GDPR: готов ли ваш ecommerce-проект к новому мировому порядку

25 мая вступил в силу Общий регламент по защите данных (GDPR). Если вы не успели подготовиться к новым правилам и убедиться, что ваш ecommerce соответствует всем требованиям Евросоюза, то лучше сделать это как можно скорее.

В данной статье мы постараемся вкратце изложить всю самую необходимую информацию о законодательстве по контролю и обработке персональных данных пользователей. А также поделимся полезными ссылками, чтобы вы могли подробнее ознакомиться с принципами работы GDPR. В конце статьи вы найдете краткий контрольный список для самопроверки на соответствие GDPR, который поможет вам избежать немалых штрафов.

Что такое GDPR

В 2010 году Европейская комиссия разработала стратегию по усилению защиты персональных данных жителей ЕС, пересмотрев ныне устаревшие Директиву ЕС о защите данных от 1995 года и Закон Великобритании о защите данных от 1998 года.

Опрос, проведённый Европейской комиссией среди граждан ЕС, показал, что 61% пользователей беспокоятся о безопасности личной информации, собираемой ecommerce сайтами. Более половины респондентов (55%) выразили беспокойство по поводу мошенничества при совершении покупок в Интернете.
Согласно опросу, 75% респондентов хотели бы иметь возможность запрашивать и удалять личную информацию в Интернете, когда захотят. И более 90% опрошенных хотели бы иметь одинаковые права на информационную безопасность во всех странах Европы.

В течение 6 лет Европейская комиссия разрабатывала принципы защиты пользовательских данных и эффективные методы реализации этих принципов во всемирной сети Интернет. Наконец, в 2016 году регламент GDPR был принят парламентом ЕС. Давайте рассмотрим его основные положения в общих чертах.

Основные положения GDPR

1. Законность и прозрачность. Все действия, на которые вы запрашиваете согласие посетителей сайта, должны быть описаны максимально простым и понятным языком. Это же касается и Политики конфиденциальности, и Условий предоставления услуг. Любые электронные письма, которые вы отправляете своим клиентам или потенциальным клиентам, должны содержать возможность отписаться от рассылки и объяснение, почему они получили ваше письмо. Согласно требованиям Европейского союза, у клиентов должно быть полное право знать о целях, методах и объеме обрабатываемых вами персональных данных.

2. Адекватность и релевантность. GDPR направлен на минимизацию количества хранящейся у вас личной информации клиентов, не имеющей отношения к деятельности компании. Вы должны собирать только те данные, которые планируете использовать для email-маркетинга и холодных писем, и не хранить ненужную информацию и пассивные контакты.

3. Точность и доступность. Собираемые вами персональные данные должны быть точными и актуальными. Чтобы обеспечить это, вы должны предоставить клиентам возможность изменять свою личную информацию, когда они того пожелают. Клиенты также должны иметь возможность запрашивать информацию о том, какие данные обрабатывает ваша компания, и возможность воспользоваться правом на забвение.

4. Ограничение времени хранения. Вы не должны хранить личные данные дольше, чем это необходимо для целей обработки. Во всяком случае, проверяющие пока не установили временные рамки для хранения информации. Поэтому этот принцип следует рассматривать в контексте «права на забвение».

5. Целостность и конфиденциальность. Вы не имеете права передавать либо продавать личные данные клиентов, других людей или компаний без согласия на то владельца данных. Каждая компания несёт ответственность за свои базы данных и обязана обеспечить их безопасность.

Что такое персональные данные

Термин «персональные данные» определяется законом как «любая информация, относящаяся к живому, идентифицированному или идентифицируемому физическому лицу». Данные положения применяются ко всем государственным органам, которые хранят и отслеживают данные любого гражданина ЕС.

Таким образом, регламент GDPR касается вас, если:

  • Ваши клиенты и потенциальные клиенты — граждане Европейского Союза,

  • Получатели вашей email рассылки находятся в ЕС,

  • Ваша база данных для холодного маркетинга включает в себя личные данные жителей ЕС.

Не имеет значения, создавался ли ваш сайт на WordPress, Magento, WooCommerce, или же использовалась ваша собственная CMS. GDPR касается исключительно ваших пользователей и безопасности их личных данных.

Согласно GDPR, к личным данным относятся:

  • имя;

  • идентификационный номер;

  • данные о местоположении;

  • идентификаторы файлов cookie;

  • онлайн-идентификаторы;

  • биометрические данные;

  • доход;

  • факторы, имеющие отношение к «физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности субъекта, по которым можно идентифицировать человека.

Большие штрафы GDPR

Положения GDPR много обсуждаются из-за больших размеров штрафов за их несоблюдение. Самый крупный может составлять до 20 млн. евро или до 4% от годового оборота вашей компании за предыдущий финансовый год (в зависимости от того, что больше). Поэтому крупный ecommerce предпочёл потратить более миллиона долларов на то, чтобы привести бизнес в соответствие GDPR.

Однако каждая ситуация рассматривается индивидуально, поэтому и размер штрафа будет назначаться для каждого отдельного случая свой. Как правило, компания может быть оштрафована по двум основным причинам: из-за массовой утечки личных данных либо вследствие нарушения их конфиденциальности.

Специалисты по защите данных

Обязательный шаг, с которого следует начать подготовку к GDPR (если вы еще этого не сделали). В вашей ecommerce компании должен быть юрист / солиситор, который хорошо разбирается во всех тонкостях GDPR и будет отвечать за защиту данных ваших клиентов. Если вы храните и обрабатываете конфиденциальные данные с высоким риском раскрытия информации или опасаетесь массового нарушения данных, в вашем штате должен быть сотрудник по вопросам защиты данных.

В числе обязанностей такого специалиста — отвечать на жалобы клиентов и следить за тем, чтобы ваш сайт соответствовал требованиям GDPR, особенно если ваша компания тестирует новые решения, формы, маркетинговые письма, разрабатывает новый интерфейс или приложение для сайта.

Кроме того, специалист по защите данных обязан уведомлять ICO об угрозах утечки данных в течение 72 часов, будь то системный сбой, хакерская атака или любая другая проблема, которая могут привести к серьезным последствиям для безопасности ваших клиентов.

Полезен ли GDPR для ecommerce?

Общий регламент по защите данных может, и непременно будет полезен для представителей сектора онлайн-торговли, поскольку благодаря ему вырастет доверие и лояльность клиентов, а также улучшится доверие к процессу оплаты. Именно поэтому следует информировать клиентов о том, что вы позаботитесь о сохранности их персональных данных наилучшим образом.

Соответствие ecommerce-проектов нормам GDPR

Изначально регламент GDPR содержит огромное количество требований и деталей. Но в этот контрольный список мы постарались включить наиболее важные детали. Пройдитесь по списку ниже и проверьте, не пропустили ли вы что-либо из того, что необходимо реализовать на сайте, в email рассылках, контактных формах и формах согласия.

1. Специалист по вопросам защиты данных

Являясь обработчиком персональных данных, для работы с конфиденциальной информацией вы взяли в штат специалиста/инспектора по вопросам защиты информации.

2. Чеклист для формы на сайте

  • Действия, на которые вы запрашиваете согласие пользователя, описаны простым и понятным языком, так чтобы ваши клиенты могли легко понять, какие данные, каким образом обрабатываются, и на что именно они дают согласие.

  • Ваши формы согласия пользователя на обработку данных дают чёткую, однозначную информацию. Они не содержат предварительно отмеченных полей и не подразумевают согласия по умолчанию в какой-либо иной форме.

  • Кнопка с положительным вариантом ответа не выделена другим цветом.

  • Форма заметна на сайте и отделена от раздела «Условия и положения».

  • В нижней части формы указаны название вашей компании и всех третьих сторон.

  • Вы даете понять, что клиенты вправе не давать согласия на обработку данных.

  • Вы объяснили, каким образом ваши клиенты могут отозвать своё согласие.

  • Если вы предполагаете или знаете, что у посетителей сайта есть дети, ваша форма согласия должна содержать подтверждение возраста и запрос на согласие родителей.

Здесь вы найдёте несколько адаптированных к GDPR шаблонов форм согласия на обработку персональных данных. Чтобы получить более подробную информацию о требованиях к содержимому таких форм, ознакомьтесь с разработанным в Великобритании руководством по их приведению в соответствие GDPR.

3. Чеклист на соответствие GDPR:

  • Вы пересмотрели текст условий использования и политики конфиденциальности. И вы уверены, что они составлены понятно для ваших клиентов. Политика конфиденциальности описывает то, как обрабатываются пользовательские данные и приводит список сервисов третьих сторон, которые вы используете для обработки информации о пользователях.

  • На вашем сайте указано, каким образом клиенты могут запросить информацию, которую вы храните, изменить или удалить свои данные с сайта.

  • Вы добавили инструкцию, как ваши клиенты могут сообщить вам о нарушении каких-либо положений GDPR, которые затрагивают их интересы.

  • Вы указали, что вы не наказываете своих клиентов за снятие их согласия.

  • В политике конфиденциальности указан адрес электронной почты уполномоченного по вопросам защиты данных (DPO).

  • Вы разместили ссылку на Политику конфиденциальности на видном месте в футере сайта.

4. Чеклист по управление пользовательским соглашением

  • Вы ведете учет того, когда, где и каким образом вы получили согласие каждого из ваших клиентов.

  • Вы ведете учет точной информации, которую предоставляют ваши клиенты.

  • Вы составили расписание регулярных проверок статуса клиента, обработки и цели обработки данных.

  • Вы установили частоту обновления пользовательских данных.

Убедитесь, что вы не отправляете персональные данные своих клиентов в Google Analytics на уровне кода — список включает адреса электронной почты, имена, идентификаторы пользователей, данные о местоположении, идентификаторы транзакций и IP-адреса посетителей. Прочтите эту статью Google, чтобы узнать больше.

К сожалению, пользователи привыкли давать свое согласие на большинство условий. Поэтому мы рекомендуем создать еще одно, дополнительное всплывающее окно, чтобы убедиться, что ваши клиенты понимают, какие данные они предоставляют.

Оценка рисков

Команда специалистов по защите данных должна подготовить документ, в котором будет указано, какие конкретно данные собирает компания, как и для чего обрабатывается полученная информация.

Вы провели анализ рисков, нашли потенциальные слабые места и продумали действия на случай, если что-то пойдет не так.

Этот документ не обязательно загружать на сайт, но это может быть сильной законной основой для ваших действий на случай, если вы получите жалобу.

Подведем итоги

Сегодня GDPR по-прежнему находится на ранней стадии и будет развиваться со временем. Тем не менее, соответствовать регламенту уже сейчас — обычная вежливость по отношению к клиентам с точки зрения глобальной тенденции к прозрачности бизнеса. Разумеется, на это потребуются время и ресурсы, которые, как мы надеемся, у вас уже есть. Но упорный труд и попытки стать лучше помогут вам обрести доверие клиентов.

1. Позвольте клиентам самим решать, какую личную информацию они могут оставить.

2. Помогите им узнать, какие данные и с какой целью обрабатываются.

3. Сообщите клиентам, как они могут запросить персональную информацию, отозвать согласие или отказаться от подписки.

4. Пишите для аудитории простым языком — нет необходимости просить копирайтеров использовать тысячи бесполезных юридических терминов, в которых никто не разбирается.

5. Перепроектируйте формы согласия на сбор и обработку данных.

6. Тщательно таргетируйте рассылки для целевой аудитории.

7. Составьте список обязанностей сотрудников по защите данных и заведите для них отдельный адрес электронной почты.

8. Ведите учет любой информации пользователей, которую собираете и обрабатываете.

9. Обновите ваши условия использования и политику конфиденциальности.

 

Если вы хотите работать с нами,
давайте начнем с обсуждения задачи

Обсудить задачу

Получайте новости интернет-маркетинга

Только полезная информация от экспертов Promodo

Получайте новости интернет-маркетинга