5 быстрых исправлений GDPR для вашего веб-сайта

Опубликовано: 2018-03-27

Новый Европейский общий регламент по защите данных (GDPR) вступит в силу 25 мая 2018 года. Это влечет за собой риск серьезных штрафов за несоблюдение. Обеспечение соответствия компании и ее онлайн-каналов требованиям GDPR, как правило, является серьезной задачей , поэтому с мая 2016 года действует льготный период. Но давайте будем реалистами: многие компании все еще не готовы к GDPR или готовы к этому. в настоящее время мы работаем на полную мощность, чтобы обеспечить соответствие требованиям к маю 2018 года. В этом сообщении блога мы покажем вам пять быстрых исправлений для вашего веб-сайта, которые сделают важный шаг к соблюдению GDPR .

1. Добавьте баннер с файлами cookie

GDPR требует, чтобы пользователь был проинформирован о хранении личной информации. Это включает, помимо прочего, IP-адреса и онлайн-идентификаторы, например, хранящиеся в файлах cookie. Сбор, обработка и хранение персональных данных также требует согласия субъекта данных (пользователя). Действующая Европейская Директива о конфиденциальности в Интернете от 2002 года (Директива по электронной конфиденциальности) признает, что отслеживающие и функциональные файлы cookie необходимы для улучшения и работы веб-сайта, и допускают подразумеваемое согласие, но пользователь должен быть четко проинформирован. Это привело к внедрению уже хорошо известных баннеров cookie.

По крайней мере, вы должны разместить на своем веб-сайте баннер о файлах cookie. Если вы используете на своем веб-сайте маркетинговые файлы cookie ( контекстно-медийные сети , ремаркетинг , автоматизация маркетинга и т. Д.), Они могут быть установлены только после согласия пользователя.

Пример баннера cookie для отслеживания с подразумеваемым согласием при дальнейшем использовании веб-сайта:

Пример баннера cookie

Пример баннера файлов cookie для отслеживания и таргетинга: здесь маркетинговые файлы cookie могут быть установлены только после нажатия кнопки «Принять файлы cookie».

Пример баннера cookie

В идеале вы должны дать пользователю возможность решить, какие файлы cookie он хочет разрешить. Файлы cookie можно разделить на:

  • Необходимые файлы cookie (например, сеанс входа в систему, корзина покупок и т. Д.)
  • Функциональные файлы cookie (например, vimeo.com и т. Д.)
  • Файлы cookie отслеживания / производительности (например, Google Analytics и т. Д.)
  • Рекламные и целевые файлы cookie (например, DoubleClick, AppNexus и т. Д.)
  • Файлы cookie для настройки (например, HubSpot, Marketo и т. Д.)

Важно отметить, что требуется явное согласие пользователя, особенно для категорий «Реклама и таргетинг» и «Настройка».

Пример готового решения для управления файлами cookie от OneTrust :

Решение для согласия на использование файлов cookie - Центр управления файлами cookie

Есть и другие провайдеры, предлагающие такие решения, например TRUSTe и Evidon .

GDPR также предусматривает, что отзыв согласия должен быть таким же простым, как и его предоставление. В приведенном выше примере это гарантируется ссылкой на настройки файлов cookie в нижнем колонтитуле каждой страницы.

2. Адаптация форм

Испытанный и проверенный подход к проверке форм с точки зрения GDPR состоит в том, чтобы представить, что каждое поле с личной информацией заслуживает того же внимания, что и номер вашей кредитной карты, номер вашего паспорта или номер телефона вашей матери.

  • Каждое поле формы должно существовать только в том случае, если это явно необходимо. Если это не так, объясните необходимость или удалите ненужные поля. Используйте минималистский подход и собирайте только то, что абсолютно необходимо.
  • Для всех форм убедитесь, что в них есть ссылка непосредственно на Политику конфиденциальности.
  • Перед отправкой формы пользователь должен знать, что происходит с его данными, в том числе почему, где и как долго хранятся данные.
  • Не используйте предварительно заполненные флажки (особенно для подписок на информационные бюллетени, поскольку требуется явное согласие).
  • Формы, содержащие личную информацию, могут быть переданы только в зашифрованном виде.
  • Избегайте метода GET, поскольку он отображает содержимое формы в URL-адресе и, таким образом, сохраняет его в инструментах аналитики и файлах журналов.
  • Информация, собранная с помощью формы, может использоваться только в целях, согласованных пользователем при заполнении формы. Например, вы не можете автоматически использовать адрес электронной почты для электронного маркетинга, если он был включен в форму заказа.
  • Кроме того, вы также можете полностью удалить форму и заменить ее ссылкой электронной почты и / или номером телефона.

3. Анонимизация IP-адресов в инструментах аналитики.

Активируйте анонимность IP-адресов в своих пакетах аналитики. В Google Analytics вы не можете увидеть IP-адрес посетителя, но он сохраняется на серверах Google во время отслеживания. Этого можно избежать, если вы включите анонимность IP. В Google Analytics это можно настроить в коде отслеживания, добавив ga ('set', 'anonymizeIp', true).

4. Обновите Политику конфиденциальности.

Согласно GDPR, контролер данных (в нашем случае оператор веб-сайта) должен предоставлять информацию четко и недвусмысленно на понятном пользователю языке о хранении и использовании любой собираемой личной информации. Помимо прочего, необходимо сообщить следующие моменты:

  • Какая информация собирается?
  • Кто собирает эти данные?
  • Как собираются эти данные?
  • Зачем собираются эти данные?
  • Как используются / обрабатываются данные?
  • С какими сторонними организациями и с какой целью передаются данные?
  • Данные покидают страну?
  • Как пользователь может связаться, чтобы: 1. просмотреть данные, 2. исправить данные, 3. удалить данные и 4. отозвать согласие на обработку этих данных?

5. Просмотрите / удалите сторонний контент.

Любой контент, загружаемый извне в браузере при рендеринге веб-сайта (например, социальные плагины, такие как кнопка Facebook Like, внешние изображения и файлы PDF), сообщает источнику IP-адрес посетителя. Для страниц, использующих файлы cookie, дополнительная информация также может быть отправлена ​​на сторонний сервер. Например, Facebook знает, что пользователь XY посетил ваш веб-сайт, даже если он не выполнял действия Facebook на вашем веб-сайте. Как владелец веб-сайта и контролер данных вы несете ответственность за определение сторонних организаций, имеющих доступ к личной информации.

Поэтому рекомендуется проверять внешние источники и по возможности удалять ненужный контент. Любые источники, которые хранятся, должны быть включены в соглашение о защите данных, а в некоторых случаях при сборе информации для таргетинга сторонним поставщиком также требуется явное согласие пользователя.

Обратите внимание, что внедрение этих быстрых исправлений никоим образом не подразумевает полного соответствия GDPR. Необходимо выполнить другие важные условия . Поэтому мы рекомендуем вам провести полный аудит ваших онлайн-каналов на соответствие GDPR.

Щелкните здесь, чтобы запросить индивидуальное предложение по аудиту GDPR .

Для получения дополнительной информации о новом Положении о защите данных посетите наш раздел о соблюдении требований в отношении цифровых технологий или ознакомьтесь с сообщениями в блоге о соблюдении нормативных требований .