На кого влияет GDPR?
EU GDPR применяется не только к организациям в Европе, но и к любым организациям, которые будут обрабатывать и хранить личные данные для лиц в Европейском Союзе, а также для граждан ЕС, проживающих за границей. Другими словами, если вы планируете иметь клиентов из Европы, вам нужно обратить на это внимание.
Что произойдет, если вы не выполните требования?
GDPR будет применяться с 25 мая 2018 года. Штрафы за несоблюдение значительны.
- Штрафы могут составлять до 4% от годового мирового дохода или 20 миллионов евро, в зависимости от того, что больше.
- Физические лица будут иметь право требовать компенсацию за убытки, включая потерю контроля над личными данными или ограничение прав, дискриминацию, финансовые потери, ущерб репутации или утрату конфиденциальности личных данных, защищенных профессиональной тайной.
- Физические лица могут выбрать, чтобы подать иск против контролера данных, процессора или обоих, а также, возможно, против любого в цепочке поставок.
Каковы ваши варианты?
Если вы владеете или управляете бизнесом в сфере электронной коммерции, ваши варианты недостаточны. На самом деле, есть только два варианта.
Вариант 1 - Принять это (Хорошая идея!)
Однажды друг сказал мне: “если вы не знаете, в каком направлении идете, вы уже потерялись.” Я думаю, это особенно верно в отношении EU GDPR. Есть много чего, чему нужно научиться, и еще больше, что нужно прояснить. Но достижение готовности к EU GDPR начинается с решения соблюдать его. Оцените свою ситуацию и определите области, где вы не соответствуете требованиям. Затем вы можете разработать стратегию для минимизации своей ответственности.
Вариант 2 - Не продавать в Европу или их гражданам (Плохая идея!)
Если вы не хотите соблюдать EU GDPR, мы настоятельно рекомендуем вам не планировать вести бизнес с кем-либо из Европы. Пожалуйста, помните, что эти европейские граждане могут жить за границей. Ограничение вашего бизнеса в сфере электронной коммерции границами США не гарантирует ваше соблюдение. Риск несоответствия значителен и может быть описан как “под угрозой штрафа.” Несоответствие - это вариант, но он не рекомендуется.
5 ключевых областей регулирования
Готовность к EU GDPR включает в себя знакомство с пятью ключевыми областями регулирования - согласие, права индивидуумов, политики и ответственность.
1. Законный интерес
Статья 6 регламента GDPR гласит, что сборщик данных может обрабатывать данные законно только в том случае, если, среди прочего, у него есть законный интерес или согласие. Определение того, есть ли у вас законный интерес, требует “тщательной оценки” ожиданий и контекста данных, которые вы собираете.
Соблазнительно использовать широкую интерпретацию законного интереса, чтобы обойти необходимость в согласии. Мы не рекомендуем использовать открытое понимание законного интереса как способ оправдать сбор данных. GDPR предоставляет некоторые примеры, такие как обработка личных данных для предотвращения мошенничества, внутренние административные цели, касающиеся сотрудников и клиентов, обеспечение безопасности сети и сообщение о возможных преступлениях или угрозах общественной безопасности.
Существует еще серый участок вокруг законного интереса, и определение станет более очевидным со временем. Краткосрочная рекомендация - привыкнуть задавать вопрос: “можно ли достичь той же цели без обработки личных данных?” Если ответ “да”, то лучшая практика - отказаться от законного интереса как основы для обработки данных; вам следует получить согласие.
2. Согласие
Больше нет пассивного согласия. Вам нужно указать, для чего вы собираетесь использовать данные. Вот два примера того, как запросить согласие.
3. Права индивидуумов
Согласно GDPR, индивидуум имеет право быть забытым. Например, если они согласились на использование данных в маркетинговых целях, они имеют право попросить вас “забыть их”. Новые права были введены в отношении доступа к данным, возражения против обработки, портативности данных и возражения против профилирования, среди прочих.
4. Политики
Статья 13 регламента предоставляет 12 ключевых областей, о которых вам необходимо проинформировать вашего потребителя на clear языке, а не на юридическом. Разработайте стандартную политику конфиденциальности, которая информирует ваших клиентов о том, как вы управляете их данными.
Необходимо иметь назначенное контактное лицо, а также контактную информацию для вашей организации в политике конфиденциальности.
5. Ответственность
Обучите своих сотрудников и предоставьте инструменты, чтобы помочь обеспечить ответственность в вашей компании, не только за это регулирование, но и за все личные данные, которые вы получаете. Защита данных - это ответственность всей организации. Каждый, кто контактирует с данными, должен быть осведомлен о последствиях и штрафах за несоответствие.
Zonos, лидер в области технологий трансграничной электронной коммерции, продолжит вести и направлять торговцев через вызовы продажи своих продуктов миру. Мы будем продолжать предоставлять часто задаваемые вопросы и примеры документов, демонстрирующие внутренние политики конфиденциальности и процессы, которые вы можете принять. Мы поделимся внутренними учебными документами, которые вы можете использовать со своей командой. Zonos серьезно относится к конфиденциальности данных и стремится к готовности к EU GDPR. Более подробная информация будет предоставляться регулярно.
Почему вам стоит беспокоиться о GDPR?
Везде, где вы смотрите в электронной коммерции, вы увидите, как кто-то обсуждает EU GDPR или Общий регламент защиты данных Европейского Союза. Существует множество информации, от технических статей до спекуляций в социальных сетях. Мы все хотим знать, как это повлияет на нас. Какие изменения, если таковые имеются, мне нужно будет внести? Что это на самом деле значит?
В этой статье мы быстро рассмотрим EU GDPR - что это такое, как мы можем подготовиться и как это может повлиять на онлайн-бизнес.