Що відбувається в разі недотримання? Штрафи за недотримання GDPR можуть бути дуже дорогою помилкою для багатонаціонального підприємства і, безсумнівно, можуть призвести до загибелі багатьох малих і середніх підприємств. Штрафи можуть скласти 20 мільйонів євро або 4% від світового обороту фірми. Недотримання GDPR також створює інший ризик, який складніше оцінити, але в рівній мірі серйозний для бізнесу - погану репутацію.
Репутаційний збиток буде основним наслідком будь-якого штрафу або штрафу, пов'язаного з GDPR, аналогічно наслідків інцидентів в сфері конфіденційності або безпеки в кіберпросторі, які зазвичай висвітлюються засобами масової інформації та неминуче призводять до втрати клієнтів і довіри.
Уточнення Закони про захист особистих даних, такі як GDPR, складні. Неможливо охопити всі важливі деталі в одному короткому посібнику. Воно не призначене в якості юридичної консультації, а просто служить відправною точкою для ваших зусиль щодо забезпечення відповідності даних.
Використання за призначенням і ваша роль Всі наші Сервіси, в тому числі і функції реєстрації, статистики та записи розмов, визначення місця розташування дзвінка/співробітника - призначені виключно для бізнес-цілей. Вони не призначені для особистого використання.
Згідно з різними законами, таким як Загальний стан речей про захист даних (GDPR), ви, швидше за все, будете класифіковані як контролер для персональних даних ваших співробітників, які використовують додаток, а також клієнтів, які звертаються до них.
Бути контролером означає, що ви несете відповідальність за захист особистих даних
Облік прав користувача
GDPR як конкретний приклад регулювання конфіденційності багато в чому пов'язаний з наданням людям певних прав. Одним з найбільш важливих аспектів дотримання GDPR є можливість реалізації прав суб'єкта даних. Нижче ви можете знайти список прав з поясненнями та порадами про те, як це реалізувати.
Право бути поінформованим Право на отримання інформації - це право користувача знати, як обробляються його особисті дані, застосовуючи політику конфіденційності. Вона спрямована на створення довіри між споживачами і Сервісом. Це повинно бути написано ясним, коротким способом, використовуючи прозорий мову. Компанія повинна пояснити, чому і як і які обробляє дані. Найголовніше - людина, у якого компанія збирає дані, повинен бути проінформований про це в час збору даних.
Право доступу Право доступу створює право, відповідно до якого людина може дізнатися, обробляються чи зберігаються його персональні дані, і, якщо це так, запросити копію всіх даних про нього, які у вас є.
Після запиту ви повинні спочатку перевірити, обробляє чи організація особисті дані, і дати відповідь. Якщо відповідь «так», ви повинні надати запитуючої стороні дані і наступну інформацію, які зазвичай включаються в вашу політику конфіденційності:
- мета обробки;
- категорії оброблюваних даних;
- одержувачі персональних даних;
- планована тривалість зберігання;
- інформація про права заявника;
- інформація про можливості подачі скарги до контролюючого органу;
- походження даних (якщо вони отримані від третьої сторони);
- інформація про профілювання (якщо є);
- запобіжні заходи, які предприн в разі передачі даних в третю країну.
Нарешті, ви повинні надати суб'єкту даних копію всіх його або її даних, які ви маєте в структурованому форматі (наприклад, CSV).
Право на мобільність Згідно з цим праву суб'єкт даних (користувач):
- Може отримувати належні до них особисті дані в зрозумілому, широко використовується форматі; а також
- Запросити передачу даних іншій особі (від одного контролера даних до іншого).
Хоча перша частина дуже схожа на право доступу, друга може здатися проблематичною. Малоймовірно, що хтось спробує скористатися цим правом для передачі даних на іншого контролера, але ми як і раніше рекомендуємо зберігати дані таким чином, щоб їх можна було передавати в структурованому, широко використовуваному і цифровому форматі.
Структуровані - дані забезпечують просту передачу і простоту використання. Це дані, в яких структурна зв'язок між елементами явно виражена в способі зберігання даних на комп'ютерному диску. Програмне забезпечення повинно бути в змозі отримати певні елементи даних. Прикладом структурованого формату є електронна таблиця - дані організовані (структуровані) в рядки і стовпці;
Зазвичай використовується - простіше кажучи, обраний вами формат повинен бути широко використовуваним і усталеним. Тим не менш, він повинен бути структурованим і машинозчитуваним;
Машиночитні - дані в форматі, який може автоматично зчитуватися і оброблятися комп'ютером. Це формат, з якого програмні додатки можуть ідентифікувати, розпізнавати і отримувати конкретні дані.
Найбільш часто використовувані формати, які задовольняють вищезгаданим вимогам, - це CSV, XML і JSON.
Як і у випадку з правом доступу, ви повинні надати запитуючої стороні копію своїх даних протягом одного місяця, який може бути продовжений до двох місяців.
Право на відкликання згоди Це право належить до вас, коли ви збираєте згоду, яка зазвичай потрібна при відправці маркетингових електронних листів користувачам або використанні сторонніх файлів Cookie (таких як аналітика або ретаргетінг). GDPR встановлює чіткі вимоги для отримання згоди - воно повинно бути чітким, конкретним, вільно наданим, однозначним і т. д. Регламент також передбачає, що фізична особа може відкликати свою згоду в будь-який час без необхідності пояснення свого рішення.
Право на виправлення Якщо ваші особисті дані застаріли або невірні, суб'єкт даних має право поновити їх. Основна мета тут - забезпечити точність даних про людину у вашій системі.
Найпростішим і простим рішенням для реалізації цього права є надання користувачам можливості змінювати свої дані в режимі реального часу на веб-сайті. Користувачі також повинні мати можливість скористатися цим правом через пошту / телефон / електронну пошту. Це гарна ідея, щоб включити цю можливість в політику конфіденційності
У разі, якщо фізична особа використовує це право поштою / телефоном / електронною поштою, ви повинні виконати запит протягом одного місяця або двох місяців, якщо у вас є законні підстави для затримки.
Право на обмеження обробки Право на обмеження обробки створює право, відповідно до якого людина може обмежувати використання вами своїх даних. Це можна порівняти з зависанням або блокуванням даних. Однак, суб'єкти даних потребують вагомої причини для реалізації цього права. Така причина може бути, наприклад, в тому, що наявна інформація є неточною, інформація обробляється / була незаконно оброблена, у суб'єкта даних можуть бути проблеми з обробкою даних і т. д
Ви повинні переконатися, що у вас є процеси, які дозволяють вам обмежити особисті дані. Це можуть бути: тимчасове переміщення даних в іншу систему, тимчасове видалення даних з веб-сайту / бази даних і т. д. Потім, необхідно переконатися, що подальша обробка даних не буде виконана. Це пов'язано з тим, що дані не можна змінити, поки діє обмеження. Також важливо запобігти випадковій обробці обмежених даних - обмежені дані повинні бути відповідним чином відзначені в системі.
Як і у випадку з більшістю інших прав, ви повинні виконати запит протягом 1 місяця з моменту отримання.
Право на стирання Також відомо як
«право бути забутим». Користувач може попросити вас, як контролера, стерти їх дані, якщо вони більше не потрібні для цілей, для яких вони були спочатку зібрані. У минулому ЄС приділяв багато уваги цьому праву і не буде миритися з компаніями, які не задовольняють дійсним запитам на видалення своїх даних.
Коли справа доходить до реалізації цього права, вам необхідно переконатися, що ви можете видалити інформацію з усіх ваших систем. Ви повинні виконати запит протягом одного місяця або протягом двох місяців в обмежених випадках.
Як ви повинні підготуватися:
Обмежити доступ до даних Переконайтеся, що особисті дані доступні тільки тоді, коли це необхідно. Застосовуйте технічні заходи і заходи для обмеження доступу співробітників і підрядників, якщо це не потрібно для їх функцій.
Як правило, ви можете зробити це, вибравши відповідну настройку у вашій CRM за вашим вибором і через вашу мережу і налаштування облікового запису у вашій системі.
Перевірте ваших постачальників послуг WIRE може інтегруватися з обраним вами постачальниками послуг CRM. У відповідності з різними законами про захист даних, швидше за все, WIRE і такі провайдери будуть вважатися процесорами. Це означає, що ви, як контролер, зобов'язані переконатися, що вони обробляють дані тільки на підставі ваших інструкцій і що дані надійно захищені. Ось деякі з дій, які ви можете зробити:
- підписати угоду про обробку даних
- відправити анкету захисту даних
- переглянути їх сертифікати і стандарти відповідності і т. д.
- розглянути заходи безпеки, надані постачальником послуг.
Видалити дані Іноді користувачі будуть дзвонити вам з недоречними питаннями. Іноді вони можуть видати більше інформації, ніж необхідно. У якийсь момент інформація стає занадто старою і, по суті, стає марною.
Спробуйте створити процес для безпечного видалення таких непотрібних даних з ваших систем.
Захистіть дані належним чином Обов'язково дотримуйтесь рекомендацій щодо безпеки особистих даних. Існує безліч заходів, які ви можете використовувати для досягнення цієї мети - створювати внутрішні політики, використовувати шифрування, де це можливо, створювати елементи управління доступом, використовувати анонімність і псевдонімізацію, резервні копії, хмарну безпеку і т. д.
Заходи безпеки занадто численні, щоб їх перераховувати, тому краще проконсультуватися з постачальником послуг безпеки.
Будьте прозорі зі своїми кінцевими користувачами Коли ваші користувачі дзвонять вашим співробітникам, вони повинні знати, що ви записуєте їх і про їхні права щодо особистих даних. Існує багато способів досягнення ясності і прозорості з вашими користувачами, наприклад, повідомлення про це під час розмови, надання політики конфіденційності або коротких повідомлень про конфіденційність, що пояснюють ваші причини для відстеження й запису розмови.
Ви повинні подумати, чи доречно запитувати згоду користувача на запис розмови і як ви можете керувати ним.
Будьте відкриті зі своїми співробітниками Особисті дані ваших співробітників так само важливі, як і особисті дані ваших користувачів.
Коли ви інтегруєте Сервіси Binotel в свої бізнес-процеси, переконайтеся, що ваші співробітники розуміють, що їхні дзвінки записуються, і знають свої права щодо такого запису.
Дотримуйтесь принципу прозорості, коли відстежуєте місцезнаходження Під час використання WIRE ви можете увімкнути відстеження місцезнаходження.
Ця функція вимкнена за замовчуванням.
Щоб відстежувати місцезнаходження, ви повинні дотримуватися принципу прозорості. Зокрема отримати явну згоду від працівників на обробку цих даних. У WIRE працівник може дозволити або заборонити відстеження свого місцезнаходження. Проте ви повинні переконатися, що працівник дозволив відстеження даних без тиску. Якщо ви використовуєте іншу законну підставу для обробки, вам потрібно надати відповідні гарантії.
Створити політику захисту даних співробітника Часто гарною ідеєю є перегляд вашої внутрішньої практики збору даних, відповідних місцевих та міжнародних законів про захист даних і створення внутрішньої політики, яка описувала б ваш підхід до захисту даних співробітників і осіб, відповідальних за це.
Перевірте місцеві закони і судові справи Може бути багато особливостей і складнощів, пов'язаних з місцевими законами про захист даних і судовими справами, які інтерпретують їх, особливо щодо даних, які можуть вважатися конфіденційними, такі як банківська або медична інформація, політичні зв'язки і т. д.
Вам слід проконсультуватися з місцевими юристами, якщо ви займаєтеся такою обробкою.
Діє з 01.10.2019
Остання редакція: 28.04.2021