Контрольный список GDPR для электронной коммерции для бизнес-сайтов — полное руководство

Опубликовано: 2020-09-26

Введение

Соблюдение GDPR является основным требованием для любого веб-сайта, который предлагает свои продукты или услуги в европейских странах. Это не только делает сайт совместимым с правовой базой, но и делает его заслуживающим доверия в глазах посетителей. Так как это увеличивает его прозрачность. Но как обеспечить соответствие GDPR, может быть неясным для некоторых владельцев веб-сайтов.

В этой статье мы подготовили для вас контрольный список GDPR для электронной коммерции. Независимо от того, являетесь ли вы новичком в этой области или экспертом, наш контрольный список GDPR послужит ориентиром для соблюдения требований электронной коммерции. В конце статьи мы также расскажем вам, как простым способом сделать ваш сайт совместимым с GDPR с помощью двух простых плагинов WordPress. Прочтите статью, и вы сможете сделать свой сайт совместимым с GDPR, выполнив несколько простых шагов без каких-либо проблем.

Что такое GDPR?

1

Общий регламент по защите данных или GDPR — это европейская правовая база. Он был реализован 25 мая 2018 года для защиты конфиденциальности данных жителей ЕС.

На кого распространяется GDPR?

GDPR применяется к коммерческой организации, если она:

  • Имеет деловое присутствие в любой из стран ЕС.
  • Не имеет делового присутствия в ЕС, но обрабатывает персональные данные жителей Европы и предлагает свои продукты или услуги жителям стран ЕС.
  • Имеет численность более 250 сотрудников
  • Имеет менее 250 сотрудников, но его сбор и обработка данных затрагивают права и свободы субъектов данных на неприкосновенность частной жизни, процесс является регулярным и включает определенные типы конфиденциальных данных.

Штрафы GDPR для электронной коммерции, о которых вам нужно знать

Вот основные штрафы в соответствии с GDPR:

  • До 2% годового дохода компании за предыдущий год или до 10 миллионов долларов США, в зависимости от того, какая сумма выше. Это применимо для несоблюдения.
  • До 4% годового дохода компании за предыдущий год или 20 миллионов долларов США, в зависимости от того, что больше. Это за утечку данных.

Основные требования GDPR и как им соответствовать

Правовая основа для обработки данных

Согласно GDPR, личные данные резидентов ЕС могут быть доступны только в том случае, если они имеют хотя бы одно правовое основание. Ниже приведены правовые основы, которые GDPR предоставляет для обработки данных:

  • Пользователи дали свое согласие для определенной цели
  • Обработка данных необходима для поддержания или заключения договора, участником которого является пользователь.
  • Обработка данных необходима для выполнения юридического обязательства, субъектом которого является контролер данных.
  • Обработка данных необходима для защиты интересов пользователей
  • Обработка данных требуется для деятельности, осуществляемой в общественных интересах.
  • Обработка данных осуществляется в законных интересах контролера данных или какого-либо другого лица.

Согласие

Слово «согласие» просто означает разрешение пользователей на обработку данных. Согласие должно быть добровольным и обычно носит переменный характер. Это означает, что пользователь может изменить свое согласие в любое время. Уведомление о согласии должно быть чистым и четким. В нем не должно быть двусмысленности.

Организация должна вести следующие записи о согласии:

  • Кто дал согласие?
  • Каким образом было получено согласие от пользователя и когда
  • Была ли пользователю предоставлена ​​форма согласия во время сбора согласия
  • Какие юридические документы и условия были применимы на момент сбора согласия

Права пользователей

GDPR предоставил гражданам ЕС множество прав на защиту их конфиденциальности и безопасности. Ниже приведены основные права в соответствии с GDPR:

  • Право на получение информации

Субъекты данных должны быть проинформированы об обработке данных и должны быть запрошены их согласие до сбора данных. Они имеют право знать, с какой целью собираются данные, как они должны обрабатываться и храниться, и должны ли они передаваться третьим лицам, кому они передаются.

  • Право доступа

Субъекты данных теперь имеют право доступа к своим личным данным, которые находятся в базе данных организации, в любое время. Контролер обязан предоставить обзор процесса обработки данных, если пользователь запрашивает его.

  • Право на исправление

Пользователи теперь имеют право на исправление своих данных, если они неполны или неточны. GDPR также указывает, что исправление должно быть раскрыто всем сторонним получателям, участвующим в процессе. Если пользователь запрашивает, организация должна сообщить ему о сторонних получателях.

  • Право на стирание

Пользователь может попросить организацию удалить его данные из своей базы данных. В этом случае организация обязана удалить информацию.

  • Право на ограничение обработки

Субъекты данных имеют право ограничить обработку данных. Запрос должен быть обработан в течение одного месяца с момента получения запроса.

  • Право на переносимость данных

Пользователь может получить свои личные данные для передачи их от одного контроллера к другому без каких-либо возражений со стороны обработчика данных. Под это правило подпадают как предоставленные, так и наблюдаемые данные.

  • Право на возражение

GDPR дает пользователям право возражать против определенных действий по обработке данных, связанных с их личными данными. Пользователь должен указать действительную мотивацию возражения, если обработка данных осуществляется в общественных интересах. Если обработка выполняется только в маркетинговых целях, со стороны пользователей не требуется мотивации для подачи возражения.

  • Права в отношении автоматизированного принятия решений и профилирования

Субъекты данных имеют право отказаться от системы автоматизированной обработки данных. Организация может осуществлять автоматизированную обработку данных только в том случае, если это необходимо для заключения или поддержания контракта, признанного законами государств ЕС, на основании разрешения пользователей и не имеет каких-либо правовых или аналогичных последствий для субъектов данных.

Трансграничная передача данных

GDPR разрешает передачу данных за пределы ЕЭЗ или Европейской экономической зоны только при условии, что страна, в которую передаются данные, имеет адекватный уровень защиты данных в соответствии со стандартом ЕС.

Другим условием является то, что субъект данных должен быть проинформирован об этом. Без согласия субъекта не допускается передача каких-либо данных.

Конфиденциальность по дизайну и по умолчанию

Обработка данных должна быть включена с самого начала проектирования бизнес-процесса и его разработки. Другими словами, компания должна обеспечить высокий стандарт обработки данных и принять все необходимые меры для соблюдения стандартов, установленных GDPR, в отношении жизненного цикла обработки данных.

Уведомление о нарушении

В случае нарушения контролер данных должен проинформировать вышестоящие органы в течение 72 часов с момента получения информации об утечке данных. Если данные обрабатываются обработчиком данных от имени контролера данных, он должен сообщить контролеру об утечке данных в тот момент, когда он узнает об этом. Пользователи также должны быть проинформированы об утечке данных.

Ответственные за защиту данных

Сотрудник по защите данных — это человек, который помогает организации соблюдать законы GDPR. Он помогает организации внедрить все правила, установить повестку дня и принять меры для внутреннего соответствия.

Сотрудник по защите данных требуется, особенно в следующих случаях:

  • Место, где на регулярной основе проводится масштабный систематический мониторинг пользователей.
  • Если обработка данных осуществляется государственными органами
  • Если выполняется сложная операция с данными пользователей, особенно если речь идет о конфиденциальных данных.

Ведение учета операций обработки

GDPR обязывает контролера данных и обработчика вести всеобъемлющую и обновленную «полную и обширную» запись данных пользователей.

Запись должна быть сохранена, если -

  • Обработка данных не случайна
  • Может привести к риску для прав на неприкосновенность частной жизни и свобод жителей ЕС
  • Включает конфиденциальные или специальные категории данных
  • Обработку осуществляет организация со штатом более 250 сотрудников.

Запись должна включать -

  • Имя и контактная информация контроллеров данных
  • Цель обработки данных
  • Адекватное описание категорий данных, пользователей и получателей данных
  • Примерный срок обработки различных категорий данных
  • Описание технических мер безопасности организации

Оценка воздействия на защиту данных (DPIA)

DPIA или Оценка воздействия на защиту данных — это процесс, который помогает организации обновить себя, чтобы соответствовать стандартам GDPR и соответствовать им. В основном это процесс ведения записей. Это обязательно в тех случаях, когда существует вероятность того, что обработка данных может привести к риску для конфиденциальности субъектов данных. DIPA должен быть зарегистрирован в письменной форме для удобства организации.

DIPA включает в себя следующие вещи:

  • Описание обрабатываемых данных
  • Цель обработки данных
  • Оценочный отчет о требованиях и объеме обработки данных в связи с ее целью
  • Оценка факторов риска
  • Описание мер, принятых для устранения рисков

Вот что вам нужно, чтобы начать работу с полным соответствием:

Есть много разных способов соответствовать GDPR. Основными требованиями для этой цели являются политика конфиденциальности для веб-сайтов электронной коммерции, согласие пользователей на сбор их личных данных и политика уведомления о файлах cookie, если вы используете файлы cookie. Самый простой способ выполнить эти требования — использовать плагин WordPress. Мы рекомендуем два удобных плагина: WP Legal Pages Pro и WP Cookie Consent.

Юридические страницы WP PRO

2

WP Legal Pages Pro — это мощный инструмент WordPress, который поможет вам создавать юридические документы уровня адвоката на вашем веб-сайте WordPress всего за несколько кликов. Он поставляется с 25+ предварительно разработанными шаблонами. Этот плагин политики конфиденциальности WordPress включает политику конфиденциальности GDPR для веб-сайтов электронной коммерции. Все, что вам нужно сделать, это просто установить и активировать плагин, импортировать шаблон, добавить свои данные и нажать кнопку «Опубликовать», чтобы сделать ваш сайт совместимым с GDPR.

Согласие с файлами cookie WP

3

WP Cookie Consent — это элегантный и современный плагин согласия на использование файлов cookie для WordPress, который поможет вам сделать ваш сайт совместимым с GDPR, используя на нем настраиваемую панель файлов cookie. Это позволяет вам создавать уведомления о файлах cookie без каких-либо затруднений в течение нескольких минут. Вы можете показать или скрыть эти уведомления на основе геолокации. Существует сканер одним щелчком мыши, который автоматически обнаруживает все веб-сайты и сторонние файлы cookie, пока он включен. Вы можете редактировать данные cookie вручную.

Последние мысли

В этой статье мы попытались дать представление о правовой базе GDPR и соблюдении правил электронной коммерции. Мы также предоставили подробный контрольный список требований GDPR, чтобы помочь вам привести ваш веб-сайт в соответствие с недавно введенным правилом конфиденциальности. В конце статьи мы предложили два удобных для начинающих и отзывчивых плагина, предназначенных для создания юридических документов, требуемых GDPR. Вы можете взять плагины и продолжить. В течение нескольких минут вы сможете привести свой сайт в соответствие с GDPR.

Если вы нашли статью полезной, поделитесь ею в Twitter и Facebook. Оставьте свое мнение в разделе комментариев ниже. Мы хотели бы услышать ваши отзывы. Если вам нужна дополнительная информация, пожалуйста, не стесняйтесь обращаться к нам. Мы свяжемся с вами в ближайшее время. Подпишитесь на наш канал YouTube, чтобы получать наши видеоуроки.

Отказ от ответственности : это вклад гостя из блога соседа.