Першим кроком у захисті ваших персональних даних для інтернет-магазину є перегляд політики

Ця стаття має на меті пояснити власникам або менеджерам інтернет-магазинів, що є першим кроком у впровадженні регулювання, щоб його застосування не перешкоджало процесу прийняття рішень та уникало санкцій.

ваших

Безумовно, 2018 рік є найважливішим у цифровій галузі, оскільки наприкінці травня набуває чинності Положення про захист фізичних осіб при обробці персональних даних та вільному переміщенні таких даних.

Це положення буде корисним як для людей, так і для компаній. Люди матимуть більший контроль над особистими даними, а компанії виграють від конкуренції у справедливих умовах.

Як користувач, я не можу дочекатися 25 травня 2018 року, оскільки після цього моїх персональних даних, зібраних за допомогою різних рекламних кампаній, більше не можна буде використовувати за допомогою прямого маркетингу з будь-якою метою, окрім тієї, для якої вони були зібрані. Таким чином, я зможу завантажити керівництво, яке мене цікавить, не боячись, що згодом мою адресу електронної пошти чи сторінку на facebook завалять рекламою.

Що стосується компаній, вони не повинні боятися санкцій, передбачених Положенням. Вони повинні розуміти, що основною метою Регламенту є створення культури захисту персональних даних.

Застосування санкції з штрафом застосовуватиметься лише в ситуації, коли після розслідування Наглядовий орган встановлює, що такі заходи, як докір, увага, обов'язок інформувати суб'єкта даних про обробку даних, видалення даних або обмеження обробки є недостатніми.

Інтернет-магазин обробляє персональні дані, необхідні для виконання договору. Ім'я, прізвище, адреса доставки та номер кредитної картки обробляються для того, щоб доставити замовлений товар.

На момент набрання чинності Регламентом існуватиме два типи клієнтів:

поточні клієнти, дані яких уже зібрані

нові клієнти, які замовляють вперше після набрання чинності Положенням.

Інформація, яка повинна бути надана особам, дані яких збираються - стаття 13 Положення

Стаття 13 Положення передбачає низку таких відомостей, як: дані компанії, причина збору даних, обґрунтування збору тощо, які повинні бути надані зацікавленим особам під час збору персональних даних.

Ця інформація повинна надаватися в письмовій та усній формі лише на запит суб'єкта даних. Отже, якщо збір персональних даних здійснюється в Інтернеті, інформація, що надається, може міститися в онлайн-формі.

Якщо натомість збір персональних даних здійснюється усно, інформація, яку потрібно надати, може бути надіслана електронною поштою, або якщо суб’єкт даних вимагає, вона повинна бути надана усно.

Що стосується поточних клієнтів, якщо організація отримала згоду клієнтів у поточній системі, встановивши прапорець, ця згода є недійсною.

Організація повинна переглянути свою політику конфіденційності та отримати згоду клієнтів через форму, яка містить всю інформацію, яка повинна бути надана відповідно до ст. 13 Положення.

Для нових клієнтів ситуація очевидна, інформація повинна надаватися під час збору за умов, описаних вище.

Для того, щоб організація отримала дійсну згоду, вона повинна використовувати чітку та просту мову, за допомогою якої суб’єкт даних розуміє мету обробки та висловлює свою поінформовану згоду.

Відповідальність за обробку персональних даних

Компанія, яка володіє Інтернет-магазином, має якість оператора даних, оскільки вона встановлює мету обробки.

Тобто оператор даних повинен призначити особу, уповноважену обробляти персональні дані. Уповноваженою особою може бути працівник або третя особа, фізична або юридична особа.

Призначення уповноваженої особи встановлюється контрактом, роботою чи послугами. Коли уповноважена особа є працівником, слід дотримуватися великої обережності у конфлікті інтересів між займаною посадою та якістю особи, уповноваженої обробляти персональні дані.

Оскільки основна діяльність інтернет-магазину не передбачає обробку конфіденційних персональних даних, таких як: расове походження, дані про стан здоров’я чи статеве життя тощо. і відсутність регулярного та систематичного моніторингу широкомасштабних цільових осіб, як правило, його цілі не повинен вимагати призначення посадової особи з питань захисту даних (DPO).

Відповідно до положень регламенту призначення ДПО є обов’язковий у відкритому доступі і рекомендується для приватної системи. Отже, Інтернет-магазин повинен призначити особу, уповноважену обробляти персональні дані, та мати безпечну систему записів обробки персональних даних.

Навколо цього також проводяться цікаві дискусії щодо того, чи слід призначити адвоката особою, уповноваженою обробляти персональні дані. Це виходить із думки, що адвокат - це особа, здатна надати необхідну юридичну консультацію, знає, як зберігати конфіденційність, і може відповісти чітко та детально. особи, що реалізують свої права щодо захисту даних. Образливий запит фізичної особи на доступ до оброблених даних може бути відхилений і навіть стягнений.

Як збирати зібрані дані

Основний принцип збору персональних даних - це мінімізація зібраних даних.Потрібно збирати лише персональні дані, відповідні, чіткі та необхідні для цієї мети.

Наприклад, обробки номера кредитної картки можна буде уникнути, якщо оплата здійснюється накладеним платежем.

Контролер даних повинен забезпечувати належні технічні та організаційні гарантії для забезпечення безпеки даних, включаючи захист від несанкціонованої обробки. уповноваженими особами.

На закінчення, з юридичної ясності та належної організації управлінської діяльності, рекомендується адміністратору персональних даних створити систему захисту персональних даних та призначити уповноважену особу, яка відповідає перед Органом. Нагляд та з особами, які реалізують свої права щодо захисту персональних даних.