Jak sprawić, by Twoja witryna była zgodna z RODO GDP

Opublikowany: 2021-07-19

Wymogi RODO nadal obowiązują w okresie wycofania Wielkiej Brytanii z Brexitu oraz w odniesieniu do wszystkich przedsiębiorstw prowadzących handel z UE. Oto 10 zmian, które powinieneś teraz wprowadzić w swojej witrynie, aby pozostać po właściwej stronie prawa i zadowolić swoich klientów.

W tym poście chcę szczegółowo omówić wąski obszar, w jaki sposób zapewnić zgodność witryny z RODO , i przedstawić zalecenia dotyczące konkretnych zmian, które należy wprowadzić.

A co z Brexitem i 2020… czy RODO nadal jest wymogiem?

Ogólne przepisy o ochronie danych (RODO) mają zastosowanie do wszystkich firm z siedzibą w UE oraz tych, których klientami są obywatele UE. W przypadku firm brytyjskich umowa o wycofaniu Brexitu nie wprowadzi żadnych zmian w konieczności przestrzegania przepisów w okresie przejściowym, podobnie jak wymagania dla firm prowadzących handel w UE.

Ponadto Wielka Brytania zobowiązuje się do utrzymania wysokich standardów RODO (a rząd planuje włączyć je do prawa brytyjskiego po Brexicie.

Obecne przepisy RODO weszły w życie 25 maja 2018 r.

Interesujące jest rozważenie egzekwowania przepisów RODO, a strona internetowa GDPR Enforcement Tracker zawiera listę i przegląd grzywien i kar, które organy ochrony danych w UE nałożyły na mocy RODO.

Po pierwsze muszę powiedzieć, że nie jestem prawnikiem, a po drugie jest to pobieżna analiza. W chwili pisania tego tekstu baza danych zawiera

  • 16 spraw dotyczących grzywien i kar, w których streszczenie zawiera słowo „sieć”, w tym sprawa z grudnia 2019 r. dotycząca operatora strony internetowej z wiadomościami prawniczymi, miała oświadczenie o ochronie prywatności dostępne tylko w języku angielskim, chociaż było ono również adresowane do osób mówiących po holendersku i francusku publiczność.
  • 5 przypadków, w których podsumowanie zawiera słowo „e-mail”, w tym przypadek w 2019 r., w którym Vodaphone wysłał e-mail marketingowy do dużej liczby odbiorców (klientów) bez korzystania z funkcji kopiowania w ciemno. Wstępna grzywna w wysokości 60 000 euro została obniżona do 36 000 euro.

Z jednej strony nie jest to ogromna liczba postępowań za niezgodność, ale łączymy to ryzyko ze zwiększoną wrażliwością przetwarzania danych osobowych i świadomością tego jako problemu, a zgodność z RODO staje się nie tylko wymogiem ustawowym, ale także dobry zmysł biznesowy.

Jak RODO wpływa na plany i funkcjonalność mojej strony internetowej?

RODO ma znaczący wpływ na wymagania dotyczące witryny, co będzie miało wpływ na sposób, w jaki Twoja witryna integruje się z innymi działaniami cyfrowymi, takimi jak marketing e-mailowy, media społecznościowe i działania e-commerce.

Złotym wątkiem, który łączy wszystkie te zalecenia, jest to, że zgodnie z RODO koncepcja dobrowolnej, konkretnej i świadomej zgody zostaje wzmocniona dzięki nowym przepisom, co oznacza, że ​​firmy takie jak nasza muszą zapewnić większą przejrzystość.

Oto 10 kroków, które będziesz chciał przejrzeć dla swojej witryny i omówić niezbędne zmiany z zespołem programistów. Jeśli masz pytania, skontaktuj się ze mną.

Zacznijmy od prostych zmian, które będziesz musiał wprowadzić, a następnie przejdź do bardziej złożonych obszarów.

1. Formularze: aktywna akceptacja

Formularze zapraszające użytkowników do subskrypcji biuletynów lub wskazujące preferencje dotyczące kontaktu muszą domyślnie zawierać „nie” lub być puste. Musisz sprawdzić swoje formularze, aby upewnić się, że tak jest.

Na przykład w obecnym formularzu rejestracyjnym Boots przed wprowadzeniem RODO zaznaczono pole wyboru, zmuszając użytkownika do aktywnej rezygnacji. Bardzo niegrzeczne, złe wrażenia użytkownika i muszą zostać zmienione do maja.

Niepowodzenie akceptacji RODO

W 2020 roku ten formularz został odznaczony zgodnie z wymogami RODO GDP

Boots 2020 Zgodność strony z RODO

Z drugiej strony spieram się, że Sainsbury's nie zapewnia mi wspaniałych wrażeń, przyjmując opcję opt-in i zmuszając mnie do zaznaczenia pola rezygnacji. Twierdzę, że mogą na tym płynąć blisko wiatru i zdecydowanie nie zachwycają mnie jako potencjalnego klienta:

2020 RODO Sainsburys rezygnuje

2. Rozdzielona akceptacja

Zgoda, o którą prosisz, powinna być określona oddzielnie dla akceptacji regulaminu oraz akceptacji zgody na inne sposoby wykorzystania danych.

W tym przykładzie firma Sainsbury's wyraźnie określa akceptację swoich warunków i osobno określa aktywną zgodę na korzystanie z ich uprawnień do kontaktu.

Szkoda, że ​​firma Sainsbury's nie miała opcji, aby być bardziej szczegółowym, jeśli chodzi o preferencje dotyczące komunikacji (e-mail, SMS, poczta).

Sainsburys Granular opt in

3. Szczegółowa akceptacja

Użytkownicy powinni mieć możliwość wyrażenia odrębnej zgody na różne rodzaje przetwarzania.

W tym przykładzie ABC Awards prosi o konkretną zgodę na każdy rodzaj przetwarzania (poczta, e-mail, telefon), a także prosi o zgodę na przekazanie danych z przeszłości osobom trzecim.

4. Łatwe wycofanie zgody lub rezygnacja

Wycofanie zgody musi być równie łatwe, jak jej udzielenie, a jednostki zawsze muszą wiedzieć, że mają prawo do wycofania swojej zgody.

Jeśli chodzi o wygodę użytkownika sieci, oznacza to, że rezygnacja z subskrypcji może polegać na selektywnym wycofaniu zgody na określone strumienie komunikacji:

Wycofanie zgody RODO

Lub łatwo zmienić częstotliwość komunikacji lub całkowicie zatrzymać komunikację:

częstotliwość wycofywania zgody

5. Nazwane strony

Twoje formularze internetowe muszą wyraźnie identyfikować każdą stronę, której udzielana jest zgoda. Nie wystarczy powiedzieć konkretnie zdefiniowane kategorie organizacji zewnętrznych. Muszą być nazwane.

W tym przykładzie widać, że John Lewis rozumie, że musimy nadać nazwane uprawnienia do aktualizacji każdemu z Waitrose, John Lewis i John Lewis Financial Services.

Wcześniej w formularzu proszono użytkowników o rezygnację, a nie o wyrażenie zgody:

uprawnienia Johna Lewisais

6. Oświadczenie i warunki dotyczące prywatności

Biuro Komisarza ds. Informacji (ICO) bardzo uprzejmie udostępniło przykładową informację o polityce prywatności, którą możesz wykorzystać na swojej stronie internetowej. Jest zwięzły, przejrzysty i łatwo dostępny.

Będziesz także musiał zaktualizować swoje warunki w swojej witrynie, aby odnieść się do terminologii RODO. W szczególności będziesz musiał jasno określić, co zrobisz z informacjami po ich otrzymaniu oraz jak długo będziesz przechowywać te informacje zarówno na swojej stronie internetowej, jak i w systemach biurowych. .

Będziesz także musiał poinformować, w jaki sposób i dlaczego zbierasz dane. Twoja polityka prywatności będzie musiała szczegółowo określać aplikacje, których używasz do śledzenia interakcji użytkownika.

7. Płatności online

Jeśli prowadzisz działalność e-commerce, prawdopodobnie korzystasz z bramki płatniczej do transakcji finansowych. Twoja własna strona internetowa może gromadzić dane osobowe przed przekazaniem ich do bramki płatności.

Jeśli tak jest, a Twoja witryna przechowuje te dane osobowe po przekazaniu informacji, będziesz musiał zmodyfikować swoje procesy internetowe, aby usunąć wszelkie dane osobowe po rozsądnym okresie, na przykład 60 dni. Przepisy RODO nie określają jednoznacznie liczby dni, to Twój własny osąd, co można bronić jako uzasadnione i konieczne.

8. Oprogramowanie śledzące innych firm

Sprawy zaczynają się teraz komplikować, jeśli chodzi o oprogramowanie śledzące innych firm.

Wiele witryn korzysta w swoich witrynach z oprogramowania do automatyzacji marketingu innych firm. Mogą to być aplikacje do śledzenia potencjalnych klientów, takie jak Lead Forensics, Leadfeeder lub CANDDI. Mogą to być również aplikacje do śledzenia połączeń, takie jak Infinity Call Tracking lub Ruler Analytics.

Korzystanie z tych aplikacji śledzących rodzi bardzo interesujące pytania w zakresie zgodności z RODO i moim zdaniem pozostaje to szara strefa. Na pierwszy rzut oka aplikacje te śledzą użytkowników w sposób, którego nie oczekiwaliby i na który nie wyrazili zgody. Na przykład śledzi moje zachowanie za każdym razem, gdy wracam do Twojej witryny lub wyświetlam określoną stronę w Twojej witrynie.

Jednak dostawcy tych aplikacji zapewniają nas, że są zgodne z RODO.

Po pierwsze, dostawcy tacy jak CANNDI doradzają, aby banery informujące w sposób jasny i jednoznaczny, że używane są pliki cookie,

Zgodność z RODO CANNDI

Dostawcy oprogramowania twierdzą, że korzystanie z technologii śledzenia plików cookie leży w uzasadnionym interesie Twojej firmy jako administratora danych, a w szczególności w motywie 47 umożliwiającym „przetwarzanie w celach marketingu bezpośredniego lub zapobieganie oszustwom”.

CANNDI doradza:

Uzasadniony interes​ ​-​ ​Jeśli korzystasz z zasady uzasadnionego interesu w ramach śledzenia Twojej witryny, wskazane jest, aby podczas przygotowywania RODO mieć to w ewidencji. Powinno to obejmować powody, dla których z tego korzystasz.

Chciałbym podziękować CANNDI za podzielenie się perspektywą RODO i polecam ją przeczytać (PDF).

Perspektywa RODO CANNDIO

Dostawcy tych narzędzi są pewni, że są zgodne z RODO. Ale jeśli oprogramowanie robi coś nielegalnego, to jest to odpowiedzialność Twojej firmy jako administratora danych. Prawdziwym pytaniem jest identyfikacja zagrożeń zgodności z RODO przy korzystaniu z tego rodzaju oprogramowania i ograniczenie ryzyka jako właściciela firmy. W rezultacie należy dokładnie przejrzeć umowę z tymi dostawcami oprogramowania.

9. A co z Google Analytics i Menedżerem tagów Google?

Jeśli interesuje Cię zobowiązanie Google do RODO, dobrym miejscem do rozpoczęcia jest ta strona internetowa: Jak Google przestrzega przepisów o ochronie danych

Wiele witryn jest skonfigurowanych do korzystania z Google Analytics do śledzenia zachowań użytkowników. Google Analytics zawsze był anonimowym systemem śledzenia. Nie są gromadzone żadne „dane osobowe”, więc uważam, że RODO nie ma wpływu na ich wykorzystanie.

W odniesieniu do Menedżera tagów Google; jest to potężne narzędzie, które umożliwia Twojej witrynie wysyłanie informacji do aplikacji innych firm poprzez wstawianie niewielkich ilości kodu. Możesz zintegrować wewnętrzne repozytoria danych, a także zewnętrzne systemy remarketingu i retargetingu oraz szereg innych usług. Problemem dla firm w odniesieniu do Menedżera tagów jest zawarcie umowy z osobami, które mają dostęp do Menedżera tagów (może to być Twój projektant stron internetowych lub agencja marketingu cyfrowego), aby upewnić się, że rozumieją swoje obowiązki prawne podmiot przetwarzający dane w Twoim imieniu jako administrator danych.

Tak więc podstawowym problemem związanym z nowym RODO jest identyfikacja i zawarcie umów z zewnętrznymi podmiotami przetwarzającymi dane w celu ochrony zarówno własnych interesów.

10. I wreszcie… nie tylko Twoja strona internetowa musi być zgodna z RODO

Zmiany wprowadzane wraz z RODO przenikną cały Twój biznes, a w tej serii artykułów skupiamy się wyłącznie na Twoim marketingu cyfrowym.

Gdy zaczniesz planować szczegóły swojej witryny, odkryjesz jaskinię Alladyna z problemami, które musisz rozważyć. Komisarz ds. informacji dostarczył doskonały zestaw materiałów do Państwa dyspozycji, ale oto kilka kluczowych pytań, które należy rozważyć teraz, gdy zbliżamy się do majowego terminu:

  • Prawdopodobnie masz dużo danych osobowych przechowywanych w różnych miejscach w firmie. Czy dobrze rozumiesz i posiadasz udokumentowany zapis posiadanych danych?
  • Czy musisz uzyskać lub odświeżyć zgodę na posiadane dane?
  • Czy masz określoną politykę dotyczącą tego, jak długo przechowujesz dane osobowe, aby nie przechowywać ich niepotrzebnie i zapewnić ich aktualność?
  • Czy Twoje dane są przechowywane w bezpieczny sposób, mając na uwadze zarówno technologię, jak i czynnik ludzki w bezpieczeństwie danych?
  • Niezależnie od tego, czy jesteś administratorem danych, czy podmiotem przetwarzającym dane (lub obydwoma), czy masz odpowiednie rozwiązania prawne?

Jeśli potrzebujesz pomocy w projektowaniu stron internetowych i kreacji, nie wahaj się z nami skontaktować.