Всички сме чували за Общия регламент за защита на данните (GDPR).
Става въпрос за поверителност на данните, нали? Всъщност, да. Но за бизнеса това означава фундаментална промяна в начина, по който взаимодействат и поддържат връзка с клиентите си и целевата аудитория.
Например, Meta получи солидна глоба от 1,3 милиарда долара за неспазване на параметрите за поверителност на данните, определени от GDPR. 😲
Така че, ако имате клиенти в региона на ЕС, трябва да се справите с това и то възможно най-скоро!
Тази публикация в блога ще ви даде ясно разбиране за съответствието с GDPR, удобен списък за проверка за постигането му и някои полезни инструменти за автоматизиране и оптимизиране на процеса.
Да започваме. 🎢
GDPR 101: Разбиране на основите
Какво е GDPR?
GDPR е регламент, наложен от ЕС, за да защити поверителността на данните на физическите лица в региона. Той определя как личните данни на гражданите на ЕС се събират, съхраняват, използват и в крайна сметка се защитават от бизнеса.
Законът влезе в сила през май 2018 г. и оказа значително влияние върху начина, по който компаниите взаимодействат с клиентите си. Този изчерпателен наръчник беше създаден, за да регулира три широки аспекта на защитата на данните:
- Поверителност на данните: GDPR предоставя на физическите лица по-голям контрол над личните им данни, включително правото на достъп, коригиране, изтриване, ограничаване на обработката, преносимост на данните, възражение срещу обработката и информиране за дейностите по обработката на данни.
- Сигурност на данните: изисква от компаниите да внедрят подходящи технически и организационни мерки за защита на личните данни от неоторизиран достъп, промяна, разкриване или унищожаване.
- Отговорност: Компаниите са отговорни за доказване на съответствие с GDPR. Това включва провеждане на оценки на въздействието върху защитата на данните (DPIA) за дейности с висок риск, като банково дело, и назначаване на длъжностно лице по защита на данните (DPO) в определени случаи.
🚦Не забравяйте: Всяка организация, която събира или обработва лични данни на жители на ЕС, независимо от местоположението на компанията, трябва да е в съответствие с GDPR. Това включва малки предприятия, мултинационални корпорации и дори организации с нестопанска цел.
За какви данни става дума?
GDPR се фокусира върху личната идентифицираща информация (PII), която е всяка информация, която може да бъде използвана за идентифициране на дадено лице, пряко или непряко. Примери за това са:
- Директни идентификатори: Име, адрес, социалноосигурителен номер или еквивалент, телефонен номер, имейл адрес
- Непреки идентификатори: пол, раса, дата на раждане, географски показател, професия, демографски данни
- Чувствителна лична информация: номер на шофьорска книжка, номер на паспорт, биометрични данни, финансова информация, медицински документи, електронна и цифрова информация за акаунти, лични досиета на служители, информация за пароли, идентификационни номера на училища
Прочетете още: 10 най-добри софтуера за управление на данни (ревюта и цени )
Какво означава това за бизнеса?
От гледна точка на GDPR, вие сте или администратор на данни, или обработващ данни, който работи с данни на граждани на ЕС. В зависимост от това в коя категория попадате, очакванията към вас като бизнес могат да варират.
- Администратор на данни: Това е субектът, който определя целта и средствата за обработване на лични данни. Той е отговорен за осигуряване на съответствие с GDPR.
- Обработващ лични данни: Това е субектът, който обработва лични данни от името на администратора на лични данни. Той трябва да следва инструкциите на администратора на лични данни.
В един реален пример администратор на данни може да бъде болница, а обработващ данни – доставчик на облачно хранилище, където болницата съхранява записите на пациентите. Като администратор на данни болницата решава каква информация да съхранява и как да я използва. Доставчикът на облачни услуги (обработващ данни) просто съхранява данните по сигурен начин според инструкциите на болницата.
🚦Не забравяйте: GDPR възлага по-голяма отговорност на администраторите на данни да създават и прилагат защита на личните данни още при проектирането на всички свои бизнес процеси.
GDPR: Закон за защита на личните данни или закон за защита на информацията?
Законите за поверителност и защита на личните данни често се използват като синоними, но те имат различни нюанси. Макар и двата да се отнасят до защитата на личните данни, те подхождат към въпроса от малко по-различни ъгли.
Законът за защита на личните данни, в най-широкия смисъл, се отнася до защитата на физическите лица от нахлуване в личния им живот и физическо пространство, като например нежелани посещения в дома. Законът за защита на информацията, от друга страна, е специално насочен към защитата на лични данни, като IP адреси или имейли.
На практика, услуга, за която сте се регистрирали, може да получи достъп до местоположението ви чрез GPS на телефона ви и да ви изпраща актуализации, специфични за вашия район, или куриерска служба може да доставя пратки на домашния ви адрес. Ако някоя от тези фирми претърпи нарушение на сигурността на данните, местоположението на дома ви изведнъж става публично достояние и може да бъде злоупотребено.
В този контекст, макар че GDPR защитава предимно личните данни, той засяга и по-широки въпроси, свързани с поверителността.
GDPR не се отнася само до защитата на данните. Той засяга основни права, включително правото на неприкосновеност на личния живот и правото да бъдеш забравен.
GDPR не се отнася само до защитата на данните. Той засяга основни права, включително правото на неприкосновеност на личния живот и правото да бъдеш забравен.
Списък за съответствие с GDPR: Вашият план за защита на данните
Сега, след като разгадахме кода на GDPR (или поне основните му елементи!), нека разгледаме общите стъпки, които трябва да включите в списъка за проверка на GDPR, за да постигнете съответствие.
1. Направете карта на източниците си на данни
Преди да можете да ги защитите, трябва да разберете какви данни събирате. Проведете одит, за да идентифицирате всички лични данни, които вашата компания събира, откъде идват и как се използват.
За да го направите ефективно, трябва да обърнете внимание на следното:
- Инвентаризация на данните: Създайте подробна инвентаризация на всички категории лични данни, които събирате, включително имена, адреси, контактна информация, финансови данни, биометрични данни и др.
- Източници на данни: Идентифицирайте източниците на тези данни, като уебсайтове, формуляри, трети страни доставчици или физически взаимодействия.
- Дейности по обработка на данни: Определете как се използват данните, включително съхранение, обработка, предаване и споделяне.
- Съхранение на данни: Създайте политики за съхранение на данни (колко дълго данните остават във вашата система), които са в съответствие с принципите на GDPR и минимизират съхранението на лични данни.
- Поток на данни: Начертайте потока на данни във вашата организация и към външни страни. Например, трета страна, която изпълнява вашата поръчка за доставка, попада в тази категория.
💡 Съвет от професионалист: ClickUp CRM може да бъде вашето универсално решение за картографиране и съхранение на данни за клиенти. От събирането на имейл адресите на потенциални клиенти до проследяването на пътя на клиентите и всички допълнителни взаимодействия, то ще ви помогне да организирате всички данни на едно място.
2. Наемете длъжностно лице по защита на данните (DPO)
Данните за поверителност се съхраняват в защитена база данни, която се поддържа от вашия администратор на данни.
Като експерт по защита на личните данни, длъжностното лице по защита на данните гарантира, че практиките на организацията по отношение на данните са в съответствие с изискванията на GDPR. В рамките на своята роля, длъжностното лице по защита на данните обработва заявки от субекти на данни, реагира на нарушения на данните, съдейства при оценката на риска и служи като връзка с органите за защита на данните.
За да се квалифицира като ДПО, кандидатът трябва да притежава експертни познания в областта на законодателството за защита на данните и да бъде лесно достъпен за служителите и субектите на данни. Чрез назначаването на квалифициран ДПО можете да демонстрирате ангажимента си към поверителността на данните, да намалите риска от несъответствие и да повишите доверието в бизнеса си сред клиентите.
Прочетете още: Как да използвате изкуствен интелект за управление на данни (примери за употреба и инструменти)
3. Документирайте процеса по GDPR от начало до край
Документирайте всичко! Изготвянето на политика за обработка на данни включва очертаване на всеки един процес по веригата, така че да можете да определите къде ще се съхраняват данните на клиентите или колко дълго ще се съхраняват след като са прекратили абонамента си, например.
Уверете се, че общият преглед на процеса и подробните детайли са ясно дефинирани и достъпни за всички екипи, които ще трябва периодично да ги актуализират или да се позовават на тях.
Използвайте ClickUp Docs, за да поддържате централизирана, лесно достъпна документация за вашите дейности по обработка на данни, включително типа данни, правната основа за събирането им и срока на съхранение.
Създайте отделни документи за различните аспекти на съответствието, като например картографиране на данни, политики за съхранение на данни, планове за реагиране при нарушаване на сигурността на данните и оценки на риска.
Тези документи могат да бъдат организирани в йерархична структура с помощта на вложени страници, което улеснява навигацията и справките. Можете също да използвате функциите за сътрудничество на ClickUp, като @mentions, за да включите съответните екипи и лица в процеса, като по този начин гарантирате, че всички са съгласувани и информирани.
4. Преоценете процесите си за събиране на данни
Наистина ли се нуждаете от всички тези данни? GDPR набляга на принципа на минимизиране на данните, който изисква от организациите да събират и обработват само личните данни, необходими за конкретни цели.
За да гарантирате съответствие, редовно оценявайте практиките си за събиране на данни и се уверявайте, че те са ограничени до необходимото и пропорционални на бизнес целите ви. Ето някои неща, които трябва да имате предвид:
Ограничаване на целта
Уверете се, че данните, които събирате, са пряко свързани с вашите бизнес цели и не се използват за непредвидени цели. Например, за да обработва поръчки, един уебсайт за електронна търговия може да събира имена, адреси и платежна информация на клиенти. Тези данни не трябва да се използват за целева реклама без съгласието на клиента.
Минимизиране на данните
Установете дали някои полета с данни могат да бъдат елиминирани или анонимизирани, без да се компрометира целта на събирането на данни . Социалната медийна платформа може първоначално да събира пълните имена, имейл адресите и датите на раждане на потребителите. Ако обаче платформата може да функционира адекватно само с потребителски имена и имейл адреси, тя трябва да сведе до минимум събирането на лични данни.
Съхранение на данни
Създайте подходящи политики за съхранение на данни, за да гарантирате, че данните не се съхраняват по-дълго от необходимото. За целите на спазването на нормативните изисквания, банката може да съхранява записите за заявленията за кредитни карти за определен период. След изтичането на задължителния период тези данни могат да бъдат анонимизирани или изтрити.
Съгласие
Ако разчитате на съгласието като правно основание за обработката, уверете се, че то е дадено свободно, конкретно, информирано и недвусмислено. Мобилно приложение иска от потребителите да дадат съгласие за събиране на данни за местоположението им с цел персонализирани препоръки. Съгласието трябва да бъде дадено свободно и да е конкретно (например, достъп до местоположението само при използване на приложението).
Законни интереси
Ако се основавате на легитимни интереси, внимателно преценете дали те надвишават интересите, правата и свободите на физическото лице. Новинарска организация може да обработва контактната информация на журналисти, за да улесни комуникацията и сътрудничеството. Това може да се счита за легитимен интерес за журналистически дейности.
🌈 Знаете ли, че... SOC 2 е рамка, еквивалентна на GDPR, която е по-тясно свързана с американските предприятия. Това е доброволен стандарт, използван от организациите, за да демонстрират своя ангажимент към сигурността и поверителността на данните.
Докато GDPR е правен регламент, фокусиран върху защитата на личните данни на физическите лица в Европейския съюз, SOC 2 може да се разглежда като допълващ стандарт. Чрез постигане на съответствие с SOC 2 можете да докажете, че сте бизнес субект, отговорен за данните, и да поддържате спазването на глобално признати мерки за сигурност на данните.
5. Бъдете нащрек за нарушения на сигурността на данните и действайте бързо
Когато докладват нарушение на данните съгласно GDPR, организациите трябва да оценят потенциалния риск за правата и свободите на физическите лица. Това включва отчитане на типа на компрометираните данни, вероятността от неоторизиран достъп и потенциалните последствия за засегнатите лица.
GDPR изисква докладване на нарушения на данните в рамките на 72 часа, ако съществува висок риск от отрицателно въздействие върху правата и свободите на физическите лица.
В много случаи организациите трябва да уведомят пряко засегнатите лица, като им предоставят ясна информация за нарушението, засегнатите данни и мерките, които се предприемат за справяне с него.
Освен това е необходимо да се проведе задълбочено разследване, за да се разбере причината за нарушението и да се приложат превантивни мерки. От съществено значение е да се водят подробни записи на целия процес, включително стъпките, предприети за докладване на нарушението и смекчаване на неговото въздействие.
Пример: Нарушение на сигурността на данните на British Airways
През 2018 г. British Airways претърпя значителна пробива в сигурността на данните, която засегна приблизително 500 000 клиенти. Хакерите успяха да получат неразрешен достъп до резервационната система на авиокомпанията, като откраднаха лична информация като имена, адреси, данни за платежни карти и маршрути на пътувания.
Това нарушение беше явно нарушение на GDPR, тъй като включваше неразрешено обработване на лични данни в голям мащаб. British Airways беше глобена с 20 милиона лири от Службата на комисаря по информацията (ICO) на Обединеното кралство за инцидента.
6. Дайте приоритет на прозрачността при събирането на данни
Вашите клиенти имат право да знаят точно какви данни събирате и как ги използвате. Ето няколко стъпки, които можете да предприемете, за да гарантирате прозрачност в процесите си по събиране на данни:
- Ясни и кратки политики за поверителност: Предоставете лесно достъпни и разбираеми политики за поверителност, които ясно очертават практиките ви по отношение на данните. Тези политики трябва да бъдат написани на ясен език и да избягват юридически жаргон.
- Информирано съгласие: Определете целите на събирането на данни, видовете данни, които се събират, и правата на клиентите по отношение на данните по време на процеса на събиране на съгласие.
- Искания за достъп до данни от субектите на данни: Отговаряйте на исканията за достъп до данни от субектите на данни своевременно и изчерпателно. Това означава да предоставите на лицата копие от техните лични данни и информация за това как се обработват.
- Споделяне на данни с трети страни: Ако лични данни се споделят с трети страни, уверете се, че са налице подходящи предпазни мерки за защита на данните и че третите страни също спазват GDPR.
7. Уверете се, че имате родителско съгласие за непълнолетни клиенти
GDPR изисква от предприятията да получат съгласието на родителите или законните настойници, преди да обработват лични данни на деца под 16 години в повечето страни от ЕС.
За да проверите възрастта на вашите потребители, използвайте надеждни методи, като изискване на родителско съгласие или използване на услуги за проверка на възрастта. Ако се получи родителско съгласие, то трябва да бъде дадено свободно, конкретно, информирано и недвусмислено.
Освен това, поддържайте подробни записи на процеса на даване на съгласие, включително датата, метода и самоличността на даващата съгласие страна. Добавете допълнителни стъпки, за да се уверите, че не се събира чувствителна информация от деца и че техните данни не се съхраняват по-дълго от необходимото.
Пример: TikTok срещу Ирландската комисия за защита на данните
TikTok беше глобен с 379 милиона долара от Ирландската комисия за защита на данните (DPC) за това, че не е защитил адекватно личните данни на деца. DPC установи, че TikTok не е получил валидно съгласие от деца на възраст под 13 години, както се изисква от GDPR.
Освен това, DPC критикува TikTok за това, че не прави достатъчно, за да предотврати децата да гледат потенциално вредно съдържание. Това е една от най-големите глоби, наложени по GDPR, което подчертава важността на защитата на данните на децата онлайн.
8. Използвайте двойно потвърждение на съгласието
За да улесните процеса на информирано съгласие, съберете изричното съгласие на клиентите, преди да обработвате техните данни, включително имейл адресите им, за маркетингови цели. Процесът на двойно потвърждение е надежден метод, който гарантира, че лицата са се абонирали за имейл списък съзнателно и доброволно.
Как работи двойното потвърждение?
- Първоначална регистрация: Когато дадено лице въведе своя имейл адрес, за да се регистрира в имейл списък, то получава потвърждаващ имейл.
- Потвърждение: Лицето трябва да кликне върху линк или бутон в потвърдителното имейл, за да завърши процеса на абонамент.
Този двуетапен процес на проверка помага за предотвратяване на спама и гарантира, че лицата са дали активно съгласие да получават имейли. Чрез внедряването на процес на двойно потвърждение можете да намалите риска от маркиране за нежелани имейли с маркетингово съдържание.
9. Актуализирайте периодично политиката си за поверителност
Преглеждайте и актуализирайте редовно политиката си за поверителност, за да отразявате всички промени в практиките ви за обработка на данни или в законовите изисквания. Фокусирайте се върху следните съвети, за да поддържате политиката си за поверителност в отлично състояние:
- Точност: Уверете се, че информацията в политиката ви за поверителност е точна и актуална.
- Достъпност: Направете политиката си за поверителност лесно достъпна на уебсайта си и предоставете линк към нея от други релевантни страници.
- Последователност: Уверете се, че вашата политика за поверителност е в съответствие с вашите действителни практики за обработка на данни.
💈Бонус: Търсите вдъхновение? Вижте политиката за поверителност на ClickUp.
10. Оценете рисковете, свързани с трети страни
Като бизнес субект, отговорен за данните, вие носите отговорност да проверите дали вашите партньори от трети страни спазват GDPR. Знаем, че е по-лесно да се каже, отколкото да се направи! Но ето един общ преглед на процеса, който ще ви помогне да създадете политика за вашите одити на трети страни:
- Създайте изрично споразумение за обработка на данни, което очертава обхвата на работата, споделяните данни, мерките за сигурност и отговорностите на двете страни.
- Провеждайте задълбочена проверка на тези трети страни, като оценявате техните политики за поверителност, сертификати и референции.
- Оценете рисковете, свързани с обмена на данни с тях, като вземете предвид фактори като чувствителността на данните, дейностите по обработката им и географското им местоположение, независимо дали се намират в или извън ЕС.
- Поддържайте редовен надзор, като следите за съответствието им и провеждате одити.
Спазване на GDPR с автоматизирани инструменти
Уф, това е доста дълъг списък. За щастие, не е нужно да се справяте с това сам.
Няколко цифрови GRC инструмента могат да улеснят процеса и да ви улеснят живота, а един от тях е ClickUp. Като платформа за управление на проекти „всичко в едно“, ClickUp може лесно да се превърне във вашия център за съответствие с GDPR.
Когато създавате процес, толкова труден като списък за съответствие с GDPR, се нуждаете от подход стъпка по стъпка, а ние в ClickUp сме специалисти в стъпките. 🪜
Функции като списъците с задачи на ClickUp са предназначени да разбиват и управляват сложни процеси като тези. Мислете за тях като списъци със задачи в рамките на вашите задачи. Чрез създаването на списъци с задачи можете ясно да дефинирате конкретните действия, необходими за изпълнението на дадена задача, да ги възложите на членовете на екипа и да проследявате напредъка им.
За да използвате списъци със задачи в ClickUp, просто създайте нова задача, кликнете върху раздела „Списъци“ в задачата си и добавете отделните стъпки. След това можете да организирате списъка си за съответствие в по-малки, по-лесни за управление подзадачи, както е показано тук:
След като всички стъпки са готови в списъците със задачи, разпределете всяка задача на съответните екипи, като например правния екип, за да започнете процеса.
Можете също да използвате ClickUp Gantt Chart View, за да визуализирате този процес на времева линия, да видите как напредвате и да разработите ясни прогнози за времевата линия за завършване на проекта.
И това не е всичко. След като имате процес, използвайте ClickUp Automation, за да изпълните конкретни действия въз основа на определените от вас правила. Например, можете да настроите персонализирана автоматизация, която да уведомява хората да добавят информация, да преглеждат и актуализират политиката за поверителност на всеки три месеца.
И накрая, спазването на политиката на GDPR изисква МНОГО документация.
Ако се затрудните в някой етап от процеса, използвайте ClickUp Brain, вградения AI асистент на ClickUp, за да ви помогне да изготвите политики на лесен за разбиране, ясен език или дори да направите проучване на най-добрите практики в бранша за GDPR.
Освен това, ClickUp разполага с персонализирани шаблони, които ще улеснят значително процеса на планиране на вашия списък.
Шаблон на ClickUp за план за съответствие с изискванията
Шаблонът за план за съответствие на ClickUp предлага цялостно решение за управление на вашите усилия за съответствие с GDPR. Неговият изглед на изискванията за съответствие ви позволява да изброите всички необходими регламенти, докато изгледът на състоянието на съответствието предоставя ясен преглед на напредъка и идентифицира областите, които не отговарят на изискванията. Изгледът за добавяне на изисквания гарантира, че можете лесно да включите нови регламенти, когато те възникнат. Като цяло, този шаблон оптимизира процеса на съответствие, като ви помага да поддържате организация, да проследявате напредъка и да гарантирате спазването на стандартите на GDPR.
Шаблон за списък за проверка на проекти на ClickUp
Шаблонът за списък с задачи по проект на ClickUp може да ви помогне да очертаете основните стъпки в процеса на съответствие. Той включва очертания за общи подзадачи, които формират основата на всеки проект. Използвайте този шаблон, за да:
- Очертайте правилната последователност на задачите, за да се уверите, че всяка стъпка се основава на предходната. Това ще ви помогне да избегнете грешки и пропуски.
- Предвиждайте потенциалните предизвикателства и рискове, свързани със съответствието с GDPR, и се справяйте проактивно с тези проблеми.
- Включете крайни срокове за всяка задача, за да се уверите, че цялостният проект ще бъде завършен навреме.
Лесно спазване на изискванията с ClickUp
Добре структуриран списък за проверка на съответствието с GDPR е от съществено значение, за да се гарантира, че вашата организация отговаря на изискванията на този важен регламент.
Функциите за управление на проекти на ClickUp предоставят мощна платформа за създаване и управление на вашия списък за проверка на съответствието с GDPR. Като разделите този на пръв поглед сложен процес на по-малки, управляеми задачи, можете ефективно да проследявате напредъка, да идентифицирате потенциални проблеми и да гарантирате съответствие.
От очертаване на процеса до разпределяне на отговорности, наблюдение на напредъка и сътрудничество с екипа ви, ClickUp може да ви помогне да поддържате проекта си за съответствие на правилника на правилния път.
Регистрирайте се за безплатен акаунт в ClickUp и започнете процеса по GDPR!