GDPR: требования политики конфиденциальности

Опубликовано: 2018-05-15

Подготовка вашего бизнеса к GDPR — непростая задача, и она не заканчивается, когда закон вступает в силу 25 мая.

Шаг первый: чтобы подготовиться к GDPR от 25 мая и позже, вам нужно назначить сотрудника, который будет следить за соблюдением требований и обновлять вашу политику конфиденциальности. Это не просто юридические требования — они также закладывают хорошую основу для постоянного соблюдения и могут повлиять на продажи.

Назначьте кого-нибудь ответственным за данные

Сотрудник по защите данных — это официальная должность, требуемая GDPR. Если вы являетесь магазином из одного человека, это падает на вас, поэтому вам нужно будет выделить некоторое время, чтобы оставаться на вершине соответствия. Будь то вы или один из ваших сотрудников, вы должны назначить кого-то, кто возьмет на себя ответственность за стратегию защиты данных вашего бизнеса и соответствие требованиям, а также:

  • Решите, как клиенты должны делать запросы, касающиеся конфиденциальности. Это можно сделать через контактную форму на вашем сайте или через специальный адрес электронной почты (например, [email protected] ).
  • Обновите свою политику конфиденциальности, указав, как вы используете и храните данные и почему . GDPR требует, чтобы вы раскрывали информацию о данных. Можете ли вы собирать меньше персональных данных? Как долго ваш бизнес должен хранить записи по государственным/провинциальным/федеральным налогам? Когда и как вы создаете резервные копии и в конечном итоге уничтожаете записи о клиентах и ​​заказах? Для WordPress и WooCommerce это включает в себя проверку методов работы с данными плагинов и сервисов, на которые опирается ваш магазин. Вся эта информация должна быть опубликована в качестве вашей Политики конфиденциальности.
  • Подготовьтесь и ответьте на запросы о праве на удаление/доступ . Клиенты могут потребовать, чтобы вы удалили их данные, и вы обязаны выполнить это требование.
  • Готовьтесь к нарушениям безопасности и реагируйте на них . GDPR требует, чтобы вы незамедлительно сообщали о нарушениях своим клиентам.
  • Следите за будущими изменениями в законах о конфиденциальности , которые могут повлиять на ваш бизнес.

Как обновить свою политику конфиденциальности

Хорошо написанная и понятная политика конфиденциальности не только является требованием GDPR, но и помогает заключать сделки с потребителями, которые все больше заботятся о конфиденциальности. Составление политики конфиденциальности для вашего магазина WooCommerce требует небольшого исследования, небольшого количества написания и обязательства время от времени пересматривать политику.

Начиная с WordPress 4.9.6, вы сможете создать или указать страницу на своем сайте в качестве политики конфиденциальности вашего магазина. Вы найдете эту новую функцию в WP Admin > Settings > Privacy:

Настройки конфиденциальности в wp-admin

Если вы создаете страницу политики конфиденциальности в первый раз, WordPress предоставит шаблон, который поможет вам начать работу. Вообще говоря, хорошая политика конфиденциальности отвечает на следующие вопросы:

1. Какие данные обо мне собирает этот магазин?

Начните с «самотестирования» вашего собственного магазина и отметьте все поля (обязательные или необязательные) , где покупателям предлагается ввести информацию или сделать выбор. Обратите внимание на очевидные личные данные, такие как имя и адрес, а также на все остальное, что вы получаете от них, когда они оформляют заказ или становятся зарегистрированными пользователями на вашем сайте.

Затем обратите внимание на менее явные инструменты, такие как файлы cookie или аналитика, которые использует ваш сайт. Изучите, какие подключаемые модули вы установили, и просмотрите их информацию о конфиденциальности. Отправляет ли подключаемый модуль данные за пределы страны или, возможно, Европейского Союза? Это еще одна вещь, которую вам нужно сообщить клиентам.

Воспользуйтесь преимуществами новых инструментов в WordPress, чтобы просматривать обновления конфиденциальности от активных плагинов: начиная с WordPress 4.9.6, плагины могут регистрировать информацию о конфиденциальности в самом WordPress, и вы увидите эту информацию в специальном поле рядом с редактором при редактировании. ваша страница политики конфиденциальности в wp-admin. Сам WordPress также предоставит информацию об информации, которую он собирает от посетителей вашего сайта, например комментарии и файлы cookie.

Новое окно информации о конфиденциальности позволяет копировать и вставлять информацию о конфиденциальности из WordPress и плагинов непосредственно в вашу политику конфиденциальности, где вы можете отредактировать ее в соответствии с особенностями вашего магазина. Однако, поскольку многое зависит от конкретных настроек, которые вы используете, и от того, как плагины взаимодействуют друг с другом, вы захотите просмотреть и отредактировать этот текст , чтобы убедиться, что он подходит для вашего магазина.

Если плагин не предоставляет информацию о конфиденциальности, вы можете посетить веб-сайт разработчика или связаться с ним напрямую и спросить их о том, какие данные их плагин собирает от посетителей вашего сайта, если таковые имеются, и что они с ними делают.

2. Что этот магазин делает с моими данными и почему?

После того, как вы узнаете, что собираете, вам нужно будет отметить, почему вы это собираете.

Объяснения большей части данных, которые вы собираете, просты: вам нужен их адрес, чтобы отправить им продукт, или вам нужен их адрес электронной почты, чтобы обновить статус их заказа.

Если вы собираете какие-либо личные данные, которые вам на самом деле не нужны для выполнения заказа, вы должны объяснить своему клиенту почему и дать им возможность отказаться от такого рода «обработки» (см. «Флажки не «не единственный путь» ниже).

3. Кому этот магазин передает мои данные?

Здесь задействовано небольшое расследование — вам нужно просмотреть, как используются данные, которые вы собираете. Несколько типов плагинов чаще обмениваются данными:

  • Платежные шлюзы часто передают данные платежному провайдеру для обработки платежа.
  • Расширения доставки часто передают данные поставщикам услуг доставки для расчета стоимости доставки или печати этикеток доставки.
  • Расширения для маркетинга и аналитики часто обмениваются данными, чтобы добавлять клиентов в списки или анализировать их поведение.

По сути, если подключаемый модуль подключается к внешней службе, он, вероятно, передает какой-либо тип данных этой службе. Вы захотите просмотреть политики конфиденциальности этих служб, чтобы убедиться, что они соответствуют вашим приоритетам конфиденциальности.

Используете расширение с торговой площадки WooCommerce.com? Узнайте, как именно наши расширения, включая шлюзы оплаты и доставки, используют и хранят данные.

4. Как долго этот магазин хранит мои данные?

Существует множество причин для сохранения записей, в том числе, если оплата оспаривается клиентом, для налоговой проверки или по другим юридическим причинам. Хотя такие законы, как GDPR, имеют «право на удаление», вы не обязаны удалять записи, необходимые для других аспектов вашего бизнеса .

Тем не менее, ваша политика конфиденциальности, наряду с вашей страницей условий и положений, должна четко указывать клиентам, как долго вы храните их личные данные и почему.

5. Как я могу получить доступ, обновить или удалить собранные данные?

В дополнение к знанию того, что вы делаете с личными данными, клиенты должны знать, как они могут обновлять свои данные, в том числе:

  • Получение копии их данных
  • Обновление своих данных
  • Удаление их данных

Ваша политика конфиденциальности должна давать клиентам четкие инструкции о том, как связаться с вами или вашим уполномоченным лицом по вопросам конфиденциальности с этими запросами. Если вы разрешаете своим клиентам редактировать некоторую свою информацию, например, в разделе «Моя учетная запись», вы также можете указать это здесь.

Флажки — не единственный способ

В соответствии с GDPR существует несколько юридических подходов к обработке персональных данных. В вашей политике конфиденциальности должно быть указано, на каком основании вы выполняете каждый вид обработки персональных данных. К наиболее применимым для сайтов электронной коммерции относятся:

  • Согласие : пользователь прямо дает свое согласие на определенный вид обработки своих персональных данных (например, согласие на участие в маркетинговых исследованиях, проводимых третьей стороной).
  • Договорная необходимость : обработка персональных данных необходима для выполнения контракта (например, для отправки заказа).
  • Соблюдение юридических обязательств : обработка персональных данных требуется по юридическим причинам (например, идентификационный номер налогоплательщика НДС).
  • Законные интересы : обработка персональных данных является законным, ожидаемым поведением бизнеса (например, последующие электронные письма после того, как они разместили свой заказ на другие продукты, которые могут их заинтересовать).

Создайте свою политику конфиденциальности шаг за шагом

Это длинный список, мы знаем! Решайте эту проблему шаг за шагом и не беспокойтесь о создании идеальной политики конфиденциальности в первый же день. Поддержание вашей политики конфиденциальности в актуальном состоянии, особенно когда вы добавляете плагины — или плагины добавляют функции — будет постоянной деятельностью, как и любое другое обслуживание бизнеса, которое вы делаете.

Следующий? Длинные и короткие запросы прав доступа.