Что происходит в случае несоблюдения? Штрафы за несоблюдение GDPR могут быть очень дорогой ошибкой для многонационального предприятия и, несомненно, могут привести к гибели многих малых и средних предприятий. Штрафы могут составить 20000000 евро или 4% от мирового оборота фирмы. Несоблюдение GDPR также создает другой риск, который сложнее оценить, но в равной степени серьезный для бизнеса - плохую репутацию.
Репутационный ущерб будет основным следствием любого штрафа или штрафа, связанного с GDPR, аналогично последствий инцидентов в сфере конфиденциальности или безопасности в киберпространстве, которые обычно освещаются средствами массовой информации и неизбежно приводят к потере клиентов и доверия.
Уточнения Законы о защите личных данных, такие как GDPR, сложные. Невозможно охватить все важные детали в одном коротком руководстве. Оно не предназначено в качестве юридической консультации, а просто служит отправной точкой для ваших усилий по обеспечению соответствия данных.
Использование по назначению и ваша роль Все наши Сервисы, в том числе и функции регистрации, статистики и записи разговоров, определение местоположения звонка/сотрудника - предназначены исключительно для бизнес-целей. Они не предназначены для личного использования.
Согласно различным законам, таким как Общее положение о защите данных (GDPR), вы, скорее всего, будете классифицированы как контроллер для персональных данных ваших сотрудников, которые используют приложение, а также клиентов, которые обращаются к ним. Быть контроллером означает, что вы несете ответственность за защиту личных данных.
Учет прав пользователя GDPR как конкретный пример регулирования конфиденциальности во многом связан с предоставлением людям определенных прав. Одним из наиболее важных аспектов соблюдения GDPR есть возможность реализации прав субъекта данных. Ниже вы можете найти список прав с объяснениями и советами о том, как это реализовать.
Право быть информированным Право на получение информации - это право пользователя знать, как обрабатываются его личные данные, применяя политику конфиденциальности. Она направлена на создание доверия между потребителями и Сервисом. Это должно быть написано ясным, коротким способом, используя прозрачный язык. Компания должна объяснить, почему и как не обрабатывает данные. Самое главное - человек, у которого компания собирает данные, должен быть проинформирован об этом во время сбора данных.
Право доступа Право доступа создает право, согласно которому человек может узнать, обрабатываются или хранятся его персональные данные, и, если это так, запросить копию всех данных о нем, которые у вас есть.
После запроса вы должны сначала проверить, обрабатывает или организация личные данные, и дать ответ. Если ответ «да», вы должны предоставить запрашивающей стороне данные и следующую информацию, обычно включаются в вашу политику конфиденциальности:
- Цель обработки;
- Категории обрабатываемых данных;
- Получатели персональных данных;
- Планируемая продолжительность хранения;
- Информация о правах заявителя;
- О возможности подачи жалобы в контролирующий орган;
- Происхождение данных (если они получены от третьей стороны)
- О профилирования (если есть);
- Меры, которые предприн при передаче данных в третью страну.
Наконец, вы должны предоставить субъекту данных копию всех его или ее данных, которые вы в структурированном формате (например, CSV).
Право на мобильность Согласно этому праву субъект данных (пользователь):
- Может получать относящиеся к ним личные данные в понятном, широко используется формате; а также
- Пригласить передачу данных другому лицу (от одного контроллера данных к другому).
Хотя первая часть очень похожа на право доступа, вторая может показаться проблематичной. Маловероятно, что кто-то попытается воспользоваться этим правом для передачи данных на другой контроллер, но мы по-прежнему рекомендуем сохранять данные таким образом, чтобы их можно было передавать в структурированном, широко используемом и цифровом формате.
Структурированные - данные обеспечивают простую передачу и простоту использования. Это данные, в которых структурная связь между элементами явно выражена в способе хранения данных на компьютерном диске. Программное обеспечение должно быть в состоянии получить определенные элементы данных. Примером структурированного формата является электронная таблица - данные организованы (структурированные) в строки и столбцы;
Обычно используется - проще говоря, выбранный вами формат должен быть широко используемым и устоявшимся. Тем не менее, он должен быть структурированным и машиночитаемым;
Машиночитаемые - данные в формате, который может автоматически считываться и обрабатываться компьютером. Это формат, с которого программные приложения могут идентифицировать, распознавать и получать конкретные данные.
Наиболее часто используемые форматы, которые удовлетворяют вышеупомянутым требованиям, - это CSV, XML и JSON.
Как и в случае с правом доступа, вы должны предоставить запрашивающей стороне копию своих данных в течение одного месяца, срок может быть продлен до двух месяцев.
Право на отзыв согласия Это право принадлежит к вам, когда вы собираете согласие, которое обычно требуется при отправке маркетинговых электронных писем пользователям или использовании сторонних файлов Cookie (таких как аналитика или ретаргетинг). GDPR устанавливает четкие требования для получения согласия - оно должно быть четким, конкретным, свободно предоставленным, однозначным и т. д. Регламент также предусматривает, что физическое лицо может отозвать свое согласие в любое время без необходимости объяснения своего решения.
Право на исправление Если ваши личные данные устарели или неверны, субъект данных имеет право восстановить их. Основная цель здесь - обеспечить точность данных о человеке в вашей системе.
Самым простым и простым решением для реализации этого права является предоставление пользователям возможности менять свои данные в режиме реального времени на сайте. Пользователи также должны иметь возможность воспользоваться этим правом через почту/телефон/электронную почту. Это хорошая идея, чтобы включить эту возможность в политику конфиденциальности
В случае, если физическое лицо использует это право почте/телефону/электронной почте, вы должны выполнить запрос в течение одного месяца или двух месяцев, если у вас есть законные основания для задержки.
Право на ограничение обработки Право на ограничение обработки создает право, согласно которому человек может ограничивать использование вами своих данных. Это можно сравнить с зависанием или блокировкой данных. Однако, субъекты данных потребуют весомой причины для реализации этого права. Такая причина может быть, например, в том, что имеющаяся информация является неточной, информация обрабатывается/была незаконно обработана, у субъекта данных могут быть проблемы с обработкой данных и т. д
Вы должны убедиться, что у вас есть процессы, которые позволяют вам ограничить личные данные. Это могут быть: временное перемещение данных в другую систему, временное удаление данных с веб-сайта/базы данных и т. д. Затем, необходимо убедиться, что дальнейшая обработка данных не будет выполнена. Это связано с тем, что данные нельзя изменить, пока действует ограничение. Также важно предотвратить случайную обработке ограниченных данных - ограниченные данные должны быть соответствующим образом отмечены в системе.
Как и в случае с большинством других прав, вы должны выполнить запрос в течение 1 месяца с момента получения.
Право на стирание Также известно как «право быть забытым». Пользователь может попросить вас, как контроллера, стереть их данные, если они больше не нужны для целей, для которых они были изначально собраны. В прошлом ЕС уделял много внимания этому праву и не будет мириться с компаниями, которые не удовлетворяют реальным запросам на удаление своих данных.
Когда дело доходит до реализации этого права, вам необходимо убедиться, что вы можете удалить информацию из всех ваших систем. Вы должны выполнить запрос в течение одного месяца или в течение двух месяцев в ограниченных случаях.
Как вы должны подготовиться: Ограничить доступ к данным Убедитесь, что личные данные доступны только тогда, когда это необходимо. Используйте технические мероприятия и меры по ограничению доступа сотрудников и подрядчиков, если это не требуется для их функций.
Как правило, вы можете сделать это, выбрав соответствующую настройку в вашей CRM по вашему выбору и через вашу сеть и настройки учетной записи в вашей системе.
Просмотрите ваших поставщиков услуг WIRE может интегрироваться с выбранным вами поставщиком услуг CRM. Согласно различным законам о защите данных, скорее всего, WIRE и такой провайдер будут считаться процессорами. Это означает, что вы, как контроллер, обязаны убедиться, что они обрабатывают данные только на основе ваших инструкций и что данные надежно защищены.
Вот некоторые из действий, которые вы можете предпринять:
- подписать соглашение об обработке данных
- отправить анкету защиты данных
- пересмотреть их сертификаты и стандарты соответствия и т. д.
- рассмотреть меры безопасности, предоставленные поставщиком услуг.
Удалить данные Иногда пользователи будут звонить вам с неуместными вопросами. Иногда они могут выдать больше информации, чем необходимо. В какой-то момент информация становится слишком старой и, по сути, становится бесполезной.
Попробуйте создать процесс для безопасного удаления таких ненужных данных из ваших систем.
Защитите данные должным образом Обязательно следуйте рекомендациям по безопасности личных данных. Существует множество мероприятий, которые вы можете использовать для достижения этой цели - создавать внутренние политики, использовать шифрование, где это возможно, создавать элементы управления доступом, использовать анонимность и псевдонимизацию, резервные копии, облачную безопасность и т. д.
Меры безопасности слишком многочисленны, чтобы их перечислять, поэтому лучше проконсультироваться с поставщиком услуг безопасности.
Будьте прозрачные со своими конечными пользователями Когда ваши пользователи звонят вашим сотрудникам, они должны знать, что вы записываете их и об их правах в отношении личных данных. Существует много способов достижения ясности и прозрачности с вашими пользователями, например, сообщение об этом во время разговора, предоставление политики конфиденциальности или коротких сообщений о конфиденциальности, объясняющие ваши причины для отслеживания и записи разговора.
Вы должны подумать, уместно ли спрашивать согласие пользователя на запись разговора и как вы можете управлять им.
Будьте открыты со своими сотрудниками Личные данные ваших сотрудников так же важны, как и личные данные ваших пользователей.
Когда вы интегрируете Сервисы Binotel в свои бизнес-процессы, убедитесь, что ваши сотрудники понимают, что их звонки записываются, и знают свои права по такой записи.
Следуйте принципу прозрачности, когда отслеживаете местонахождение При использовании WIRE можно включить отслеживание местонахождения.
Эта функция отключена по умолчанию.
Чтобы отслеживать местонахождение, вы должны придерживаться принципа прозрачности. В частности получить явное согласие от работников на обработку этих данных. В WIRE работник может разрешить или запретить отслеживание своего местонахождения. Однако вы должны убедиться, что работник позволил отслеживания данных без давления.
Если вы используете другое законное основание для обработки, вам нужно предоставить соответствующие гарантии.
Создать политику защиты данных сотрудника Часто хорошей идеей является пересмотр вашей внутренней практики сбора данных, соответствующих местных и международных законов о защите данных и создание внутренней политики, которая описывала бы ваш подход к защите данных сотрудников и лиц, ответственных за это.
Проверьте местные законы и судебные дела Может быть много особенностей и сложностей, связанных с местными законами о защите данных и судебными делами, которые интерпретируют их, особенно в отношении данных, которые могут считаться конфиденциальными, такие как банковская или медицинская информация, политические связи и т. д.
Вам следует проконсультироваться с местными юристами, если вы занимаетесь такой обработкой. Действует с 01.10.2019
Последняя редакция: 28.04.2021