Как сделать ваш сайт совместимым с GDPR

Требования GDPR продолжают применяться в период выхода Великобритании из ЕС после выхода Великобритании из ЕС, а также для всех предприятий, торгующих с ЕС. Вот 10 изменений, которые вы должны внести в свой веб-сайт, чтобы оставаться на правильной стороне закона и чтобы ваши клиенты были довольны.

В этом посте я хочу конкретно осветить узкую область того, как сделать ваш веб-сайт совместимым с GDPR , и дать рекомендации по конкретным изменениям, которые вам нужно будет внести.

А как насчет Брексита и 2020 года… GDPR все еще является требованием?

Общие правила защиты данных (GDPR) применяются ко всем компаниям, базирующимся в ЕС, и компаниям с гражданами ЕС в качестве клиентов. Для британских предприятий соглашение о выходе из Brexit не внесет никаких изменений в необходимость соблюдения в течение переходного периода, а также не изменится требования для предприятий, которые торгуют в ЕС.

Кроме того, Великобритания стремится поддерживать высокие стандарты GDPR (и правительство планирует включить его в законодательство Великобритании после Brexit.

Действующие правила GDPR вступили в силу 25 мая 2018 года.

Интересно рассмотреть вопрос о соблюдении правил GDPR, и веб-сайт GDPR Enforcement Tracker предоставляет список и обзор штрафов и штрафов, которые органы защиты данных в ЕС наложили в соответствии с GDPR.

Во-первых, я должен сказать, что я не профессиональный юрист, а во-вторых, это беглый анализ. На момент написания база данных содержит

• 16 случаев наложения штрафов и пени, в которых краткое изложение содержит слово «Интернет», в том числе дело в декабре 2019 года, касающееся оператора веб-сайта юридических новостей, где заявление о конфиденциальности было доступно только на английском языке, хотя оно также было адресовано голландцам и французам. аудитория.
• 5 случаев, когда резюме содержит слово «электронная почта», включая случай в 2019 году, когда Vodaphone отправил маркетинговое электронное письмо большому количеству получателей (клиентов) без использования функции скрытой копии. Первоначальный штраф в размере 60 000 евро был снижен до 36 000 евро.

С одной стороны, это не огромное количество судебных преследований за несоблюдение, но сочетается этот риск с повышенной чувствительностью обработки персональных данных и осознанием этого как проблемы, и соблюдение GDPR становится не только законодательным требованием, но и хорошее деловое чутье.

Как GDPR влияет на планы и функциональность моего веб-сайта?

GDPR оказывает значительное влияние на требования к веб-сайтам, что будет иметь волновой эффект на то, как ваш веб-сайт интегрируется с другими видами вашей цифровой деятельности, такими как электронный маркетинг, социальные сети и деятельность электронной коммерции.

Золотая нить, которая связывает воедино все эти рекомендации, заключается в том, что в соответствии с GDPR концепция добровольного, конкретного и информированного согласия усиливается новыми правилами, а это означает, что такие компании, как наша, должны обеспечивать большую прозрачность.

Вот 10 шагов, которые вы захотите просмотреть для своего веб-сайта и обсудить необходимые изменения со своей командой веб-разработчиков. Любые вопросы, не стесняйтесь обращаться ко мне.

Давайте начнем с простых изменений, которые вам нужно будет внести, а затем перейдем к более сложным областям.

1. Формы: активное согласие

Формы, которые приглашают пользователей подписаться на информационные бюллетени или указывают контактные предпочтения, должны по умолчанию иметь значение «нет» или быть пустыми. Вам нужно будет проверить свои формы, чтобы убедиться, что это так.

Например, текущая регистрационная форма Boots до соответствия GDPR помечает поле согласия, вынуждая пользователя активно отказаться. Очень непослушный, плохой пользовательский опыт, и его нужно изменить к маю.

В 2020 году эта форма была отключена в соответствии с требованиями GDPR.

С другой стороны, я бы сказал, что Sainsbury's не дает мне большого опыта, принимая согласие на участие и вынуждая меня ставить галочку, чтобы отказаться. Я бы сказал, что они могут плыть по этому поводу близко к ветру и определенно не радуют меня как потенциального клиента:

2. Разгруппированное согласие

Согласие, которое вы запрашиваете, должно быть изложено отдельно для принятия условий и принятия согласия на другие способы использования данных.

В этом примере компания Sainsbury's четко изложила свое согласие с условиями и положениями и отдельно указала активную подписку на свои разрешения для контактов.

Жаль, что у Sainsbury's не было возможности более детально настраивать параметры связи (электронная почта, SMS, сообщения).

3. Выборочная подписка

Пользователи должны иметь возможность давать отдельное согласие на разные типы обработки.

В этом примере ABC Awards запрашивают конкретное разрешение для каждого типа обработки (почта, электронная почта, телефон), а также запрашивают разрешение на передачу данных третьим лицам.

4. Легко отозвать разрешение или отказаться

Отменить согласие должно быть так же легко, как и дать его, и люди всегда должны знать, что они имеют право отозвать свое согласие.

С точки зрения вашего взаимодействия с пользователем в сети это означает, что отказ от подписки может состоять из выборочного отзыва согласия на определенные потоки связи:

Либо легко изменить частоту общения, либо полностью прекратить все коммуникации:

5. Именованные стороны

В ваших веб-формах должна быть четко указана каждая сторона, для которой предоставляется согласие. Недостаточно сказать конкретно определенные категории сторонних организаций. Их нужно назвать.

В этом примере вы можете видеть, что Джон Льюис понимает суть того, что нам нужно предоставить именованные разрешения для каждого обновления от Waitrose, John Lewis и John Lewis Financial Services.

Раньше форма предлагала пользователям отказаться, а не подписаться:

6. Уведомление о конфиденциальности и условия использования

Управление комиссара по информации (ICO) любезно предоставило образец уведомления о конфиденциальности, которое вы можете использовать на своем веб-сайте. Он лаконичен, прозрачен и легкодоступен.

Вам также необходимо будет обновить свои условия на своем веб-сайте, чтобы ссылаться на терминологию GDPR. В частности, вам нужно будет сделать прозрачным, что вы будете делать с информацией после ее получения и как долго вы будете хранить эту информацию как на своем веб-сайте, так и в офисных системах.

Вам также необходимо будет сообщить, как и почему вы собираете данные. В вашей политике конфиденциальности необходимо будет подробно описать приложения, которые вы используете для отслеживания взаимодействия с пользователем.

7. Онлайн-платежи

Если вы занимаетесь электронной коммерцией, вы, вероятно, будете использовать платежный шлюз для финансовых транзакций. Ваш собственный веб-сайт может собирать личные данные перед их передачей на платежный шлюз.

Если это так, и ваш веб-сайт хранит эти личные данные после того, как информация была передана, вам необходимо будет изменить свои веб-процессы, чтобы удалить любую личную информацию по истечении разумного периода, например 60 дней. В законодательстве GDPR не указано точное количество дней, это ваше собственное суждение относительно того, что может считаться разумным и необходимым.

8. Стороннее программное обеспечение для отслеживания

Теперь, когда дело доходит до стороннего программного обеспечения для отслеживания, все становится непросто.

Многие веб-сайты используют сторонние программные решения для автоматизации маркетинга. Это могут быть приложения для отслеживания потенциальных клиентов, такие как Lead Forensics, Leadfeeder или CANDDI. Или это могут быть приложения для отслеживания звонков, такие как Infinity Call Tracking или Ruler Analytics.

Использование этих приложений для отслеживания поднимает некоторые очень интересные вопросы с точки зрения соответствия GDPR, и, на мой взгляд, это остается серой зоной. На первый взгляд, эти приложения отслеживают пользователей способами, которых они не ожидали, и на которые они не давали согласия. Например, он отслеживает мое поведение каждый раз, когда я возвращаюсь на ваш сайт или просматриваю определенную страницу на вашем сайте.

Однако поставщики этих приложений заверяют нас, что они соответствуют GDPR.

Во-первых, такие поставщики, как CANNDI, сообщают, что баннеры четко и недвусмысленно заявляют, что используются файлы cookie,

Кроме того, поставщики программного обеспечения утверждают, что использование технологии отслеживания файлов cookie отвечает законным интересам вашего бизнеса как контроллера данных, в частности Recital 47, позволяющий «обрабатывать в целях прямого маркетинга или предотвращать мошенничество».

CANNDI советует:

Законный интерес - при использовании принципа законного интереса при отслеживании на вашем веб-сайте рекомендуется зафиксировать это во время подготовки GDPR. Это должно включать основания, на которых вы это используете.

Я хочу поблагодарить CANNDI за то, что они поделились своей точкой зрения на GDPR, и рекомендую вам прочитать ее (PDF).

Поставщики этих инструментов уверены, что они соответствуют GDPR. Но если программное обеспечение делает что-то незаконное, то это ответственность вашего бизнеса как Контроллера данных. Настоящий вопрос заключается в том, чтобы определить риски соблюдения GDPR при использовании такого программного обеспечения и снизить ваши риски как владельца бизнеса. В результате вам необходимо внимательно ознакомиться с вашим контрактом с этими поставщиками программного обеспечения.

9. А как насчет Google Analytics и Google Tag Manager?

Если вас интересует приверженность Google GDPR, то лучше всего начать с этого веб-сайта: Как Google соблюдает законы о защите данных

Многие веб-сайты настроены на использование Google Analytics для отслеживания поведения пользователей. Google Analytics всегда была анонимной системой отслеживания. Сбор «личных данных» не ведется, поэтому я считаю, что GDPR не влияет на его использование.

Что касается Google Tag Manager; это мощный инструмент, который позволяет вашему веб-сайту отправлять информацию сторонним приложениям путем вставки небольшого количества кода. Вы можете интегрировать внутренние репозитории данных, а также внешние системы ремаркетинга и ретаргетинга, а также множество других услуг. Проблема для предприятий в отношении Диспетчера тегов заключается в том, чтобы убедиться, что у вас есть договор с людьми, которые имеют доступ к вашему Диспетчеру тегов (которым может быть ваш веб-дизайнер или агентство цифрового маркетинга), чтобы они понимали свои юридические обязанности в отношении обработчик данных от вашего имени в качестве контроллера данных.

Итак, основная проблема с новым GDPR заключается в выявлении и заключении контрактов с вашими сторонними обработчиками данных для защиты ваших собственных интересов.

10. И наконец ... не только ваш веб-сайт должен соответствовать GDPR.

Изменения, вносимые GDPR, охватят весь ваш бизнес, и в этой серии статей мы сосредоточимся исключительно на вашем цифровом маркетинге.

Когда вы начнете детально планировать свой веб-сайт, вы откроете для себя пещеру Аладдина с проблемами, которые вам нужно будет рассмотреть. Комиссар по информации предоставил вам отличный набор ресурсов, но вот несколько ключевых вопросов, которые нужно рассмотреть сейчас, когда мы приближаемся к крайнему сроку в мае:

• Вероятно, у вас есть много личных данных, хранящихся в разных местах по всему бизнесу. У вас есть хорошее понимание и документированная запись данных, которые вы храните?
• Вам нужно либо получить, либо обновить согласие на хранящиеся у вас данные?
• Есть ли у вас определенная политика в отношении того, как долго вы храните личные данные, чтобы вы не хранили их без надобности и обеспечивали их актуальность?
• Надежно ли хранятся ваши данные с учетом как технологий, так и человеческого фактора в защите данных?
• Независимо от того, являетесь ли вы контроллером данных или обработчиком данных (или обоими сразу), у вас есть правильные юридические механизмы?

Если вам нужна помощь с вашим веб-дизайном и креативом, не стесняйтесь обращаться к нам.