Съдържание:
Видео: What is GDPR? - BBC Click (Ноември 2024)
Досега със сигурност сте чували за GDPR, който е Общият регламент за защита на данните на Европейския съюз (ЕС). GDPR беше приет, за да защити личната информация на европейските потребители от неразрешено разкриване и злоупотреба. Като такъв GDPR поставя много строги ограничения за това къде могат да се съхраняват данните на гражданите на ЕС, как могат да бъдат използвани, колко дълго могат да се съхраняват и как са защитени.
Това означава, че може би е по-добре да забравите за европейския бизнес за известно време, освен ако не сте сигурни, че можете да спазвате правилата. ЕС има отличен уебсайт, който обяснява процеса. Ако планирате да правите бизнес в Европа, тогава вие и вашите ИТ хора трябва да прочетете този уебсайт.
Но ако сте голяма компания, която вече прави бизнес в ЕС, вероятно е вече добре да знаете изискванията и вероятно сте на път да успеете да покажете спазването на правилата.
Но да предположим, че не сте от тези организации? Е, шансовете са, че GDPR все още ви засяга. Ще трябва да седнете и да разгледате ситуацията си, за да сте сигурни. Ето бърз поглед към основните неща, които трябва да вземете под внимание.
Операции и защита на данните
Първо, погледнете вашите операции. Насочвате ли към какъвто и да е вид маркетингови усилия, без значение колко малки са гражданите на ЕС? Това може да бъде всичко толкова просто, колкото да имате версия на уебсайта си на европейски език или възможността да приема плащания в европейски валути. Или събирате лични данни от всякакъв вид с каквато и да е цел, дори и да не е за финансова транзакция?
Това не означава, че се насочвате към европейците, ако намерят уебсайта ви в САЩ и купят нещо, продадено в щатски долари. Но дори и тогава трябва да внимавате какво правите с данните и колко дълго ги пазите. Но ако очаквате да продавате редовно на европейски купувачи, тогава може би е добра идея да намерите европейска компания, която да обслужва вашите сметки там.
Междувременно, ако смятате, че има някакъв шанс да се справите с гражданите на ЕС, би било добра идея да се уверите, че спазвате правилата по отношение на защитата и разкриването на данни.
Правилата за защита на данните означават, че трябва да защитите данните на гражданите на ЕС срещу загуба, кражба или разкриване. Трябва също да се отървете от данните възможно най-скоро. И ако някоя информация на гражданите на ЕС бъде нарушена, тогава имате 72 часа след като бъде открито, да ги докладвате на европейските власти.
Също така трябва да разкриете как планирате да използвате данните и колко дълго смятате да ги съхранявате. Разкритията трябва да бъдат ясно и просто заявени и гражданинът на ЕС трябва да може да се съгласи или да не се съгласи. И има някои неща, които трябва да имате предвид при разкриването: не можете да имате кутийките предварително поставени отметки по подразбиране и не можете да използвате онези плътни, безкрайни, легални документи „Условия и условия“ като ваше разкриване.
Гражданин на ЕС може да избере да не се съгласи с вашето разкриване и трябва да има начин те да кажат „не“. Ако обаче информацията, която искате, е необходима за предоставяне на стоката или услугата (например номер на кредитна карта или адрес за доставка), не е нужно да продавате продукта.
Имайте предвид, че правилата се прилагат и за двете страни в края на транзакцията, което означава, че вие и компанията за кредитни карти. Ако планирате да продавате неща на европейци, трябва да потвърдите, че процесорът на вашите кредитни карти ще следва правилата на GDPR за клиентите от ЕС.
Правото да бъдеш забравен
И, разбира се, има известното „право да бъдеш забравен“. Трябва да можете да изтриете името и личната информация на всеки гражданин на ЕС при поискване. Това означава от всяко място, включително архивиране, където може да се случи тази информация да пребивава. Това ще наложи да осъзнаете къде са вашите данни и какво има в тях, нещо, което вероятно сега не можете да направите.
Има право на правото да бъдеш забравен. Например, ако се изисква да запазите някои данни, като например, за да отговаряте на някои изисквания за преносимост и отчетност на здравно осигуряване (HIPAA) или на Комисията за ценни книжа и борси (SEC), тогава трябва да спазвате законовите изисквания. Но освен това, трябва да можете да изтриете такива лични данни при поискване.
Ако всичко това изглежда като болка във врата, тогава може да сте прави. Или бихте могли да разгледате изискванията на ЕС за GDPR като възможност да опростите операциите си по сигурността в тяхната цялост. Например, ако съхранявате и управлявате всичките си данни по начин, който отговаря на изискванията на GDPR, ще имате много по-сигурна работа.
По същия начин, ако изхвърлите тези дълготрайни, невъзможни за четене документи „Общи условия“ и ги замените с ясни изявления за намерение и поискате съгласие, тогава вашите клиенти ще го оценят. Освен това, ако спрете да съхранявате данни, които всъщност не ви трябват, но са задължени да ги защитавате, тогава животът ви се опростява и рискът ви от нарушение се намалява, тъй като хакерите не могат да откраднат това, което няма.
Реално, GDPR кодифицира какви са наистина най-добрите практики за това как вашата организация борави с данните на други хора. Намирането на начин да се съобразите с тези правила ще помогне на вашата организация като цяло.