Cum să faceți site-ul dvs. compatibil GDPR

Publicat: 2021-07-19

Cerințele GDPR continuă să se aplice în perioada de retragere a Brexitului din Marea Britanie și pentru toate companiile care tranzacționează cu UE. Iată 10 modificări pe care ar trebui să le faceți site-ului dvs. acum pentru a rămâne pe partea dreaptă a legii și pentru a vă menține clienții fericiți.

În această postare, vreau să abordez în mod specific zona îngustă a modului de a face site-ul dvs. compatibil GDPR și să fac recomandări pentru modificările specifice pe care va trebui să le faceți.

Dar Brexit și 2020 ... GDPR este încă o cerință?

Regulamentul general privind protecția datelor (GDPR) se aplică tuturor companiilor din UE și celor cu cetățeni ai UE ca clienți. Pentru întreprinderile din Marea Britanie, acordul de retragere a Brexitului nu va aduce modificări necesității de a se conforma în perioada de tranziție și nici cerințele nu se vor schimba pentru întreprinderile care tranzacționează în interiorul UE.

Mai mult, Marea Britanie se angajează să mențină standardele înalte ale GDPR (iar guvernul intenționează să îl încorporeze în legislația britanică după Brexit.

Actualele reglementări GDPR au intrat în vigoare la 25 mai 2018.

Este interesant să se ia în considerare aplicarea reglementărilor GDPR, iar site-ul web GDPR Enforcement Tracker oferă o listă și o prezentare generală a amenzilor și sancțiunilor pe care autoritățile de protecție a datelor din UE le-au impus în temeiul GDPR.

În primul rând, trebuie să spun că nu sunt un profesionist în drept și, în al doilea rând, aceasta este o analiză superficială. În momentul redactării, baza de date conține

  • 16 cazuri de amenzi și sancțiuni în care rezumatul conține cuvântul „web”, inclusiv un caz din decembrie 2019 referitor la un operator al unui site web pentru știri juridice, declarația de confidențialitate era disponibilă numai în limba engleză, deși a fost adresată și unui vorbitor de limbă olandeză și franceză public.
  • 5 cazuri în care rezumatul conține cuvântul „e-mail”, inclusiv un caz în 2019 în care Vodaphone a trimis un e-mail de marketing unui număr mare de destinatari (clienți) fără a utiliza funcția de copiere oarbă. Amenda inițială de 60.000 EUR a fost redusă la 36.000 EUR.

Pe de o parte, acesta nu este un număr mare de urmăriri penale pentru nerespectare, ci combină acest risc cu sensibilitatea crescută a procesării datelor cu caracter personal și conștientizarea acestui fapt ca o problemă, iar conformitatea GDPR devine nu doar o cerință legală, ci și bun simț al afacerii.

Cum are impact GDPR planurile și funcționalitatea site-ului meu web?

GDPR are un impact semnificativ asupra cerințelor site-ului web, ceea ce va avea un efect continuu asupra modului în care site-ul dvs. web se integrează cu cealaltă activitate digitală, cum ar fi marketingul prin e-mail, social media și activitățile de comerț electronic.

Firul de aur care leagă toate aceste recomandări este că, în temeiul GDPR, se consolidează conceptul consimțământului în mod liber, specific și informat , cu noi reguli, ceea ce înseamnă că întreprinderile ca a noastră trebuie să ofere mai multă transparență.

Iată 10 pași pe care veți dori să îi examinați pentru site-ul dvs. și să discutați schimbările necesare cu echipa dvs. de dezvoltare web. Orice întrebare, nu ezitați să luați legătura cu mine.

Să începem cu schimbările directe pe care va trebui să le faceți, apoi să trecem la zonele mai complexe.

1. Formulare: activare activă

Formularele care invită utilizatorii să se aboneze la buletine informative sau să indice preferințele de contact trebuie să fie „nu” sau să fie necompletate. Va trebui să vă verificați formularele pentru a vă asigura că acesta este cazul.

De exemplu, formularul actual de înregistrare Boots conform conform GDPR a bifat caseta de opțiune, forțând utilizatorul să renunțe în mod activ. Foarte obraznic, experiență proastă de utilizator și trebuie schimbat până în mai.

GDPR Opt In Fail

În 2020, formularul respectiv a fost anulat, conform cerințelor GDPR

Conformitatea GDPR a site-ului Boots 2020

Pe de altă parte, aș argumenta că cei de la Sainsbury nu-mi oferă o experiență extraordinară prin asumarea unui opt-in și obligarea mea să bifez caseta pentru a renunța. Aș argumenta că ar putea naviga aproape de vânt în acest sens și cu siguranță nu mă încântă ca potențial client:

2020 GDPR Sainsburys renunță

2. Înscriere neîngrădită

Consimțământul pe care îl solicitați ar trebui să fie stabilit separat pentru acceptarea termenilor și condițiilor și acceptarea consimțământului pentru alte moduri de utilizare a datelor.

În acest exemplu, Sainsbury a stabilit clar acceptarea termenilor și condițiilor lor și a stabilit separat opțiunea activă pentru permisiunile lor de contact.

Este păcat că Sainsbury's nu a primit opțiunea de a fi mai granular în ceea ce privește preferințele de comunicare opt-in (e-mail, SMS, poștă).

sainsburys granular opt in

3. Opt-in granular

Utilizatorii ar trebui să poată furniza consimțământul separat pentru diferite tipuri de prelucrări.

În acest exemplu, premiile ABC solicită permisiunea specifică pentru fiecare tip de procesare (poștă, e-mail, telefon) și, de asemenea, solicită permisiunea pentru detalii anterioare către o terță parte.

4. Este ușor să retrageți permisiunea sau să renunțați

Trebuie să fie la fel de ușor de eliminat consimțământul pe cât a fost să-l acordăm, iar persoanele fizice trebuie întotdeauna să știe că au dreptul să își retragă consimțământul.

În ceea ce privește experiența dvs. de utilizator web, aceasta înseamnă că dezabonarea ar putea consta în retragerea selectivă a consimțământului pentru anumite fluxuri de comunicare:

Fără acordul GDPR

Sau modificați cu ușurință frecvența comunicării sau opriți complet toate comunicările:

cu retragerea frecvenței consimțământului

5. Părțile numite

Formularele dvs. web trebuie să identifice în mod clar fiecare parte pentru care se acordă consimțământul. Nu este suficient să spunem categorii definite de organizații terțe. Ei trebuie să fie numiți.

În acest exemplu, puteți vedea că John Lewis înțelege esența pe care trebuie să o acordăm permisiuni numite pentru actualizări de la Waitrose, John Lewis și John Lewis Financial Services.

Anterior, formularul solicita utilizatorilor să renunțe, mai degrabă decât să renunțe:

permisiunile lui John Lewis

6. Notificare de confidențialitate și termeni și condiții

Biroul comisarului pentru informații (ICO) a furnizat cu amabilitate un eșantion de notificare de confidențialitate pe care îl puteți utiliza pe site-ul dvs. Este concis, transparent și ușor accesibil.

De asemenea, va trebui să vă actualizați termenii și condițiile pe site-ul dvs. web pentru a face referire la terminologia GDPR. În special, va trebui să faceți transparent ce veți face cu informațiile odată ce le-ați primit și cât timp veți păstra aceste informații atât pe site-ul dvs. web, cât și de către sistemele dvs. de birou.

De asemenea, va trebui să comunicați cum și de ce colectați date. Politica dvs. de confidențialitate va trebui să detalieze aplicațiile pe care le utilizați pentru a urmări interacțiunea utilizatorului.

7. Plăți online

Dacă sunteți o companie de comerț electronic, atunci este probabil să utilizați un gateway de plată pentru tranzacții financiare. Propriul dvs. site web poate colecta date cu caracter personal înainte de a trece detaliile pe gateway-ul de plată.

Dacă acesta este cazul, iar site-ul dvs. web stochează aceste date personale după ce informațiile au fost transmise, va trebui să modificați procesele dvs. web pentru a elimina orice informații personale după o perioadă rezonabilă, de exemplu, 60 de zile. Legislația GDPR nu este explicită cu privire la numărul de zile, este propria dvs. judecată cu privire la ceea ce poate fi apărat ca fiind rezonabil și necesar.

8. Software de urmărire terță parte

Lucrurile încep acum să devină dificile când vine vorba de software de urmărire terță parte.

Multe site-uri web utilizează soluții software de automatizare a marketingului de la terți pe site-ul lor web. Acestea ar putea fi aplicații de urmărire a plumbului, cum ar fi Lead Forensics, Leadfeeder sau CANDDI. Sau ar putea fi aplicații de urmărire a apelurilor precum Infinity Call Tracking sau Ruler Analytics.

Utilizarea acestor aplicații de urmărire ridică câteva întrebări foarte interesante în ceea ce privește respectarea GDPR și, în opinia mea, aceasta rămâne o zonă gri. La prima vedere, aceste aplicații urmăresc utilizatorii în moduri la care nu s-ar aștepta și pentru care nu au acordat consimțământul. De exemplu, îmi urmărește comportamentul de fiecare dată când mă întorc pe site-ul dvs. sau vizualizez o anumită pagină de pe site-ul dvs.

Cu toate acestea, furnizorii acestor aplicații ne asigură că respectă GDPR.

În primul rând, furnizorii precum CANNDI sfătuiesc că bannere care afirmă în mod clar și fără echivoc că sunt utilizate cookie-uri,

Conformitatea GDPR a CANNDI

Și furnizorii de software susțin că utilizarea tehnologiei de urmărire a cookie-urilor este în interesul legitim al afacerii dvs. ca operator de date și, în special, în considerentul 47 care permite „prelucrarea în scopuri de marketing direct sau prevenirea fraudei”.

CANNDI recomandă:

Interes legitim - Dacă utilizați principiul interesului legitim în urmărirea site-ului dvs. web, este recomandabil să înregistrați în timpul pregătirii GDPR că acesta este cazul. Aceasta ar trebui să includă motivele pe care le utilizați.

Vreau să mulțumesc CANNDI pentru că au împărtășit perspectiva GDPR și aș recomanda să o citiți (PDF.)

Perspectiva GDND CANNDIO

Furnizorii acestor instrumente sunt încrezători că respectă GDPR. Dar dacă software-ul face ceva ilegal, atunci este responsabilitatea companiei dvs. în calitate de controlor de date. Adevărata întrebare este să identificați riscurile de conformitate GDPR în utilizarea acestui tip de software și să vă atenuați riscurile în calitate de proprietar de afacere. Ca urmare, trebuie să vă revizuiți cu atenție contractul cu acești furnizori de software.

9. Dar Google Analytics și Google Tag Manager?

Dacă sunteți interesat de angajamentul Google față de GDPR, atunci un loc bun pentru a începe este acest site web: modul în care Google respectă legile privind protecția datelor

Multe site-uri web sunt configurate pentru a utiliza Google Analytics pentru a urmări comportamentul utilizatorilor. Google Analytics a fost întotdeauna un sistem de urmărire anonim. Nu sunt colectate „date cu caracter personal”, așa că cred că GDPR nu are impact asupra utilizării sale.

În ceea ce privește Managerul de etichete Google; este un instrument puternic care permite site-ului dvs. web să trimită informații către aplicații terțe prin inserarea unor cantități mici de cod. Puteți integra depozite de date interne, precum și sisteme externe de remarketing și retargeting, precum și o serie de alte servicii. Problema pentru companii în ceea ce privește Tag Manager este să vă asigurați că aveți un contract încheiat cu persoanele care au acces la Managerul dvs. de etichete (care poate fi designerul dvs. web sau agenția de marketing digital) pentru a vă asigura că își înțeleg responsabilitățile legale ca un procesator de date în numele dvs. în calitate de operator de date.

Deci, problema de bază cu noul GDPR este identificarea și încheierea de contracte cu procesatorii de date terți pentru a vă proteja atât propriile interese.

10. Și în cele din urmă ... nu numai site-ul dvs. web trebuie să fie conform GDPR

Modificările introduse cu GDPR vor pătrunde în întreaga dvs. afacere și, în această serie de articole, ne concentrăm exclusiv pe marketingul dvs. digital.

Pe măsură ce începeți să planificați detaliile site-ului dvs. web, veți descoperi peștera Aladdin cu problemele pe care va trebui să le luați în considerare. Comisarul pentru informații a furnizat un set excelent de resurse pentru referință, dar iată câteva întrebări cheie pe care trebuie să le luăm în considerare în momentul în care ne apropiem de termenul din mai:

  • Probabil că aveți o mulțime de date cu caracter personal stocate în diferite locuri din cadrul companiei. Aveți o bună înțelegere și o înregistrare documentată a datelor pe care le dețineți?
  • Trebuie să obțineți sau să reîmprospătați consimțământul pentru datele pe care le dețineți?
  • Aveți o politică definită pentru cât timp păstrați datele cu caracter personal, astfel încât să nu le păstrați inutil și să vă asigurați că sunt actualizate?
  • Datele dvs. sunt păstrate în siguranță, ținând cont atât de tehnologie, cât și de factorii umani în securitatea datelor?
  • Fie că sunteți controlor de date sau procesator de date (sau ambele), aveți în vigoare aranjamentele legale corecte?

Dacă aveți nevoie de ajutor pentru Web Design & Creative, nu ezitați să ne contactați.