Skip to main content

GDPR atbilstības kontrolsaraksts Eiropas vietnēm

LaNexa Team

Vispārīgā datu aizsardzības regula (GDPR) ir spēkā kopš 2018. gada maija, tomēr daudzas Eiropas vietnes joprojām neatbilst pilnīgai atbilstībai. Sekas ir reālas: sodi līdz 20 miljoniem eiro vai 4% no gada globālā apgrozījuma, atkarībā no tā, kurš ir lielāks. Papildus sodiem neatbilstība grauj klientu uzticību un var izraisīt juridiskas darbības no indivīdu puses. Šis kontrolsaraksts palīdzēs jums novērtēt un uzlabot jūsu vietnes GDPR atbilstību.

Sīkdatņu piekrišana

Sīkdatņu piekrišana bieži ir visredzamākā GDPR prasība, un tā ir arī vieta, kur lielākā daļa vietņu neatbilst. Atbilstošam sīkdatņu piekrišanas mehānismam ir jānodrošina:

  • Visu neobligāto sīkdatņu bloķēšana pirms piekrišanas — analītikas, mārketinga un sociālo mediju sīkdatnes nedrīkst aktivizēties, kamēr lietotājs nav skaidri piekritis
  • Detalizētas izvēles iespējas — lietotājiem jāspēj pieņemt vai noraidīt sīkdatnes pa kategorijām (nepieciešamās, analītika, mārketings, preferences)
  • Noraidīšana tikpat vienkārša kā pieņemšana — pogai "Noraidīt visas" jābūt tikpat izceltas kā "Pieņemt visas." Tumšie modeļi ir skaidri aizliegti.
  • Piekrišanas ierakstu glabāšana — uzglabājiet pierādījumus par to, kad un kā katrs lietotājs sniedza vai atsauca piekrišanu
  • Vienkārša atsaukšanas iespēja — lietotājiem jāspēj mainīt savas sīkdatņu preferences jebkurā laikā

Tādi rīki kā Cookiebot, Complianz vai pielāgoti piekrišanas pārvaldnieki var to apstrādāt, taču tie ir pareizi jākonfigurē. Daudzi standarta iestatījumi joprojām ielādē Google Analytics vai Facebook Pixel pirms piekrišanas saņemšanas.

Konfidencialitātes politikas prasības

Jūsu konfidencialitātes politikai jābūt rakstītai skaidrā, vienkāršā valodā (ne juridiskā žargonā), un tai jāietver:

  • Jūsu identitāte un kontaktinformācija kā datu pārzinim
  • Persondatu veidi, ko apkopojat, un apstrādes mērķi
  • Juridiskais pamats katrai apstrādes darbībai (piekrišana, leģitīmā interese, līgumiska nepieciešamība)
  • Ar ko jūs dalāties ar datiem (hostinga pakalpojumu sniedzēji, analītikas pakalpojumi, maksājumu apstrādātāji)
  • Datu saglabāšanas periodi katrai datu kategorijai
  • Lietotāju tiesības (piekļuve, labošana, dzēšana, pārnesamība, iebildums)

Datu apstrādes līgumi

Ja izmantojat trešo pušu pakalpojumus, kas apstrādā persondatus jūsu vārdā (hostinga pakalpojumu sniedzēji, e-pasta mārketinga platformas, analītikas rīki, CRM sistēmas), jums ir jānoslēdz Datu apstrādes līgums (DPA) ar katru no tiem. Lielākā daļa galveno pakalpojumu sniedzēju (AWS, Google, Mailchimp, HubSpot) piedāvā standarta DPA, ko varat parakstīt elektroniski.

Tiesības uz dzēšanu

Lietotājiem ir tiesības pieprasīt savu persondatu dzēšanu. Jūsu vietnei jābūt procesam, kas nodrošina:

  • Dzēšanas pieprasījumu saņemšanu (caur veidlapu, e-pastu vai lietotāja konta iestatījumiem)
  • Pieprasītāja identitātes pārbaudi
  • Datu dzēšanu no visām sistēmām 30 dienu laikā (ieskaitot dublējumus, kur tehniski iespējams)
  • Trešo pušu informēšanu, kas saņēmušas datus, arī tos dzēst
  • Pieprasījuma un jūsu atbildes dokumentēšanu

SSL/HTTPS un datu drošība

Lai gan GDPR specifiski nenosaka HTTPS, tā prasa "atbilstošus tehniskus un organizatoriskus pasākumus" persondatu aizsardzībai. Praksē tas nozīmē:

  • Visas lapas jāpadod caur HTTPS ar derīgu SSL/TLS sertifikātu
  • Paroles jāhešo (izmantojot bcrypt vai Argon2, nekad MD5 vai SHA-1)
  • Persondati datu bāzē jāšifrē miera stāvoklī
  • Piekļuve persondatiem jāierobežo tikai pilnvarotam personālam
  • Regulāri jāveic drošības auditi un iespiešanās testi

Biežākās kļūdas, no kurām izvairīties

  • Iepriekš atzīmētas piekrišanas izvēles rūtiņas — piekrišanai jābūt brīvi sniegtai ar apstiprinošu darbību
  • Apvienota piekrišana — neapvienojiet mārketinga e-pastu piekrišanu ar pakalpojuma noteikumu pieņemšanu
  • Nav sīkdatņu politikas — konfidencialitātes politika un sīkdatņu politika ir atsevišķas prasības
  • Kontaktformu datu ignorēšana — formu iesniegumi ir persondati, un tie jāapstrādā atbilstoši
  • Piekrišanas nereģistrēšana — "mēs viņiem paziņojām" nav pietiekami. Jums jāpierāda, kad un kā piekrišana tika iegūta.

Secinājums

GDPR atbilstība nav izvēles iespēja — tā ir juridisks pienākums jebkurai vietnei, kas apkalpo Eiropas lietotājus vai apstrādā ES iedzīvotāju datus. Labā ziņa ir tāda, ka atbilstības sasniegšana arī veido uzticību ar jūsu auditoriju un demonstrē profesionalitāti. LaNexa var palīdzēt jums veikt vietnes GDPR atbilstības auditu un ieviest nepieciešamās izmaiņas, no sīkdatņu piekrišanas integrācijas līdz datu apstrādes darba procesiem. Sazinieties ar mums, lai saņemtu bezmaksas atbilstības pārskatu.

Atzīmēts ar: E-komercija Drošība
Atpakaļ uz Blogs