Lista de Controlo GDPR para Editores e Proprietários de Websites

A menos que você tenha vivido sob uma rocha nas últimas semanas, é muito provável que tenha sido inundado por e-mails sobre o GDPR. Se você não está no circuito, GDPR (General Data Protection Regulation) é um novo conjunto de requisitos relacionados à proteção dos dados pessoais dos residentes da UE.

As discussões iniciais começaram há seis anos, mas não se chegou a acordo sobre como seria o PIBR final. até abril de 2016quando o prazo de cumprimento foi estabelecido para 25 de Maio de 2018. O frenesim do cumprimento só aumentou à medida que o prazo chegou e se foi, e o GDPR está agora oficialmente em vigor.

Então, o que é que a GDPR implica exactamente, e o que é que isso significa para os proprietários e editores de websites? Nós vamos quebrar a necessidade de saber informações nesta útil lista de verificação.

O GDPR afeta você?

A GDPR não se aplica apenas às empresas da União Europeia; ela afeta qualquer empresa, em qualquer lugar do mundo, que coleta, armazena ou processa dados de residentes da UE. Algumas empresas são mais fortemente impactado do que outros, no entanto:

  • Empresas que processam ou armazenam um grande volume de dados de consumo
  • Empresas e comerciantes de tecnologia
  • Corretores de dados que lidam com processamento de dados ou conectam sistemas díspares
  • Editoras digitais/operadores de sites web

O maior impacto? Afecta as empresas com modelos de negócio que dependem da recolha e do aproveitamento dos dados dos consumidores.

O resultado final: Se estiver a recolher, utilizar, armazenar ou aceder a dados de qualquer residente europeu, a GDPR aplica-se a si. Continue a ler para saber o que os editores - e qualquer pessoa responsável pela supervisão de um website - precisam de saber sobre a GDPR.

Lista de verificação de conformidade da GDPR

As alterações do GDPR num relance

O que há de diferente na GDPR em comparação com os regulamentos de protecção de dados anteriores que estavam em vigor?

  • A definição de informação privada é expandida e agora inclui quaisquer dados que possam identificar um indivíduo - quer directa ou indirectamente. Isso inclui números de identificação de dispositivos, dados de geolocalização, endereços IP, e até mesmo IDs de cookies.
  • Os dados de 'categoria especial' são dados pessoais que são classificados como mais sensíveis, e por isso requerem uma protecção ainda mais segura. Além de raça, origem étnica, política, religião, filiação sindical, saúde, vida sexual e orientação sexual, isso agora inclui dados genéticos e biométricos.
  • Você precisa de consentimento explícito para compartilhar quaisquer dados pessoais sobre qualquer residente da UE. Esse consentimento tem de ser inequívoco e obtido especificamente para cada actividade de processamento de dados, permitindo aos residentes da UE consentir com os tipos de processamento de dados com os quais se sentem confortáveis. Basicamente, os seus utilizadores estão agora a optar pelo processamento de dados, e tem de os informar que podem retirar o seu consentimento em qualquer altura.
  • Você pode ser multado por violações, não importa onde o seu negócio esteja localizado.
  • Você é responsável por violações, quer seja um proprietário de dados (controlador) ou um processador de dados. Isso significa que mesmo que o seu negócio trate apenas de dados em nome de outra empresa, você é responsável pelo cumprimento da GDPR. Certifique-se de pesquisar os passos dos seus fornecedores em direção à conformidade e entenda como continuar usando responsavelmente suas ferramentas e serviços. (Por exemplo, se você estava usando ShareThis's botões de compartilhamento de mídia socialvocê pode garantir o fácil cumprimento usando Compartilhe Esta é a nova ferramenta de conformidade do GDPR.)
  • Os editores são frequentemente proprietários dos dados, o que significa que você é responsável por reportar violações às autoridades competentes dentro de 72 horas após a descoberta.

Qual é a diferença entre um controlador de dados e um processador de dados? Um controlador de dados é a entidade encarregada de determinar como os dados pessoais são processados e porquê. Os processadores de dados, por outro lado, lidam com o processamento real em nome do controlador. Os editores são, na maioria dos casos, controladores de dados.

O que saber (e fazer) se você é uma editora ou operador de um site

Como editor, você provavelmente está dando aos seus usuários uma variedade de maneiras de interagir com o seu conteúdo, desde botões que os permitem siga-o nas redes sociaispara comentar secções sobre os seus artigos, para formas fáceis de reagir ao seu conteúdo. A maioria dos sites usa cookies para reconhecer usuários e fornecer uma experiência mais personalizada. Todas essas atividades podem resultar na coleta de dados sobre seus usuários, o que deixa os editores no gancho para o cumprimento da GDPR.

Nós dividimos as etapas de ação e devemos -dose cada editor ou operador do site precisa saber para cumprir com a GDPR abaixo.

Doseamento interno essencial

  • Nomear alguém para ser responsável pelo cumprimento da GDPR. Algumas empresas são obrigadas a nomear um responsável pela protecção de dados (RPD) ao abrigo das novas regras, incluindo autoridades públicas e quaisquer processadores de dados que operem em grande escala, embora tal não seja provavelmente necessário para editoras de menor escala. Mesmo que não seja obrigado a nomear um RPD, é do seu interesse nomear alguém para liderar o desenvolvimento de uma estratégia de cumprimento da GDPR, supervisionar o cumprimento em curso, e manter-se a par dos novos desenvolvimentos da GDPR.
  • Formar o seu pessoal em GDPR. Qualquer pessoa que toque nos dados dos utilizadores, clientes ou visitantes deve saber quem na organização é responsável pela estratégia da GDPR e compreender que violações da GDPR podem ocorrer.
  • A documentação é o seu novo BFF. Documente claramente todas as etapas do processo de recolha, utilização, armazenamento e partilha de dados pessoais, e assegure-se de que quaisquer alterações a estes processos são imediatamente documentadas também.
  • Auditar regularmente. Para assegurar a conformidade da sua empresa, deve auditar regularmente o seu ambiente digital, processos, e documentação.

Gestão de fornecedores

  • Avalie os seus vendedores e compreenda a sua conformidade. Como editor, provavelmente está a trabalhar com vários vendedores para diferentes facetas da sua operação, tais como a análise e a publicidade. Sob GDPR, cabe-lhe a si determinar se os seus vendedores estão em conformidade com a GDPR. Os editores trabalham frequentemente com numerosos vendedores terceiros, e agora é uma óptima altura para avaliar e aperfeiçoar essas parcerias. Seja selectivo em relação a quem trabalha.
  • Comunique a sua política de dados. Poderá ter de rever os seus contratos de fornecedor para incorporar as suas expectativas em relação ao tratamento de dados. Comunique a sua política de dados a todos e cada um dos fornecedores com os quais trabalha em qualquer capacidade relacionada com dados.
  • Defina processos para notificações de violação nos seus contratos. Em caso de violação de dados, o fornecedor é responsável por notificar o proprietário dos dados (o responsável pelo tratamento) de uma violação o mais rapidamente possível. A especificação deste processo, prazos, e outros requisitos de notificação por escrito é uma boa ideia.
  • Não recolher dados pessoais. Se algum dos dados dos seus utilizadores se enquadra na definição de "dados pessoais" da GDPR, tome medidas para não os recolher ou partilhar com terceiros sem o consentimento explícito do utilizador.

Gestão de utilizadores

  • Desenvolver novos avisos de privacidade. Como mencionámos anteriormente, o consentimento tem agora de ser explícito e específico, por isso certifique-se de que os seus avisos estão em linguagem simples e de fácil compreensão para os utilizadores optarem por actividades de recolha e processamento de dados. Explique claramente que dados pretende recolher, porquê, e o que planeia fazer com eles, incluindo como serão armazenados e se serão partilhados com quaisquer terceiros.
  • Desenvolver um processo para informar os utilizadores, obter o consentimento, e gerir o consentimento. Lembre-se, os residentes da UE podem agora retirar o seu consentimento para quaisquer actividades de processamento de dados em qualquer altura, pelo que necessitará de um processo claro para se manter a par do consentimento que obteve para que indivíduos. ShareThis' GDPR Compliance Tool torna mais fácil dar aos seus utilizadores o controlo sobre os seus dados.
  • Conceber estratégias para proporcionar aos utilizadores o acesso aos seus dados. Ao abrigo da GDPR, os residentes da UE podem solicitar cópias dos seus dados pessoais em qualquer altura, e os responsáveis pelo tratamento dos dados devem cumprir atempadamente. Tornar os dados pessoais acessíveis aos utilizadores e permitir-lhes corrigir quaisquer imprecisões com facilidade.
  • Desenvolver processos para identificar violações e informar os utilizadores e as autoridades afectadas. Se ocorrer uma violação, o utilizador e o seu pessoal devem conhecer os próximos passos imediatos. Quem está encarregado de notificar as autoridades? Como determinam se devem notificar as pessoas afectadas? Que informações devem ser incluídas numa notificação de violação? Todas estas informações devem ser imediatamente acessíveis, e deve haver alguém responsável pela execução de cada passo (mesmo que seja a mesma pessoa a tratar de cada tarefa).
  • Não se esqueça do direito a ser esquecido. Sob o GDPR, os residentes da UE podem solicitar que os seus os dados devem ser apagados. Os editores (e qualquer entidade sujeita à GDPR) devem cumprir em tempo hábil, portanto é imperativo ter um processo definido para atender a essas solicitações. Isso também significa tomar "medidas razoáveis" para notificar quaisquer processadores ou outros terceiros que tenham tocado nos dados.

O cumprimento da GDPR parece assustador para muitos editores e proprietários de sites, mas uma vez que você tenha uma compreensão firme do que os regulamentos implicam, é claro que estes são requisitos de senso comum e (principalmente) práticos que reforçam a privacidade do usuário. Embora você precise revisitar parcerias, revisar a linguagem dos contratos e desenvolver novas políticas e procedimentos, vale bem a pena o seu tempo para evitar penalidades caras e, mais importante, dar aos seus usuários a privacidade que eles merecem.

Sobre ShareThis

ShareThis has unlocked the power of global digital behavior by synthesizing social share, interest, and intent data since 2007. Impulsionado pelo comportamento do consumidor em mais de três milhões de domínios globais, ShareThis observa acções em tempo real de pessoas reais em destinos digitais reais.

Subscreva a nossa Newsletter

Receba as últimas notícias, dicas e actualizações

Assine

Conteúdo relacionado