Вы помните, где вы были 25 мая 2018 года? Нет? В этот день вступил в силу Общий регламент по защите данных (GDPR). Это был обычный рабочий день, и небо не упало, как многие предсказывали. Действительно, работа продолжалась в обычном режиме, и все предприятия отправились в эпоху после GDPR. Одни были готовы, другие нет, и многие не знали и до сих пор не знают, что такое GDPR и как его соблюдать.

Если у вас есть потенциальные клиенты или клиенты в Европейском союзе (ЕС), вам необходимо ознакомиться с GDPR.

Подумайте, хотите ли вы рискнуть несоблюдением GDPR и/или разработать план адаптации. Чтобы помочь вам определиться с дальнейшим подходом, примите во внимание следующее:

1. GDPR применяется ко всем организациям (даже если вы являетесь индивидуальным владельцем), крупным, средним и малым, независимо от сектора или отрасли. Если у вас есть какой-либо бизнес или маркетинговая деятельность в ЕС, по закону вы обязаны соблюдать требования.
2. Если у вас нет клиентов в ЕС, но вы обрабатываете информацию для компании, у которой они есть, GDPR по-прежнему применяется к вам.
3. Регламент не предназначен для того, чтобы мучить бизнес. Фактически, закон должен дать гражданам и резидентам больший контроль над своими личными данными и упростить правила для международного бизнеса с помощью единого стандарта для всего ЕС. Прямо сейчас многим из нас, кого исторически не просили действовать таким образом, это кажется ошеломляющим.

Шаги по обеспечению соответствия требованиям

Соблюдение GDPR не должно быть сложной задачей. Но если у вас небольшой бизнес, это может занять много времени. Мой совет — составьте план, как стать послушным, и работайте над ним с течением времени. Вот что вы должны включить:

1. Какие данные вы собираете?

Вы должны понимать, что персональные данные в соответствии с GDPR означают имя, адрес, адрес электронной почты, данные банковской или кредитной карты, фотографии и даже IP-адреса. Если вы собираете информацию о посетителях вашего веб-сайта, которая указывает непосредственно на конкретного пользователя (например, информацию о состоянии здоровья, религиозных взглядах, членстве в профсоюзе или даже семейном положении для целей, связанных со страхованием), такие данные считаются конфиденциальными. Конфиденциальные данные требуют другого и более серьезного управления, чем просто личные данные.

2. Есть ли у вас веская причина или согласие на сбор этих данных?

GDPR не запрещает вам собирать или хранить личные данные. Это требует, чтобы у вас была законная причина для этого или чтобы вы получили согласие от пользователя, прежде чем собирать его. Законной причиной может быть поддержание договорных отношений или создание возможности обслуживать или продавать сопутствующие товары клиенту в будущем. Если вы не можете сделать эту ссылку, попробуйте получить согласие пользователя для очень конкретных целей и задокументируйте это согласие.

3. Каковы ваши меры или политики безопасности?

Даже в малом бизнесе вам нужно думать о потенциальных клиентах и ​​данных о них. Как вы будете его защищать? Сможете ли вы уведомить отдельных лиц и органы власти в течение 72 часов, если их данные будут взломаны?

4. Как вы предоставите потенциальным/покупателям доступ к своим данным?

В GDPR конкретно указано, что пользователь владеет данными о нем. Подумайте, сможете ли вы предоставить пользователям доступ к их информации в течение одного месяца? Пользователи имеют право получить доступ к своим данным, исправить их, если они неверны, и попросить вас удалить их, если они больше не хотят, чтобы вы их хранили. В некоторых случаях вы можете иметь право на продление срока на один месяц. Продление возможно только до 90 дней и должно подпадать под особые и обоснованные обстоятельства.

5. Вам нужен DPO?

DPO — это сотрудник по защите данных. Большинству малых предприятий он не нужен, но GDPR требует, чтобы он был у вас, если ваша основная деятельность требует регулярного и систематического мониторинга людей в больших масштабах; ваша основная деятельность состоит в обработке специальных данных или информации о судимости. Если у вас очень маленький бизнес и вы не обрабатываете большие объемы данных, вам не нужно иметь DPO.

6. Что говорят ваши уведомления?

Ознакомьтесь с вашей политикой конфиденциальности и условиями использования ваших цифровых продуктов и услуг (включая ваш веб-сайт). Надеюсь, они у вас уже есть; если нет, пришло время привести их в порядок. В соответствии с GDPR вы захотите внести поправки в уведомления, чтобы простым языком объяснить, как собирается, обрабатывается и используется информация о пользователях.

7. Чем занимаются ваши партнеры?

Чтобы соответствовать требованиям GDPR, вам необходимо убедиться, что ваши партнеры также соблюдают требования GDPR. Для малого бизнеса это может быть инвестицией времени. Если вы используете программное обеспечение или услуги, основанные на облаке, скорее всего, они уже заняли позицию в отношении GDPR и, возможно, даже внесли поправки в ваше соглашение, чтобы отразить соответствие требованиям организации-поставщика. Во-первых, обратитесь, чтобы проверить это, и если ваши партнеры этого не сделают, рассмотрите возможность написания нового соглашения, включая запрос на соответствие GDPR.

8. Где вы храните или обрабатываете данные?

Для небольшой компании, ведущей бизнес с компаниями из ЕС, самая большая проблема возникает при передаче данных в США. К сожалению, ЕС не считает, что в США есть адекватные меры безопасности для защиты прав отдельных пользователей в Интернете. Хорошей новостью является то, что если вы представляете малый бизнес, вы, вероятно, пользуетесь услугами в облаке, и многие из них стали совместимыми с GDPR. Для тех, кто этого не сделал, может иметь смысл перенести хостинг или хранилище в облачное решение на базе ЕС. В противном случае вам нужно будет принять меры для обеспечения того, чтобы данные пользователей из ЕС шифровались, передавались и хранились с более высокой степенью безопасности, и чтобы вы подтвердили этот уровень соответствия.

Перейти к хорошей части GDPR!

GDPR, безусловно, может показаться пугающим для малого бизнеса (включая меня!). С новыми правилами защиты данных ваш бизнес может быть оштрафован на сумму до 2% от вашего годового дохода или до 10 миллионов евро (примерно 11,6 миллиона долларов США), в зависимости от того, что больше. В случае утечек персональных данных эта сумма увеличивается до 4 % от выручки, или до 20 млн евро (23 млн долларов США). Но в адаптации к GDPR есть и конкурентное преимущество!

Хотя всем нам легко рассматривать GDPR как бремя, это то, что можно использовать в своих интересах, повышая ценность вашего бизнеса. Когда вы предоставляете потенциальным/покупателям бизнес, соответствующий требованиям GDPR, вы укрепляете доверие. И на самом деле никому не нравится потеря, кража, повреждение, неправомерное использование или передача данных без надлежащего согласия. Знание того, что вы соответствуете GDPR, означает, что вы уважаете и защищаете данные своих клиентов и демонстрируете более высокую ценность для своих клиентов. Это будет оценено по достоинству и окупится сейчас, а также в будущем.