Conformitatea GDPR pentru Afaceri: Ghidul Definitiv Pas cu Pas

Ce Trebuie să Facă Fiecare Afacere Online pentru Conformitatea GDPR

Indiferent de etapa în care te afli cu afacerea ta online, trebuie să:

• Stabilești de ce ai nevoie de datele personale ale utilizatorilor
• Determini categoriile de date de care ai nevoie
• Decizi cum vei obține aceste date
• Stabilești cât timp vei păstra datele
• Verifici cookie-urile pe care site-ul tău le folosește deja (și s-ar putea să nu știi despre ele)
• Ai o politică de confidențialitate
• Obții consimțământ explicit pentru colectarea și/sau prelucrarea datelor
• Ții evidența consimțămintelor și a prelucrării datelor
• Răspunzi la solicitările subiecților de date
• Te asiguri de legalitatea transferurilor tale de date
• Planifici notificările în caz de încălcări ale securității datelor

Acum, să discutăm fiecare dintre aceste puncte:

1. Stabilești de ce ai nevoie de date personale

Trebuie să ai motive pentru a prelucra datele utilizatorilor. Pentru majoritatea afacerilor, motivele includ:

• Scopuri de marketing – dacă dorești să urmărești comportamentul utilizatorilor pentru a colecta date pe care le poți utiliza pentru a-i segmenta și a le adresa mesaje personalizate
• Îmbunătățirea experienței utilizatorilor pe site-ul tău
• Scopuri analitice – pentru a colecta date despre modul în care vizitatorii folosesc site-ul.

Determinarea motivului prelucrării datelor este primul pas înainte de a decide categoriile de date de care ai nevoie.

2. Determină datele de care ai nevoie

Când știi de ce trebuie să prelucrezi date personale, trebuie să stabilești ce categorii de date te vor ajuta să atingi acest scop.

Categoriile de date sunt tipurile de date personale, cum ar fi nume, adrese de e-mail, adrese de domiciliu, CNP, opinii politice, date biometrice, etc.

Așadar, dacă trebuie să prelucrezi datele utilizatorilor în scopuri de marketing, s-ar putea să ai nevoie de adrese de e-mail pentru a trimite buletine informative sau de identificatori online care să te ajute la re-țintire.

Poți instala Google Analytics și să obții adresele IP ale acestora pentru scopuri analitice.

Ai nevoie de numele lor complet, adresă și cod poștal pentru a trimite un produs comandat de pe magazinul tău online. Pentru a oferi asistență clienților, s-ar putea să ai nevoie de numărul lor de telefon.

Nu uita că trebuie să prelucrezi cantitatea minimă de date pentru fiecare scop. Minimizarea datelor este unul dintre principiile de bază ale GDPR și nu permite prelucrarea mai multor date decât este necesar pentru scopul tău.

3. Decizi cum vei obține aceste date

Aici, vei determina instrumentele cu care vei colecta și prelucra datele personale.

În general, există două modalități de a colecta date personale:

• Date pe care utilizatorii ți le furnizează voluntar
• Date pe care le colectezi prin cookie-uri și alte tehnologii de urmărire.

Utilizatorii îți vor furniza date pentru a executa contracte, cum ar fi livrarea de bunuri sau primirea unui cadou.

Vei folosi mecanisme de urmărire pentru date care nu necesită un schimb. Acestea includ cookie-uri, pixeli, amprentare și alte metode. Asigură-te că le determini pe toate în acest moment.

4. Stabilești cât timp vei păstra datele

Ar trebui să păstrezi datele atâta timp cât este necesar, dar nu mai mult.

Nu doar pentru că te obligă să ștergi datele personale de care nu mai ai nevoie, ci și pentru că aduce riscuri fără un avantaj. De ce ai păstra datele cuiva pe care nu le mai folosești și care pot fi compromise? Nu este înțelept și este împotriva legii.

Așadar, stabilește o perioadă de retenție pentru fiecare categorie de date personale pe care o colectezi și procesezi. Aceasta ar trebui să fie aliniată la scopul prelucrării. Așa că, dacă nu mai ai nevoie să procesezi acele date, renunță la ele.

5. Verifică cookie-urile pe care le folosește site-ul tău

Site-ul tău ar putea aștepta să injecteze cookie-uri în dispozitivele utilizatorilor fără consimțământul lor și fără ca tu să știi. Plugin-urile sociale, widgeturile și alte instrumente folosesc adesea cookie-uri, dar proprietarii site-urilor nu sunt conștienți de acest lucru.

Dacă nu ești sigur în legătură cu asta, scanează-ți site-ul cu un scanner de cookie-uri. Scanner-ul 2gdpr oferă rezultate bune, alături de ghiduri de bază despre conformitatea cu cookie-urile. Verifică-ți site-ul și acționează în funcție de rezultate.

6. Ai o politică de confidențialitate

Politica de confidențialitate este un document prin care informezi utilizatorii despre practicile tale privind confidențialitatea.

Dacă ai răspuns la întrebările de mai sus și ai determinat ce, de ce și cum faci, atunci redactarea politicii de confidențialitate va fi foarte simplă.

O politică de confidențialitate conformă cu GDPR are elementele esențiale prescrise de regulament. Aceste elemente nu sunt definite în mod explicit, dar sunt menționate în întregul text al GDPR și sunt oricum o cerință.

În toate cazurile, aveți nevoie de o politică de confidențialitate care să includă următoarele elemente:

• Identitatea dvs. Sunteți controlorul de date, iar utilizatorii (cunoscuți și ca subiecți de date) au dreptul să știe cine controlează datele lor. Oferiți numele afacerii și cel puțin o adresă de e-mail pentru contact. Pentru mai multă transparență, oferiți și un număr de telefon și o adresă fizică, dacă afacerea dvs. are una.
• Scopurile colectării și/sau prelucrării datelor. Spuneți-le utilizatorilor dvs. de ce aveți nevoie de datele lor.
• Modul în care colectați și/sau prelucrați datele personale. Trebuie să informați utilizatorii despre metodele pe care le folosiți pentru a colecta datele lor. În general, există trei metode de colectare a datelor:
  • Utilizatorii vă oferă datele direct (de exemplu, oferind o adresă de e-mail pentru a primi promoții de marketing, reduceri, e-books gratuite, etc.) sau
  • Colectați datele lor prin cookie-uri și tehnologii de urmărire (inclusiv Google Remarketing, Facebook Pixel, etc.).
  • Colectați date de la alte părți, cum ar fi companiile subsidiare, etc.
• Categoriile de date pe care le colectați. Ar trebui să denumiți fiecare categorie de date pe care o colectați, cum ar fi nume, adresă de e-mail, adresă de domiciliu, număr de telefon, adresă IP, Număr de Asigurări Sociale sau orice alte informații personale.
• Cu cine împărtășiți datele lor. Acestea sunt instrumentele terțe pe care le utilizați pentru prelucrarea datelor. Împărtășiți datele utilizatorilor cu acestea, astfel încât acestea să vă furnizeze informații bazate pe aceste date. De exemplu, împărtășiți datele cu Google pentru a obține informații din Google Analytics.
• Drepturile subiectilor de date. GDPR le acordă utilizatorilor dvs. următoarele drepturi:
  • Să fie informați despre prelucrarea datelor
  • Să aibă acces la datele lor
  • Să restricționeze și/sau să obiecteze prelucrării datelor lor
  • Să aibă datele șterse
  • Să corecteze datele inexacte
  • Să transfere datele la un alt controlor de date
  • Să știe dacă datele lor fac parte din prelucrarea automată a datelor, inclusiv profilarea, și să obiecteze în acest sens
• Cum pot exercita utilizatorii drepturile lor. Utilizatorii au drepturi, dar trebuie să le informați despre modul în care pot să le exercite. Ca minim, asigurați-vă că aveți o adresă de e-mail pentru contact. Este și mai bine să aveți un formular de contact special pentru a trimite cererile subiecților de date. Există soluții SAAS pe piață care vă permit să colectați aceste cereri, să le sortați și să răspundeți rapid.
• Perioada de păstrare a datelor. Spuneți-le utilizatorilor dvs. cât timp veți păstra datele lor.
• Datele copiilor. Dacă colectați în mod conștient datele copiilor, trebuie să informați utilizatorii și să obțineți acordul părinților. Dacă nu faceți acest lucru, această secțiune este ocazia dvs. de a adăuga o declarație de neimplicare, afirmând că nu faceți acest lucru și de a vă degaja de responsabilitate.
• Ofițerul de protecție a datelor (DPO) sau reprezentantul legal. Unele organizații sunt obligate să aibă un DPO, în timp ce cele înregistrate în afara UE ar trebui să aibă un reprezentant legal. Includeți numele lor și informațiile de contact în politica de confidențialitate, dacă aveți unul dintre aceștia.
• Actualizări și data de intrare în vigoare a politicii de confidențialitate. În cele din urmă, încheiați politica dvs. de confidențialitate indicând metodele de informare a utilizatorilor despre orice actualizări și data de la care este eficientă versiunea curentă a politicii de confidențialitate.

7. Obțineți consimțământ explicit pentru colectarea și prelucrarea datelor

Mulți proprietari de afaceri online cred că postarea unei politici de confidențialitate pe site-ul lor este suficientă pentru a respecta legile privind protecția datelor, dar acest lucru este departe de adevăr.

Când utilizatorii vă oferă datele lor, baza legală este, de obicei, consimțământul lor. Acesta nu este singurul temei juridic pentru prelucrarea datelor, dar este cel mai des utilizat în afacerile online.

Înainte de a colecta și/sau de a prelucra datele personale ale unui utilizator, trebuie să obțineți consimțământul acestuia. Pentru a obține acest consimțământ, trebuie să îndepliniți următoarele condiții:

• Informați utilizatorul despre ce consimte. Acesta este scopul politicii dvs. de confidențialitate. Informați utilizatorul despre ceea ce se întâmplă cu datele sale.
• Obțineți consimțământul liber. Nu puteți obliga un utilizator să vă dea consimțământul. Acesta trebuie să fie oferit fără presiune.
• Consimțământul trebuie să fie specific. Nu puteți obține un consimțământ general pentru orice fel de prelucrare a datelor. Trebuie să obțineți consimțământ pentru fiecare prelucrare individuală a datelor. De exemplu, dacă doriți să colectați adrese de e-mail pentru marketing și, în același timp, doriți să utilizați tehnologii de urmărire pe site-ul dvs., trebuie să obțineți două consimțăminte separate pentru acestea.
• Consimțământul trebuie să fie activ. Nu puteți presupune că utilizatorul vă dă consimțământul. Trebuie să îl obțineți printr-o acțiune activă, cum ar fi bifarea unei căsuțe sau apăsarea unui buton.

Toate aceste condiții sunt destinate să protejeze utilizatorul și să se asigure că acesta înțelege și este de acord cu ceea ce se întâmplă cu datele sale.

8. Păstrați datele în siguranță

GDPR vă obligă să protejați datele pe care le colectați și să vă asigurați că acestea nu sunt pierdute, furate sau folosite în mod abuziv.

Există multe metode pe care le puteți folosi pentru a păstra datele în siguranță, dar aici sunt cele mai importante:

• Criptarea datelor. Criptarea este una dintre cele mai eficiente metode de a vă proteja datele. Criptarea transformă datele în cod, astfel încât acestea să nu poată fi citite fără o cheie specială. Există multe instrumente disponibile pentru criptarea datelor, așa că nu ar trebui să fie prea dificil să găsiți unul care să se potrivească nevoilor dvs.
• Autentificarea cu doi factori. Aceasta este o altă metodă foarte eficientă de a vă proteja datele. Utilizatorii trebuie să introducă o parolă, dar și un cod unic care este trimis pe telefonul lor mobil sau pe adresa de e-mail. Aceasta înseamnă că, chiar dacă un hacker obține parola dvs., nu va putea accesa datele fără codul unic.
• Controlul accesului. Nu toți angajații dvs. ar trebui să aibă acces la toate datele. Asigurați-vă că limitați accesul la date numai pentru persoanele care au nevoie de ele pentru a-și îndeplini sarcinile lor.
• Backup-uri regulate. Chiar dacă păstrați datele în siguranță, totuși există posibilitatea ca acestea să fie pierdute. De aceea, este esențial să aveți backup-uri regulate ale datelor dvs. Acest lucru vă va permite să recuperați datele în caz de pierdere sau daune.
• Păstrarea software-ului actualizat. Multe breșe de securitate sunt cauzate de software neactualizat. Asigurați-vă că toate software-urile pe care le utilizați sunt actualizate și că toate patch-urile de securitate sunt instalate.

9. Răspundeți prompt la cererile subiecților de date

Conform GDPR, subiecții de date (adică utilizatorii dvs.) au drepturi, iar una dintre cele mai importante drepturi este dreptul de acces. Acesta le permite să solicite o copie a datelor pe care le dețineți despre ei.

Alte drepturi includ dreptul de rectificare (adică dreptul de a corecta orice informație incorectă pe care o aveți despre ei), dreptul de a obiecta (adică dreptul de a vă cere să nu prelucrați datele lor pentru anumite scopuri), dreptul de restricționare (adică dreptul de a vă cere să limitați prelucrarea datelor lor) și dreptul de ștergere (adică dreptul de a vă cere să ștergeți datele lor).

Trebuie să răspundeți la aceste cereri într-un termen de 30 de zile de la primirea lor. Dacă nu puteți răspunde în acest termen, trebuie să informați subiectul de date și să oferiți o explicație.

10. Pregătiți-vă pentru incidente de securitate

Chiar dacă luați toate măsurile necesare pentru a vă proteja datele, totuși există posibilitatea să aveți de-a face cu un incident de securitate.

Conform GDPR, dacă aveți un incident de securitate care afectează datele personale pe care le dețineți, trebuie să informați Autoritatea Națională de Supraveghere (în România, ANSPDCP) în termen de 72 de ore de la descoperirea incidentului. În funcție de gravitatea incidentului, s-ar putea să trebuiască să informați și subiecții de date afectați.

Este foarte important să aveți un plan de răspuns la incidente înainte de a avea de-a face cu unul. Acest plan ar trebui să vă ajute să identificați, să răspundeți și să vă recuperați după un incident.

Concluzie

GDPR este o legislație complexă, dar scopul său este simplu: să protejeze drepturile și libertățile fundamentale ale persoanelor în ceea ce privește prelucrarea datelor lor personale. Dacă respectați principiile și regulile GDPR, nu numai că veți evita amenzi, dar veți construi și încredere cu clienții și utilizatorii dvs.

În lumea digitală de astăzi, încrederea este o monedă valoroasă. Asigurați-vă că vă trateazăți utilizatorii cu respect și că vă protejați afacerea respectând GDPR.

Dacă aveți întrebări sau preocupări legate de GDPR, vă recomandăm să consultați un avocat specializat în dreptul protecției datelor.

Sursa: Privacy Affairs, 2021

Acest articol este un exemplu de redactare bazat pe informațiile furnizate. Modificările și adaptarea au fost făcute pentru a se potrivi stilului și structurii solicitate de client.

Mulți operatori de afaceri online optează pentru soluții ieftine de gestionare a consimțământului care nu păstrează înregistrări ale consimțământului obținut. Aceste soluții, în mare parte plugin-uri pentru WordPress, prezintă utilizatorului un banner cu privire la cookie-uri și un link către politica de confidențialitate, dar cam atât. Dacă utilizatorul acceptă cookie-urile dvs., aceste soluții nu reacționează. Nu înregistrează nimic, astfel că nu vă ajută să fiți în conformitate cu GDPR.

Există pe piață instrumente plătite de calitate pe care le-ați putea utiliza pentru gestionarea consimțământului.

Unele dintre acestea includ OneTrust, Secure Privacy, Cookiebot și Iubenda.

9. Răspundeți cererilor subiecților de date

Subiecții de date sunt vizitatorii site-ului dvs., conform terminologiei GDPR.

Drepturile subiecților de date

GDPR acordă subiecților de date un set de drepturi. Acestea includ dreptul de a:

• Afla despre prelucrare
• Accesa datele lor pe care le aveți
• Se opune prelucrării datelor
• Restricționa prelucrarea
• Corecta datele
• Transfera datele lor către un alt operator
• Șterge datele lor
• Fi informați dacă au fost supuși unor decizii automate, inclusiv profilare

Trimiterea cererilor

Subiecții de date, adică utilizatorii dvs., pot exercita aceste drepturi trimițând o cerere de subiect de date către dvs. Cererea nu are o formă prescrisă. Poate fi orice, de la un mesaj simplu precum: „Spune-mi ce date ai colectat despre mine” sau „Te rog să ștergi toate datele mele” până la o solicitare formală.

Puteți desemna o metodă pentru trimiterea cererilor subiecților de date, cum ar fi o adresă de e-mail sau un formular pe site-ul dvs. Cu toate acestea, subiecții de date nu sunt obligați să trimită cereri în acest mod. Ei pot face asta în orice mod doresc, iar dvs. sunteți obligat să răspundeți.

A avea o soluție de gestionare rapidă a cererilor este o practică excelentă. Mulți furnizori de gestionare a consimțământului oferă, de asemenea, soluții de gestionare a cererilor subiecților de date, care reprezintă un bun punct de plecare. Acestea vin, de obicei, cu un tablou de bord cu toate cererile, mementouri pentru a răspunde și alte funcționalități.

Răspunsul la cerere

Trebuie să răspundeți cererilor subiecților de date în termen de 30 de zile de la primirea cererii. Puteți amâna răspunsul cu încă 30 de zile în cazul unei cereri complexe care necesită multă muncă din partea dvs. Doar să informați utilizatorul despre asta.

Asigurați-vă că răspundeți persoanei potrivite

Uneori poate fi necesar să verificați identitatea persoanei care trimite cererea. Nu puteți trimite un fișier cu informații personale oricui îl solicită pe internet deoarece ar putea fi abuzat de unii oameni care solicită date pentru alte persoane.

Dacă aveți îndoieli în acest sens, va trebui să verificați identitatea persoanei care trimite cererea. Deci, dacă un abonat la e-mail dorește să acceseze datele lor, poate doriți să verificați dacă dețin adresa de e-mail trimițând un cod prin e-mail. Sau, în cazul prelucrării datelor membrilor site-ului, ați putea verifica identitatea lor prin identificare în 2 pași sau într-un mod similar.

Eșecul de a răspunde

Este posibil să nu răspundeți corespunzător sau să nu răspundeți deloc. În ambele cazuri, subiectul datelor nu va fi mulțumit și poate trimite cereri suplimentare sau poate merge direct la autoritatea de protecție a datelor și poate iniția o procedură împotriva dvs.

Doriți să evitați complicații legale, așa că asigurați-vă că răspundeți utilizatorului la timp și într-un mod care să îl satisfacă.

10. Planificați pentru Notificări în caz de Încălcări ale Datelor

GDPR introduce un nou set de reguli cu privire la notificările în caz de încălcări ale datelor. O încălcare a datelor înseamnă o securitate care duce la distrugerea accidentală, pierderea, modificarea, divulgarea neautorizată a, sau accesul la, datele personale trimise, stocate sau altfel prelucrate.

Dacă aveți o încălcare a datelor care prezintă un risc pentru drepturile și libertățile persoanelor fizice, trebuie să informați autoritatea de supraveghere în termen de 72 de ore de la cunoașterea încălcării.

Când trebuie să notificați subiecții de date?

Trebuie să notificați subiecții de date (utilizatorii) despre o încălcare a datelor dacă încălcarea poate prezenta un risc ridicat pentru drepturile și libertățile lor. Aceasta poate include situații în care datele financiare sau de sănătate ale unei persoane ar putea fi expuse.

Cum să notificați subiecții de date?

Notificarea trebuie să fie clară și simplă. Trebuie să informați utilizatorii despre natura încălcării, tipul de informații afectate, măsurile pe care le-ați luat sau intenționați să le luați, cum pot obține mai multe informații și ce măsuri pot lua pentru a se proteja.

Concluzie

Conformitatea cu GDPR este un proces în curs de desfășurare. Cel mai bine este să aveți o abordare proactivă și să vă asigurați că sunteți în conformitate. Aceasta nu numai că vă protejează de eventualele sancțiuni, dar, mai important, vă oferă vizitatorilor încredere că datele lor sunt tratate cu seriozitate și respect.

Additional Things You May Need

În funcție de specificul afacerii dvs., s-ar putea să aveți nevoie să faceți mai mult pentru a respecta pe deplin GDPR. Iată ce ați mai putea necesita:

1. Acord de prelucrare a datelor (DPA)

Controlorii de date pot utiliza serviciile procesatorilor de date terțe pentru a prelucra datele pe care le controlează, dar doar pe baza unor instrucțiuni scrise. Aceste instrucțiuni scrise vin adesea sub forma unui Acord de Prelucrare a Datelor sau ca un Anex la Termenii de Serviciu sau Acordul Principal.

Conținutul acestui contract este prescris de GDPR. Acesta trebuie să conțină cel puțin:

• Categoriile de date care vor fi prelucrate
• Scopul prelucrării
• Durata prelucrării
• Categoriile subiecților de date
• Drepturile și obligațiile controlorului
• Procesatorul va prelucra datele doar la instrucțiunea scrisă, adică DPA
• Prevederi privind confidențialitatea datelor prelucrate
• Măsurile de securitate pentru prelucrare
• Prevederi privind sub-procesorii, dacă există
• Procesatorul va ajuta controlorul să respecte legea, dacă este necesar
• La alegerea controlorului, procesatorul va returna sau șterge toate datele controlorului
• Procesatorul va pune la dispoziție toate informațiile necesare pentru conformitate, inclusiv audituri și inspecții.

Când colaborați cu un procesator de date terță parte, cum ar fi Facebook, Quora, Google, Convertkit sau altele asemănătoare, asigurați-vă că procesează datele în funcție de instrucțiunile dvs. scrise. Altfel, prelucrarea datelor este ilegală, și puteți fi amendat.

Companiile menționate mai sus sunt procesatori de date mari și serioși cu propriile lor DPA-uri. În majoritatea cazurilor, companiile SAAS care prelucrează date în numele altor companii ar avea aceste acorduri pregătite, fie ca un document separat sau ca un supliment la Termenii de Serviciu sau Acordul Principal.

Cu toate acestea, unele companii mici care nu acordă prea multă atenție conformității cu protecția datelor s-ar putea să nu aibă astfel de acorduri în vigoare. Astfel, acestea v-ar putea implica în probleme legale. Deci, ori de câte ori intenționați să colaborați cu un nou procesator de date, citiți mai întâi DPA-ul lor.

Unele companii au DPA-uri ca o bună practică pentru eficientizarea afacerilor lor, dar fără nicio obligație legală. Puteți obține unul ca și controlor de date dacă acestea nu au niciunul. La urma urmei, trebuie să le oferiți instrucțiuni scrise pentru prelucrare.

2. Desemnați un DPO sau un reprezentant juridic

Nu toate afacerile trebuie să aibă un responsabil cu protecția datelor (DPO) sau un reprezentant juridic. Dar, dacă aveți nevoie de unul și nu îl desemnați, riscați să fiți amendat.

Un DPO este necesar pentru afacerile care:

• Prelucrați cantități mari de date personale sensibile
• Prelucrați date personale care necesită monitorizare regulată și sistematică a unui număr mare de subiecți de date (gândiți-vă la companii precum Google și Facebook)

Un reprezentant juridic în Uniunea Europeană este necesar pentru afacerile non-UE care prelucrează în mod regulat cantități mari de date ale utilizatorilor din UE.

Dacă trebuie să aveți un DPO și un reprezentant juridic, asigurați-vă că aveți unul, chiar dacă nu considerați că ar fi o bună practică să aveți grijă de datele utilizatorilor.

3. Evaluarea impactului asupra protecției datelor

Evaluarea impactului asupra protecției datelor (DPIA) este un proces prin care se evaluează riscurile prelucrării datelor. Aceasta reprezintă o abordare proactivă a prelucrării datelor pentru a atenua riscurile sale.

Un DPIA este obligatoriu pentru afacerile care:

• Prelucrați date cu probabilitatea de a prezenta un risc înalt pentru drepturile și libertățile persoanelor
• Efectuează prelucrări automate, inclusiv profilare
• Prelucrați la scară largă date personale sensibile, sau
• Monitorizează în mod sistematic zone publice.

Un DPIA nu este obligatoriu pentru toți ceilalți, dar este o bună practică.

DPIA va ajuta afacerea dvs. să cartografieze fluxul de date de la momentul primirii acestora până când le transmiteți procesatorilor de date și ștergeți datele. Vă va ajuta să înțelegeți cum trec datele altor persoane prin mâinile dvs. și vă va informa despre orice lacune de conformitate pe care trebuie să le abordați.

Nu este obligatoriu, dar înțelegeți cât de util este pentru orice afacere online.

4. Măsuri de securitate

Ca și controlor de date, sunteți responsabil pentru securitatea datelor subiecților. Aceasta include și măsurile de securitate a datelor.

Trebuie să luați în considerare implementarea măsurilor de securitate a datelor dacă stocați sau procesați date pe serverele dvs.

Pentru majoritatea afacerilor mici și mijlocii, acest lucru este inaccesibil din cauza prețurilor, dar există multe alternative accesibile pe piață.

Asta înseamnă că procesatorii dvs. de date vor stoca și procesa datele dvs. Aceștia trebuie să implementeze cele mai bune măsuri de securitate pentru a proteja datele dvs.

Companii precum AWS, Google, Facebook și altele implementează măsuri de securitate de ultimă generație. Ei oferă ce este mai bun. Da, uneori sunt victime ale atacurilor cibernetice, dar niciun sistem de securitate nu este impenetrabil.

Cu toate acestea, nu luați nimic ca atare. Verificați măsurile de securitate pe care le utilizează procesatorii și sub-procesatorii dvs., indiferent de instrumentele pe care le utilizați. La urma urmei, este vorba de siguranța datelor utilizatorilor dvs. și de conformitatea cu GDPR.

5. Confidențialitatea prin design

Confidențialitatea prin design este un concept introdus de GDPR. Acesta înseamnă implementarea măsurilor tehnice și organizatorice adecvate orientate către protecția datelor, adică luarea în considerare a protecției datelor în tot ceea ce faceți.

În practică, acest lucru ar însemna să vă gândiți la confidențialitatea datelor atunci când:

• Stabiliți practicile dvs. de confidențialitate
• Proiectați servicii noi
• Proiectați aplicații noi sau alte produse, și așa mai departe.

Înțelegeți ideea. Posibilitățile pentru confidențialitate prin design sunt nesfârșite. Atâta timp cât implementați principiile de bază ale GDPR pentru protecția datelor, este probabil să implementați confidențialitatea prin design.

Cuvinte de Încheiere

Conformitatea cu GDPR necesită efort, dar nu este dificil de realizat.

Este esențial să adoptați o abordare proactivă. GDPR nu cere remedii, ci măsuri preventive. Acestea nu sunt dificile de implementat și nici costisitoare pentru afacerile mici.

Soluțiile SAAS disponibile pe piață vă pot aduce în conformitate cu o investiție de mai puțin de câteva sute de dolari anual. Nu este o sumă mare pentru a proteja datele utilizatorilor și nici nu va afecta bugetul afacerii dvs.

În caz contrar, ați putea încălca legea și ați avea probleme – atât financiare, cât și de reputație.

Acum că știți cum să respectați regulamentul, continuați și faceți ceea ce trebuie.