第一个符合您第一个业务网站的GDPR合规步骤

当您设置业务网站时,请检查您的GDPR符合性的优先级可能会降低。

但是,即使作为一个单人行动,您也必须与法律保持一致 - 否则您可能会被打磨一个严重的罚款

我们希望通过指导您完成这九个步骤以符合新网站的GDPR,从而消除恐吓。

1.确定数据的来源以及如何处理

作为快速提醒,个人数据被定义为可以直接或间接使用以识别人的任何信息。它可能是名称,照片,电子邮件地址,银行详细信息,医疗信息,计算机IP地址,cookie或社交媒体帖子。

您的起点是知道数据的来源以及您对其做什么。可以通过Google Analytics(分析)和GPS位置跟踪器以及电子邮件注册来收集数据。接下来,查明信息的存储位置以及谁可以访问。

制定您的程序:

  • 证明某人已得到您的同意
  • 如果有人希望删除他们的数据怎么办
  • 如果您遭受数据泄露该怎么办

在这一点上,请考虑您要收集的数据类型。如果您询问他们最喜欢的食物,而不是食品或饮料业务,那就涉足不必要的信息领域。您收集的数据必须具有“合法依据”,这可能是以下一个或多个:

  • 同意
  • 合同
  • 法律义务
  • 重要利益
  • 公共任务
  • 合法利益

确保您可以处理要删除或更改人员数据的请求。

2.使您的营销电子邮件符合GDPR

要吸引人们到您的网站,您可能会在您的业务策略中包括营销电子邮件。

与GDPR的任何领域一样,这里最重要的考虑因素是同意。您必须能够证明用户或客户已同意向他们发送营销电子邮件。这包括您的电子邮件数据库中的每个人。

除了确保每个人都同意之外,他们必须轻松且无意识才能选择退出。这可能包括电子邮件底部的退订链接或通过其在线帐户编辑电子邮件首选项的选项。在每封电子邮件中包括退订选项。

3.完善您的选择加入表格

选择形式将以您的注册表格,cookie弹出窗口/横幅和隐私政策为单位。

至关重要的是,未预先挑选的选择表格 - 用户必须自行勾选盒子。标记复选框的方式不会令人困惑,避免了“如果您不想接收营销电子邮件,请不要打勾以下两个盒子”陷阱。

为了避免意外订阅情况,您可以进行双重选择进程。这可能是一个tick框,可以注册到您的邮件列表和后续电子邮件以确认订阅。

也要小心自动化。如果将电子邮件发送给选择退出的人,那可能会使您受到罚款。

4.编写隐私政策

隐私政策概述了您如何收集和发布有关用户的信息。它应该澄清与其他公司,研究人员或卖方共享的机密或共享的内容。

您需要说出您收集的个人信息,如何收集,使用它以及分享或出售。清楚您的语言,并尽可能避免行话。格式化显然也很重要,例如子弹点。包括合法的基础或基础,您也使用。

请记住,您请求和存储的数据越多,编写隐私政策的困难就越困难。

接下来,告诉用户他们的数据已安全存储。您不必在这里详细介绍,但要让他们知道这一点。概述用户权利,包括对其数据进行修改,删除数据并根据要求删除其信息。

让他们知道您是否已更改隐私政策,例如更改收集的数据类型或存储方式。它可以使用户保持最新状态,并帮助您保持透明。

结束联系信息部分,如果有人对处理其个人数据的处理有疑问。

5.编写饼干政策并创建弹出/横幅

cookie是一个保存到您的设备并存储网站名称的文件,为您提供了一个独特的ID,可以显示您以前去过那里。它还可以存储您在网站上使用的时间,该网站链接您要单击,偏好和设置,您登录的帐户,查看的页面以及购物篮中的物品。当您重新访问网站时,他们会记住您,并给您更个性化的体验。

为了帮助您制定饼干策略,它有助于了解如何使用所述cookie。可能是要记住登录详细信息,以在随后的访问中创建自定义广告,以记住偏好或针对营销活动。

在您的策略中,告诉用户您使用的是哪种cookie,如何使用它们以及如何控制cookie的管理方式。在您的隐私政策中也包括此信息。

您也必须在这里有一个选择复选框。像您的电子邮件一样,很容易选择退出cookie - 为用户提供在其设置中更改首选项的选项。

您的弹出/横幅通知确认了同意,并且必须易于理解您的完整饼干政策。像WordPress这样的一些网站构建器将带有一个插件,您可以在线创建弹出窗口或横幅,而其他插件则可以在线创建。

6.保护自己免受数据泄露

您可以通过对数据进行加密保护,限制共享和数据保留政策,最大程度地减少持有数据量并最大化用户隐私作为标准。随着数据的较少窃取,盗窃的风险将降低。为了进一步保护数据免受黑客的影响,您无法在多个设备和程序中存储它,并检查只有授权的员工才能访问该信息。

如果公司发生更改,例如企业获取,新的IT系统或新的监视系统,则还需要进行隐私影响评估(PIAS)。

在过程的每个阶段,您都应在可能的地方进行加密,假名或匿名个人数据。

同样重要的是,您知道在数据泄露时该怎么做。在意识到违规的72小时内与ICO联系,并通知所有可能受到影响的客户。

7.培训您的员工

员工必须接受培训和GDPR的认识。这可以通过将某人带入领导培训或通过测验为在线培训课程提供在线培训课程来完成。

8.设置GDPR合规文件夹

如果需要,您可以证明如何获得收集某人个人数据,使用它的用途以及如何确保其安全的权限。在这里存储选择形式,隐私政策,弹出窗口和其他用户积极参与以征求您同意的方式。

在您的文件夹中,您应该包括:

  • 数据控制器的名称和地址
  • 数据保护官的名称(如果需要的话)
  • 记录显示您的业务如何处理个人数据以及您如何保护它
  • 个人数据影响评估模板
  • 隐私通知
  • 数据保留政策
  • 主题访问请求的程序
  • 对数据泄露的响应
  • 数据泄露日志
  • 信息专员办公室(ICO)的通知模板,以防您需要报告违规
  • 员工培训记录
  • 第三方处理器和合同的副本

整个文件夹应存储在公司的文件系统上,并准备在短时间发送到ICO。

9.创建常规审核过程

现在是审查谁希望删除数据以及您拥有和不再使用的任何数据的好时机。看看您是否可能坚持更多的信息,如果是这样,请摆脱它。

这应该使您需要做些什么来使您的网站符合GDPR。有关更多详细信息,请浏览以下链接:

小型企业的GDPR合规性bob综合体育官网登录

撰写符合GDPR的隐私通知

如何为您的网站编写饼干政策

阅读更多

建立业务网站:涉及哪些关键步骤?

相关话题

GDPR