиентов, кто из сотрудников имеет к ним доступ, каким поставщикам и партнерам они передаются. Убедитесь, что доступ к данным ваших пользователей имеют только сотрудники, чьи обязанности предполагают работу с этими данными. Проверьте достаточен ли уровень защиты от несанкционированного доступа к данным как внутри компании, так и из вне.

2. Регистрирование всех операций, связанных с обработкой персональных данных
Компания должна быть готова в любой момент доказать свое соответствие GDPR. Для этого, вам необходимо отслеживать все операции с данными ваших подписчиков и клиентов, связанные со сбором, хранением, использованием, передачей или удалением этих данных.
В случае выявления операции или действия, которые могут нанести ущерб приватности ваших пользователей, компания должна оценить возможные последствия и этот ущерб. Эти оценки должны быть задокументированы.

3. Назначение лица, ответственного за обработку персональных данных в вашей компании
В Европе такое назначение обязательно только для компаний государственного сектора и компаний, обрабатывающих конфиденциальные данные и/или большие объемы персональных данных. Для остальных такая мера носит добровольный характер. Российский закон о персональных данных также рекомендует определить такое ответственное лицо. В данном случае, одной из обязанностей такого сотрудника будет обеспечение соответствия внутренней политики обработки персональных данных регламенту GDPR, консультирование других сотрудников по этому вопросу, а также этот человек будет главным контактным лицом для соответствующих проверяющих органов.

4. Верность принципам “PRIVACY BY DESIGN” и “PRIVACY BY DEFAULT”
Принцип “privacy by design” означает, что еще на этапе разработки и проектирования нового продукта, сервиса или приложения уделяется должное внимание обеспечению конфиденциальности и защиты данных пользователя. Принцип “privacy by default” означает, что как только продукт, сервис или приложение были запущены, самый высокий возможный уровень защиты данных гарантирован компанией по умолчанию.

5. Обеспечение прозрачности процесса обработки данных
Пользователи вашего сайта должны иметь возможность открыто дать согласие или отказ на любую обработку своих данных. Компания должна быть готова в любой момент доказать, что такое согласие пользователя получено. Ваши подписчики и клиенты также должны быть информированы в простой и понятной для них форме о том, каким образом и для каких целей осуществляется сбор и обработка их данных, как долго компания будет хранить эти данные и о последствиях для пользователей в случае отказа предоставить свои персональные данные.
Кроме того, собираемый объем персональных данных должен быть жестко ограничен минимально возможным, необходимым для оптимального оказания услуг, использования продукта или сервиса.

6. Обеспечение прав на перенесение и уничтожение данных
Право на перенесение, а также право на отзыв своих персональных данных дает возможность вашим пользователям распоряжаться своими данными по своему желанию, то есть они должны иметь возможность потребовать удаления своих данных из вашей базы, а также передачи своих данных третьей стороне.

7. Обучение сотрудников работе с персональными данными
Проводите тренинги для своих сотрудников по лучшим практикам в работе с персональными данными, юридическим аспектам такой работы.

Функционал Диалог Инсайт позволяет компаниям легко адаптироваться к новым условиям. Например, система индивидуального разграничения доступов к сервису позволяет настроить доступ для сотрудников наших клиентов только к определенным функциям сервиса, секциям интерфейса, определенным сегментам базы данных подписчиков. Все авторизации и действия сотрудников клиента в интерфейсе регистрируются системой. Все пользователи при входе в аккаунт видят информацию о своем предыдущем посещении аккаунта (ip, местоположение, время).

Готовые формы и сценарии Double Opt in значительно облегчают процесс настройки регистрации подписчиков с подтверждением. А в едином профиле подписчика в интерфейсе легко отследить всю историю взаимодействия и коммуникаций с ним, начиная от добавления его в вашу базу (с указанием источника и времени добавления).

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply