GDPR Kazne, Izmisljena Pravila, Vodič Usklađenosti
Gotovo 95% malih poslovanja je neusklađeno sa GDPR. Evo šta su kazne, šta su miti i kako postati usklađeni bez jurisconvultao.
Većina poslovanja ima pogrešnu ideju šta je GDPR. Misle da je to "europski zakon za privatnost sa milionima kazni." To je delom tačno — to je zakon za privatnost sa milionima kazni mogućnostima — ali skoro sve maloga poslovanja je zapravo ne u riziku massive kazni ako je malo pažljiv.
Međutim — i ovo je veliki međutim — gotovo 95% malih poslovanja je tehnički neusklađeno sa GDPR. Ne jer namerno krše zakon. Krše jer ne znaju šta trebalo ili zaborave.
Evo šta trebate znati.
Šta je GDPR?
GDPR (General Data Protection Regulation) je EU zakon koji stupi na snagu maja 2018. To je regulatuje kako poslovanja skupljaju, čuvaju, i koriste personalne podatke osoba sa EU.
Tri ključne primene:
- Transparentnost: Ako skupim podatke, trebati da kažem osoba šta skupljam i zašto
- Kontrola: Ako osoba pita šta podatke imate o njima, trebati odgovori unutar 30 dana
- Bezbednost: Trebati štiti podatke kroz enkriptovanje, pristupnu kontrolu, i incident planove
Kazne: Mit vs. Realnost
Miti: "GDPR kazne su €20 miliona za bilo koji greške."
Realnost: Kazne su na skali od €20,000 do €20 miliona. Evo kako funkcioniše:
- Nizak strop (€20,000): Tehnički greške kao što su "mi nisam trebalo dati osoba kopiju njihovih podataka jer nisam znao kako"
- Visokim strop (€20 miliona ili 4% prometa): Namern ili ozbiljan kršenja kao što su "prodao sam tvojim kupci liste Twitch bez dozvole"
Većina malih poslovanja nikad ne vidim velike kazne jer se malih greške ne kosta to. Ako napraviš grešku, ispravite, i čini bolje, više od regulatora je zadovoljna.
Sedam Stvari Trebam da Činiš za GDPR Usklađenost
1. Napraviti Jasnu Politiku Privatnosti
Trebali imati dokument koji govori:
- Šta podatke skupljam (emejl, ime, lokacija, ponašanje)
- Zašto skupljam to (za email marketing, za personalizaciju, za povratnu informaciju)
- Kako ga čuvam (šifrovano, u bezbednoj bazi podataka)
- Koliko dugo ga čuvam (dok nisu pretplatili, plus 30 dana; ili tri godine; ili dok ne kažu da ga obrišu)
Evo šablon: "Skupljamo tvoj email da vam pošaljemo marketing email-ove. Ti možeš odjavi bilo koje vreme klikom 'unsubscribe' veza."
2. Imaš Zakonski Osnova za Svaki Podatke Zbirka
Prije nego što skupiš bilo koji podatke, trebali reći "zašto":
- Pristanak: "Klikom ove kutije, pristanu da skupiš moj email"
- Ugovor: "Trebam tvoj adresa da dostavim tvoj narudžbinu"
- Zakonska obaveza: "Trebam tvoj podatke za poreske zakone"
- Interes: "Trebam analizirati kako se koristi moj proizvod da ga poboljšam"
Većina malih poslovanja koriste "pristanak" — gdje osoba čine stvarno, eksplicitno odabira in.
3. Obavesti Osobe o Kojima Podatke Skupljam
Ovo se pravi na početku:
- Na tvoj veb sajt, govori "mi skupljamo emejl preko ovog forma"
- U tvoj email, imej od, recimo, "Kupci podataka obrada — primetiti"
- U tvoj app, govori "mi pristupam tvoj lokaciji da pronađem najblisiji pijaca"
4. Do Osoba Podatke Prava
Trebali dati osoba:
- Pristup: Ako pitaju "šta je tvoje podatke o meni," trebali odgovori sa puni export
- Brisanja: Ako pitaju "obriši mene," trebali obriši (osim ako trebam iz zakonske razloga, kao što je faktura)
- Ispravljanja: Ako kažu "moj email je pogrešan," trebali ispraviti
Trebali da odgovoriš unutar 30 dana.
5. Imaš Data Processing Agreement (DPA) Sa Dobavljači
Ako korišćam tretere kao Google Analytics, email platforme, ili cloud hosting, trebali imaj dogovor koji govori "oni čuvaju moje podatke korisnika sigurno i ne koriste ih za nešto druge."
Većina platformi već imaj ovo — trebali samo potpisati.
6. Bezbednost Tvoj Podataka
Trebali:
- Enkriptovati podatke (nije li mogao biti stotine bez lozinke)
- Kontroliranje pristupa (samo osobe trebalo pristup)
- Backupuj podatke (ako baza podataka padne, trebaj imaj kopiju)
- Imaš incident plan (ako podatke bude prokršeni, šta činit?)
7. Vodi Evidenciju
Trebali imaj zapis koji kaže:
- "Skupljamo emejl preko web forme za marketing"
- "Čuvamo ga za tri godine ili dok se pretplatili"
- "Enkriprujemo it i čuvamo na Neon bazi podataka"
To je sve. Regulatori žele samo videti da ste razmišljali kroz ovo.
Procena Uticaja Privatnosti (PIA)
Prije nego što lansiraš novo karakteristika koja skuplja ili koristi podatke (kao što je "mi ćemo pratiti koji kartu korisnik vidiš"), trebali fazer PIA.
PIA je samo document koji kaže:
- "Ovaj karakteristika će skupiti lokacija"
- "To može biti riziko jer ako baza podataka padne, osoba bi mogao biti lokalizovan"
- "Evo kako ćemo smanjiti rizik: enkriprujemo lokaciju i obrišemo posle 30 dana"
Takođe je obaveza, ali često malih poslovanja ga ne rade — trebao ako skupljač bilo šta osjetljivo.
Šta Trebam za Email Marketing
Ako pošalješ email marketing (kao što je "Kupujem novi proizvod"):
- Trebali imaj "unsubscribe" veza na sve emejl (nije opciono)
- Trebali imaj pristanak — osoba trebalo da se pretplaćeni, nije automatski
- Trebali čuvati pristanak zapis — "osoba kliknotа 'Želim da bih marketing emejl' na [datum]"
Većina email platforme (kao što je Mailchimp) automatski čini ovo.
Kako Postati Usklađen Bez Jurisconvultao
Evo jednostavnog plan:
- Prebiri tvoj veb sajt — Šta podatke skupljam? (forme, cookies, analytics)
- Napraviti politiku privatnosti — Govori šta skupljam i zašto. Koristi šablon od privatnosti šablon sajta.
- Postavi pristanu checkbokse — Na sve forme, učini opšti "Želim da bih emails" - ne automatski
- Dodaj "unsubscribe" na sve emejl — Koristi email platforme — većina čini ovo automatski
- Čuva pristanu evidencija — Ako neko pyta "zašto imam tvoj emejl," trebali imaj zapis koji kažu oni su pretplatile
- Imaš data deletion plan — Ako neko preta "obriši mene," znate kako to činiti
To je je. Više njih što trebali nema da bude sa većinom poslovanja.
Poslednja Stvar
GDPR nije loš zakon. To je samo kaže "budi pošten sa osoba podatke." Ako skupljač emejl, reci njima. Ako čuvaš podatke, štiti je. Ako oni pitaju šta imate, odgovori.
Većina regulatora više nego zadovoljni sa "mi nisam znao, ali sada ću ispraviti" od sa "mi nisam znao pa ništa nećem da uradim."
Postanite usklađeni. To je bolje nego biti u riziku.
Saznajte više o WhatsApp Bot Za Poslovanje: Kompletan Vodič.
Често постављана питања
- Koje su kazne za GDPR neusklađenost?
- Kazne varira od €20,000 do €20 miliona (ili 4% godišnjeg globalnog prometa, šta je više), zavisno od ozbiljnosti kršenja. Međutim, većina malih poslovanja nije trebala plaćati milione — tek toliko ispravljaju greške čim je GDPR autoritet kontakt.
- Da li trebam da vodim GDPR ako nisam u EU?
- Ako obrađuješ podatke bilo koje osobe u EU ili nudišeš usluge EU rezidentima, da — apsolutno. Geografija nije važna. Ako tvoje stranke broje iz Spanje, Francuske ili Nemačke, trebam da budeš usklađen.
- Koje je osnovno šta trebam da učinim?
- Tri stvari: (1) Imaj jasnu politiku privatnosti koja objasniti šta podatke skupljam i zašto; (2) Broji privatnost uticaja procenu (PIA) pre nego što lansiraš nove proizvode; (3) Obavi podataka osnovna prava zahteve — ako neko pita šta podatke imate o njima, odgovori u 30 dana.
Want to discuss this for your business?
Tell us what you need. We'll tell you what's possible.
Start a project