Соответствие требованиям GDPR

Нет комментариев

DSGVO-Checkliste – die 10 wichtigsten To-Do’s für Ihre Website

https://www.pwc.ru/ru/services/technology/cyber-security/gdpr.html

Австрия

Закон о СМИ устанавливает обязательства по раскрытию информации для веб-сайтов, которые различаются в зависимости от содержания веб-сайта.

В Австрии согласно закону о СМИ для веб-сайтов, все сайты должны предоставлять следующию информацию:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Informationspflichten_nach_dem_Mediengesetz_fuer_Websites.html

ЗАКОН ОБ ЭЛЕКТРОННОЙ КОММЕРЦИИ АВСТРИИ

В Австрии создание и продвижение сайтов регулируется законом об электронной коммерции – E-Commerce-Gesetz

Краткое описание общих информационных требований в соответствии с законом об электронной коммерции, а также специальных информационных требований для рекламных и интернет-магазинов можно прочитать здесь

ОСНОВНЫЕ ПОЛОЖЕНИЯ ПО ЗАЩИТЕ ДАННЫХ В ЕВРОСОЮЗЕ (DSGVO)

Общие положения о защите данных вступили в силу 25 мая 2018 года.

Вся обработка данных должна соответствовать этой правовой ситуации.
Чек-лист соответствия общим положениям ЕС о защите данных можно прочитать здесь

Владельцам сайтов необходимо тщательно соблюдать Общий регламент ЕС по защите данных (GDPR) (во избежание штрафов в размере до 20 миллионов евро)

В Австрии создание и продвижение сайтов регулируется законом об электронной коммерции – E-Commerce-Gesetz. Краткое описание общих информационных требований в соответствии с законом об электронной коммерции, а также специальных информационных требований для рекламных и интернет-магазинов (на немецком языке)можно прочитать

 

Сайты, разработанные для Австрии (Евросоюза) должны соответствуют Общему регламенту ЕС о защите данных (GDPR), и имеют Impressum, согласно закону об Е-коммерции. Сайты, разработанные для других стран имеют типовую Политику обработки персональных данных и Пользовательское соглашение

 

 

Новый регламент по защите персональных данных (GDPR) вводит новые требования соответствия (GDPR compliance), соответствие которым можно проверить по следующему алгоритму:

Анализ собираемых данных

Цель первого этапа это определить применим ли GDPR к вашему проекту или организации. Если применим, то в какой степени. Прежде всего надо проанализировать собираемые данные, где и как они собираются. Собираются ли они с применением норм GDPR. Проводится ли соответствующее уведомление пользователя.

В GDPR понятие персональных данных определяет достаточно широко, под этот термин могут попадать любые данные, относящиеся к к идентифицированному или идентифицируемому физическому лицу. Это означает, что данные будут считаться персональными данными, если по их совокупности можно определить конкретного человека. Возможно, вы Ваш проект не собирает персональные данные и требования GDPR будут неприменимы.

Где следует искать данные:

  • в базе данных клиентов или заказов
  • в формах обратной связи, отзывах, заполненных клиентами
  • программы лояльности, розыгрыши
  • данные из электронной почты
  • фотографии или видео, включая например данные видеонаблюдения отдела работы с клиентами или выдачи товара покупателям.
  • данных о людских ресурсах

Чтобы понять, относится ли GDPR к Вашему проекту, важно провести учет всех данных. Если данных достаточно для определения хотя бы одного конкретного гражданина ЕС, то тогда вам необходимо соблюдать GDPR.

Если данные собираются с коммерческими целями, у предприятия должно быть четкое представление, что и зачем оно делает, кто отвечает за сбор данных, где они хранятся и т.д. Основной принцип — ничего лишнего, собирайте только то, что вам на самом деле нужно. Если предприятие предоставляет клиенту скидку, ему вряд ли нужно имя покупателя. Но если клиент получает карточку, на которой копятся баллы, то имя, фамилия и какой-то идентификатор все же нужны.

 

Использование персональных данных

Итак, персональные данные определены.

Данные необходимо классифицировать. Вам нужно понять, какие типы персональных данных обрабатываются вашей организацией, как ваша организация обрабатывает такие данные и для каких целей. Классификация персональных данных особенно нужна в больших и сложных проектах или в организациях с большим количеством подразделенй.

Далее следует определить кейсы и сценарии использования и обработки этих данных. Определите, как, когда, кем и зачем они обрабатываются. Стоит подумать над системами сбора и хранения этих данных, понять, почему они были собраны, как они обрабатываются и совместно используются, как долго они хранятся, и нет ли потенциальной утечки или уязвимости.

Возможно стоит передать часть данных на обслуживание партнерам или в облачные сервисы. Либо наоборот, надежность партнеров внушает сомнения и стоит перенести обработку данных к себе.

Проверьте, чсто сроки хранения данных по закрытым контактам, заказам или контрактам соответствуют требованиям GDPR.

 

Защита персональных данных

Разработайте механизмы защиты персональных данных. Возможно стоит внедрить план управления данными. План управления данными может помочь вам определить политики, роли и обязанности для доступа, управления и использования персональных данных. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.

Необходимо принятие соответствующих технических и организационных мер для защиты персональных данных :

  • от потери. Например из-за отказа оборудования.
  • от несанкционированного доступа. Например из-за недостаточного соблюдения требований безопасности в ИТ.
  • от непреднамеренного раскрытия. Например из-за случайного произвольного доступа к персональным данным из сети Интернет. Например на старом и неподдерживаемом, но работающем ресурсе. Такие случаи уже были.

Подумайте о физической защите данных. Нарпимер защищенность от кражи или изъятия оборудования.

 

Назначьте сотрудника по защите данных

Сотрудник по защите данных (DPO — Data Protection Officer) должен:

  • отвечать за безопасность персональных данных
  • разбираться с законодательной базой
  • работать с обращениями пользователей
  • работать с надзорными органами ЕС

Отчетность

GDPR определяет не только права физических лиц на защиту персональных данных, правила и ограничения обрботки персональных данных, но и вводит стандарты отчетности. От вашего проекта может потребоваться прозрачность и готовность обосновывать предпринятые действия на основе ваших отчетов, логов, записей.

Согласно GDPR необходимо поддерживаете актуальной документацию, определяющую процессы и использование персональных данных.

Необходимо вести учет о:

  • целях обработки
  • категориях собранных персональных данных
  • информация о третьих сторонах, которым передаются персональные данные, а также правовую основу таких переводов
  • организационные и технические меры безопасности
  • время хранения данных
  • отчеты о создании, удалении, изменении персональных данных
  • обращения физических лиц

Согласование с надзорными органами

Возможно требуется согласовать ваше решение с надзорными органами.

 

Передача персональных данных за пределы ЕС

Проверить законность передачи персональных данных за пределы ЕС.

 

Практические советы по оформлению сайта

Проверьте публичные страницы вашего проекта. Необходимо наличие деклараций (политика конфиденциальности, политика возрастного ограничения, политика обработки платежей, политика применения куков. Также не помешает наличие декларации соответствия GDPR и политики безопасности.
Страница регистрации. Количество запрашиваемых данных должно быть минимальным и необходимо явное и простое согласие пользователя на обработку его данных.
Профиль пользователя. Пользователь должен иметь возможность: изменить любые данные о себе, удалить или заблокировать аккаунт и все свои данные, либо выгрузить всю информацию о себе. Возможность дать или отозвать свое согласие на действия системы по обработке его данных

Я профессионально занимаюсь разработкой/созданием сайтов и их продвижением.

По образованию я - инженер-строитель (РПИ). В 2014 получила дополнительное специальное образование в Австрии по специальности 'Web Desidn' и 'Online Marketing'.

Свободно говорю и пишу по-немецки.

Я обладаю всеми необходимыми навыками и знаниями в области веб-дизайна, Adobe Photoshop, HTML, JavaScript, CSS, PHP и различных систем управления – CMS для разработки качественного, современного проекта и его продвижения.

Территориально нахожусь в Австрии, работаю удаленно.

В любое время доступна по Whatsapp, Viber или Skype. Гарантирую качество своих работ.

Об этом блоге

Этот блог дополняет и разъясняет некоторые статьи сайта. Здесь собраны новости и тенденции в области веб-дизайна, интернет-маркетинга и продвижения сайтов.
Отдельный раздел блога - экскурсии по городам Верхней Австрии.  Я предлагаю увлекательные групповые и индивидуальные экскурсии по городам Верхней Австрии - Линцу, Энсу, Штайеру, поездки в концентрационный лагерь Маутхаузен. 

 

Запрос предложения

Я предлагаю профессиональные SEO-услуги , которые помогают веб-сайтам повысить результаты в поиске и конкурировать за самые высокие позиции, даже когда речь идет о высококонкурентных ключевых словах

Подписаться на рассылку

Больше статей блога

Смотреть все статьи