Table of Contents

การ เข้าใจ ภูมิ ประเทศ ที่ เป็น พื้น ฐาน ใหม่ ของ ข้อมูล ข้อมูล

ข้อบังคับความเป็นส่วนตัวข้อมูลได้รัดกุมมากในช่วงหลายปีมานี้ โดยมีการละเมิดข้อมูลระดับสูงและเพิ่มความต้องการผู้บริโภคในการควบคุมข้อมูลส่วนบุคคล สําหรับเจ้าของธุรกิจขนาดเล็กนี้ไม่มีใครเลือกใช้แล้ว กฎหมายดังกล่าวคือ พระราชบัญญัติคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (PDPR) และพระราชบัญญัติการยกเลิกข้อมูล (CCPA) ของแคลิฟอร์เนียมีการกําหนดมาตรฐานใหม่ในรัฐรัฐรัฐรัฐประหาร คอนเนกโตรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐรัฐคอนเนกตาน และยูทาห์ก็มีผลอยู่แล้ว หรือเร็ว ๆ นี้ทําให้การปฏิบัติตามกฎหมายขององค์กรทั่วไปของยุโรปได้ ผลการบังคับใช้กฎหมายยุติธรรมและการสูญเสียความเชื่อถือของลูกค้า

คุณ จะ เรียน รู้ ว่า กฎหมาย ความเป็นส่วนตัว ข้อ ไหน บ้าง คุณ จะ ทํา อย่าง ไร เพื่อ จะ รู้ ว่า ควร ทํา อะไร ใน ตอน นี้ ให้ ดี ที่ สุด และ ใช้ วิธี การ ที่ คุณ เห็น ด้วย กับ การ ทํา ตาม คํา ขอ ของ ผู้ บริโภค และ ทํา ให้ ระบบ ของ คุณ ปลอด ภัย

การปฏิบัติตามความชอบตามมาตรฐานไม่ใช่การฝึกแบบเต็มขนาด แบบเต็มขนาด วิธีการของคุณขึ้นอยู่กับอํานาจในการปกครองของคุณ ปริมาตรและความไวของข้อมูลที่คุณสะสม และโครงสร้างพื้นฐานที่มีอยู่อยู่แล้ว อย่างไรก็ตาม หลักการหลัก -- ความยืดหยุ่น การควบคุม และความมั่นคง -- การให้ผลบุญ -- แม้ว่าคุณจะเป็นผู้ประกอบการเดี่ยวหรือทีมที่เล่นห้า ขั้นบันไดที่แสดงตรงนี้ สามารถเพิ่มความเหมาะสมกับทรัพยากรของคุณได้

กฎหมาย ที่ มี ผล กระทบ ต่อ ธุรกิจ เล็ก ๆ

GDPR (การปรับเทียบข้อมูลภายใน)

2559 โดยถูกบังคับใช้ตั้งแต่ May 2018 GDR ได้นําไปใช้กับธุรกิจใด ๆ ก็ตามที่เสนอสินค้าหรือบริการแก่บุคคลใน EU โดยไม่คํานึงถึงว่าธุรกิจนี้ตั้งอยู่บนฐานใด

  • พื้นฐานตามกฎหมายสําหรับประมวลผลข้อมูลส่วนบุคคล (เสมอ, สัญญา, ข้อบังคับตามกฎหมาย, ดอกเบี้ยถูกต้องตามกฎหมาย ฯลฯ)
  • การ สังเกต ความ เป็น ส่วน ตัว แบบ โปร่งแสง ว่า รวบรัด, เข้า หา ได้ ง่าย, และ เขียน ด้วย ภาษา ที่ ชัดเจน
  • สิทธิส่วนบุคคล: สิทธิในการเข้าถึง, การบันทึก, การจําแนก (“สิทธิที่จะลืม"), การจํากัดการประมวลผล, การใช้ข้อมูล, และการคัดค้าน
  • 72 ชั่วโมงในการแจ้งเตือนการละเมิดไปยังเจ้าหน้าที่ที่ดูแล เว้นแต่การบุกรุกจะไม่น่าก่อให้เกิดความเสี่ยงต่อผู้ตรวจสอบข้อมูล
  • บันทึกกิจกรรมการประมวลผล (30 เลนส์) – ในทางเทคนิคแล้วจําเป็นสําหรับองค์กรที่มีพนักงาน 250+ แต่ธุรกิจที่มีขนาดเล็กต้องบันทึกกิจกรรมการประมวลผลบางอย่าง โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนหรือมีความเสี่ยงสูง

การ ปรับ เปลี่ยน อาจ ถึง 20 ล้าน หรือ 4% ของ การ เปลี่ยน แปลง ใน แต่ ละ ปี ซึ่ง ไม่ ว่า จะ สูง กว่า ก็ ตาม แต่ เจ้า หน้าที่ ที่ ดู แล งาน มัก จะ ออก คํา เตือน หรือ ตําหนิ การ กระทํา ผิด เล็ก ๆ น้อย ๆ จาก ธุรกิจ เล็ก ๆ ที่ ทํา อยู่.

สําหรับธุรกิจเล็กๆ นอกยุโรป ซึ่งมีปฏิสัมพันธ์กับลูกค้าอียูในบางครั้ง GDU อาจยังคงนํามาใช้ ถ้าคุณติดตามพฤติกรรมของบุคคลใน EU

CCPA/CPRA (Califoria conservation Act / แคลิฟอร์เนีย พุทธศักราช)

CCPA ได้มีผลเมื่อ 20 มกราคม 2020 โดยมี CPA เปลี่ยนแปลงผลให้มีผลต่อธุรกิจดังกล่าว 2023 โดยนําไปใช้กับธุรกิจเพื่อผลกําไรที่เก็บข้อมูลส่วนตัวของแคลิฟอร์เนีย และพบกับหนึ่งในข้อจํากัดเหล่านี้:

  • ราย ได้ ต่ํา สุด ใน แต่ ละ ปี มาก กว่า 25 ล้าน ดอลลาร์
  • บายมอร์ รับหรือขายข้อมูลส่วนบุคคล ของชาวแคลิฟอร์เนีย 100,000 คนหรือมากกว่า
  • ราย ได้ ประจํา ปี ของ การ ขาย ข้อมูล ส่วน ตัว ของ ผู้ บริโภค ถึง 50% หรือ มาก กว่า นั้น

การ ค้า ขาย แบบ เล็ก ๆ มัก จะ ตก ต่ํา ลง ไป เรื่อย ๆ แต่ ผู้ ที่ มี ข้อมูล มาก มาย หรือ มี การ ขาย ก็ ยัง ต้อง ทํา ตาม พันธะ หน้า ที่ สําคัญ ๆ คือ การ รู้, ลบ, เลือก ไม่ ทํา การ ขาย, และ ไม่ ทํา การ ตัดสิน ใจ.

การ ค้า ขาย สินค้า แบบ เล็ก ๆ ที่ มี ฐาน ของ บริษัท สินค้า แห่ง ชาติ ควร จะ สันนิษฐาน ว่า พวก เขา ต้อง มี กฎหมาย ของ รัฐ อย่าง น้อย หนึ่ง ข้อ.

กฎหมาย รัฐธรรมนูญ ของ สหรัฐ ข้อ อื่น ๆ

พระราชบัญญัติ ป้องกัน ข้อมูล ที่ ใช้ ได้ จริง ของ รัฐ เวอร์จิเนีย (VCDPA) พระราชบัญญัติ ประมวล กฎหมาย ประมวล กฎหมาย ลิขสิทธิ์ ของ โคโลราโด (CPA) พระราชบัญญัติ อินเตอร์เนต (PDPA) และ พระราชบัญญัติ การ ใช้ สาร สังเคราะห์ (CPPA) ของ ยูทาห์ มี ผล กระทบ หรือ ไม่ ก็ จะ เกิด ขึ้น ใน ไม่ ช้า.

  • การ ค้า ยา เสพย์ ติด ของ เวอร์จิเนีย นํา มา ใช้ กับ ธุรกิจ ที่ ควบคุม หรือ ดําเนิน การ ข้อมูล ส่วน ตัว ของ ผู้ บริโภค อย่าง น้อย 100,000 คน หรือ ได้ มา มาก กว่า 50% ของ ราย ได้ จาก การ ขาย ข้อมูล ผู้ บริโภค 25,000+.
  • ซี พี เอ ของ โคโลราโด ใช้ ได้ กับ ธุรกิจ ต่าง ๆ ที่ ดําเนิน การ ข้อมูล ผู้ บริโภค 100,000+ หรือ ได้ รับ ราย ได้ จาก การ ขาย ข้อมูล ผู้ บริโภค 25,000+ (รวม ทั้ง การ บริจาค เพื่อ ประโยชน์ ใน บาง กรณี).
  • CTDPA ของคอนเน็คติคัตมีขีดจํากัดเหมือนกับโคโลราโด แต่รวมถึงช่วงการรักษา 14 วัน สําหรับการละเมิดครั้งแรก
  • ยูซีแพกของยูท่าห์ต้องการธุรกิจที่มีรายได้ประจําปี 25M+ และประมวลผลผู้บริโภค 100,000+ หรือลดรายได้ 50%+ จากยอดขายข้อมูล 25,000+ ผู้บริโภค

วิธี การ ที่ ใช้ ได้ จริง คือ การ ปฏิบัติ ตาม กฎหมาย ที่ ใช้ ได้ ผล อย่าง เข้ม งวด ที่ สุด ซึ่ง มัก ครอบ คลุม พื้น ฐาน ทั้ง หมด.

การ พิจารณา ระหว่าง ชาติ

ถ้า คุณ ทํา งาน ใน เว็บไซต์ ต่าง ๆ ทั่ว โลก ขอ ให้ คิด ถึง การ จัด เตรียม ที่ อยู่ ของ ผู้ ใช้ และ ใช้ กฎ ที่ เหมาะ สม.

2557) เพื่อคําแนะนําทางราชการ สืบค้นข้อมูล [FLT: 0] UK ICO ไกว ไกด์การคุ้มครองข้อมูล และ. สืบค้นเมื่อ Lalita Foria Begar of CCPA FAQ.

การ สนับสนุน กิจ ปฏิบัติ ต่าง ๆ ของ คุณ ใน ปัจจุบัน

นําร่องข้อมูล

ก่อน ที่ คุณ จะ ทํา ตาม ได้ คุณ ต้อง รู้ ว่า คุณ สะสม ข้อมูล อะไร, อยู่ ที่ ไหน, ไหล เวียน ได้ อย่าง ไร, และ ใคร มี โอกาส เข้า ถึง ได้.

  • [FLT: 0] ประเภท Data: ชื่อ, อีเมล, อีเมล์, ที่อยู่, ข้อมูลของเงินจ่าย, ไอพี ที่อยู่ของข้อมูล, พฤติกรรมการเรียกดู, สื่อสังคมจัดการ เป็นต้น
  • [FLT: 0] แหล่งการรับเชิญ: แบบฟอร์มเว็บไซด์, CRM, อีเมล์การตลาด, จุด-ด้านกลาง, การรวมพลที่สาม (เช่น เฟซบุ๊ก พิกเซล, กูเกิ้ล สแกน, ติ๊ก TOK) ช่องรองรับลูกค้า และการสื่อสารแบบออฟไลน์
  • [FLT: 0] ตําแหน่งตําแหน่ง: บริการเมฆ (AWS, Google ไดรฟ์, Plopbox, One Dreviive), Server, Februarys, mailboxs, files.
  • [FLT: 0] Data process: ผู้ผลิตหรือบริการใดๆ ก็ตามที่ประมวลผลข้อมูลในนามของคุณ (เช่น Mailchamp, Shippe, Shipsified, Hubbsot, Zendesk, AWS) เอกสารเอกสารเนื้อหาเนื้อหาเนื้อหาเนื้อหาเนื้อหา องค์ประกอบของข้อมูลการใช้ร่วมกัน และมาตรการความปลอดภัยที่จัดทํา

เอกสารทุกอย่างที่อยู่ในแผนที่ข้อมูล หรือการประมวลผลบันทึกการทํางาน แผนที่นี้จะหมายถึงรากฐานของขั้นตอนที่ตามมาทั้งหมด ใช้ตารางที่คอลัมน์: ประเภทข้อมูล, แหล่งที่มา, ตําแหน่งจัดเก็บ, ช่วงการสิ้นสุดการทํางาน, พื้นฐานที่ชอบธรรม, ตัวประมวลผลที่สาม และมาตรการความปลอดภัย อย่างน้อยทุกปี อัปเดตมัน หรือเมื่อคุณเพิ่มเครื่องมือใหม่

ระบุฐานทางกฎหมายสําหรับการประมวลผล

ใน ช่วง การ ประมวล กฎหมาย เกอิชา ส่วน ใหญ่ แล้ว การ ดําเนิน งาน เรียก ร้อง พื้น ฐาน ที่ ถูก ต้อง ตาม กฎหมาย.

  • [FLT: 0]. intent: for mails or unhelpitial chick. continent จําเป็นต้องให้อย่างอิสระ, เจาะจง, แจ้งให้ทราบ, และไม่มีรายละเอียด. กล่องที่มีก่อนกําหนดไม่ถูกต้อง.
  • [FLT: 0] ความต้องการ โพรเซสที่จําเป็นในการสั่งซื้อ, การส่งมอบบริการ หรือดําเนินการตามคําขอของบุคคลก่อนเข้าสู่สัญญา
  • [FLT: 0] ดอกเบี้ย: สําหรับการป้องกันการทุจริต, ความปลอดภัยของเครือข่าย ตลาดโดยตรง (สามารถเลือกได้) หรือวิเคราะห์ได้ คุณต้องประเมินผลประโยชน์ตามกฏหมาย (LIA) แยกแยะความสนใจของคุณกับสิทธิผู้บริโภคให้สมดุลกัน
  • [FLT: 0] ข้อบังคับ: สําหรับบันทึกภาษี, บัญชี, หรือตามกฎหมายอื่น
  • [FLT: 0] ดอกเบี้ยทางโลก : เรฟ แต่ถูกใช้ในสถานการณ์ฉุกเฉิน

สําหรับพระราชบัญญัติสหรัฐอเมริกา เช่น CCPA นั้นมีสิทธิ์ในการแทนที่ด้วยสิทธิ์เลือกขายหรือแบ่งปันเพื่อใช้โฆษณาพฤติกรรมข้ามบรรทัด คุณต้องระบุก่อนว่ากิจกรรมใดในการประมวลผลเป็นตัวกระตุ้นการมีสิทธิ์เหล่านี้ และให้กลไกที่มีประสิทธิภาพที่สุด (เช่น "อย่าขายหรือแบ่งปันข้อมูลส่วนตัว") ลิงก์ (โปรดติดตามเมื่อมีการใช้งานร่วมกัน).

การ สร้าง กรอบ ที่ น่า ทึ่ง

ปรับปรุงข้อกําหนดการใช้ข้อกําหนดของคุณ

ข้อกําหนดความเป็นส่วนตัวของคุณจะต้องชัดเจน, เจาะจง, และหาได้ง่าย รวม:

  • ข้อมูลส่วนตัวที่คุณเก็บมา และแหล่ง
  • วัตถุประสงค์ของการเก็บรวบรวมและกฎหมายพื้นฐาน (หาก GDPR) หรือวัตถุประสงค์ทางธุรกิจ (สําหรับ CCPA)
  • วิธีที่คุณแบ่งปันข้อมูล (ร่วมกับพรรคที่สาม, สําหรับการตลาด, สําหรับการวิเคราะห์ เป็นต้น)
  • สิทธิผู้ใช้ (ใช้ได้, ลดความอ้วน, เหมาะสม, แก้ไขได้) และใช้วิธีการ
  • รายละเอียดสําหรับสอบถามความเป็นส่วนตัว (help position and email)
  • วันที่ของการปรับปรุงล่าสุด
  • ถ้า ใช้ ได้ จะ มี การ นํา คุกกี้ และ เทคโนโลยี คล้าย ๆ กัน มา ใช้

ใช้ภาษาธรรมดา หลีกเลี่ยงการใช้สิทธิ์ที่อนุญาตตามกฎหมาย ให้ใช้นโยบายในการเชื่อมโยงในเว็บไซต์ของคุณ แบบฟุตเลอร์, ที่ checkout และเมื่อมีการเก็บข้อมูลส่วนตัว โปรดพิจารณาวิธีการแบบเติมชั้นใน: สรุปแบบสั้น ๆ ที่มีการเชื่อมโยงไปยังนโยบายเต็ม

ทรัพยากรแม่แบบ: [FLT: 0].com[FLT: 1) หรือ Termly[FT:3] อย่างไรก็ตาม ต้นแบบที่กําหนดเองเสมอที่จะสะท้อนการปฏิบัติของคุณ -- การคัดลอกนโยบายทั่วไปสามารถแย่ยิ่งกว่าไม่มีถ้าไม่เที่ยงตรง

การ ใช้ สาร ที่ มี อยู่ อย่าง พอ เหมาะ

เมื่อต้องการความยินยอม (เช่น อีเมลทางการตลาด, คุกกี้ที่ไม่ต่อเนื่อง) คุณต้องได้รับข้อมูล, แจ้งข้อมูล และยินยอมอย่างอิสระ ใช้:

  • [FLT: 0]. CAKY ยินยอมป้าย: อนุญาต gradical depthoin สําหรับหมวดหมู่ที่แตกต่างกัน (ต้องการวิเคราะห์, การตลาด). อย่าวางกล่องวางจําหน่าย วางจําหน่ายแบบมีลําดับให้: ตัวเลือกโดดเด่นเช่น "รับทุกรายการ".
  • [FLT: 0]. eptchin checkboxs[FLT: 1) บนแบบฟอร์มเซ็นรับรองจดหมายข่าวหรือลงทะเบียนบัญชี เพื่อให้แน่ใจว่าจะไม่มีความต้องการเงื่อนไขในการรับบริการ นอกจากข้อมูลจําเป็นสําหรับบริการดังกล่าว
  • [FLT: 0] ยินยอมตามสัญญา สําหรับวัตถุประสงค์ในการประมวลผลที่แตกต่างกัน (หนึ่งช่องสําหรับการตลาดอีเมล, อีกสําหรับแบ่งปันกับหุ้นส่วน, อีกหนึ่งสําหรับโฆษณาส่วนบุคคล).
  • [FLT: 0]. จัดเก็บ: บันทึกเมื่อและวิธีการยินยอมได้รับ -- เวลา พุทธศักราช, ยินยอม, เวอร์ชั่นนโยบาย, และผู้ใช้ เก็บหลักฐานนี้ไว้ในแพลตฟอร์ม CRM หรือ ยินยอมของคุณ

สําหรับตัวเลือก CCPA out ลิงก์ง่ายๆ ด้วย "อย่าขายหรือแบ่งปันข้อมูลส่วนตัวของฉัน" นั้นเพียงพอแล้ว แต่คุณอาจจะใช้สัญญาณ ความเป็นส่วนตัวทั่วโลก (GPC) ก็ได้ เพื่อให้แน่ใจว่าเว็บไซต์ของคุณจะนับถือสัญญาณเหล่านี้

การ ขอ สิทธิ์ จาก ผู้ ใช้

ธุรกิจขนาดเล็กต้องตอบสนองต่อการร้องขอภายในเวลาเฉพาะ (เช่น 45 วันภายใต้ CCPA 30 วันภายใต้ GDPRR). จัดตั้งกระบวนการ:

  1. กําหนดให้ติดต่อข้อมูลส่วนตัว (อาจเป็นเจ้าของธุรกิจ หรือพนักงานที่รับผิดชอบ)
  2. สร้างรูปแบบหรือที่อยู่อีเมลสําหรับผู้บริโภคที่จะส่งข้อมูลที่ต้องการ (เช่น ความเป็นส่วนตัว@ period.com). หมายเลขโทรศัพท์ที่ตกแต่งแล้วนี้ยังเป็นความช่วยเหลือในการเข้าใช้ด้วย
  3. ตรวจสอบการแสดงตัวของผู้ร้องขอ (เช่น ส่งอีเมลและชื่อที่ตรงกับบันทึกของคุณ; อย่าถามข้อมูลที่ไม่จําเป็น) หากต้องการลบการร้องขอภายใต้ CCPA คุณต้องตรวจสอบสิทธิ์ขอของผู้รับก่อนดําเนินการ
  4. ทําความสมบูรณ์ตามที่ร้องขอภายในหน้าต่างที่อนุญาต (เช่น ให้ให้ข้อมูลทั้งหมด, ลบ, ปรับค่ามันออกจากการขาย, หรือแก้ไขค่า access ในรูปแบบ access หรือแก้ไขค่าถูกต้อง) สําหรับข้อมูล พอร์ต จะให้ข้อมูลในรูปแบบที่อ่านได้ทั่วไปแบบเครื่อง (CSV, Json).
  5. บันทึกการร้องขอ, จับภาพ, และวันทําให้สมบูรณ์ เก็บบันทึกอย่างน้อย 24 เดือน (ต้องการ CAPA)

คุณไม่สามารถแบ่งแยกผู้บริโภคที่ใช้สิทธิของพวกเขา (เช่น การบริการ ปฏิเสธ ค่าใช้จ่ายต่าง ๆ กัน ให้คุณภาพที่แตกต่างกัน) อย่างไรก็ตาม คุณอาจจะเสนอแรงจูงใจทางการเงินสําหรับชุดข้อมูล หากเปิดเผยข้อมูลและผู้บริโภคเลือกใช้

จัดการผู้จําหน่ายและส่วนที่สาม

ผู้จําหน่ายทุกคนที่ประมวลผลข้อมูลส่วนตัวในนามของคุณ (ผู้ประมวลผล) จะต้องมีหน้าที่ในการปกป้องข้อมูลและช่วยคุณในการปฏิบัติตาม โปรดทบทวนข้อตกลงของคุณด้วย:

  • อีเมล์แพลตฟอร์มการตลาด (Mailchamp, Constent Constructor)
  • ประมวลผลการชําระเงิน (Strip, PayPal, Proet)
  • ผู้ให้บริการจัดเก็บเมฆ (พื้นที่การทํางานแบบโกเกิล, กล่องจดหมาย, AWS)
  • บริการวิเคราะห์ (Google Andiviews, Facebook Photojar)
  • เครื่องมือรองรับลูกค้า (Zendesk, Intercom)
  • CRMMS (ฮับสพอต, ยอดขาย, ท่อน้ํา)

GDPR ต้องการข้อตกลงการประมวลผลข้อมูลแบบเขียนได้ (DPA) ผู้จัดจําหน่ายรายใหญ่จํานวนมากเสนอข้อมูลมาตรฐาน DPA ที่คุณสามารถยอมรับได้โดยดิจิทัล สําหรับผู้จําหน่ายที่มีขนาดเล็ก คุณอาจจะจําเป็นต้องต่อรองกับผู้จําหน่ายรายหนึ่ง แทร็กที่ผู้จําหน่ายเข้าถึงข้อมูล, ผู้ดําเนินการย่อย และองค์กรความปลอดภัย (SOC 2, 2701). ปรับปรุงบันทึกของคุณเมื่อใดก็ตามที่คุณเปลี่ยนแปลงผู้จําหน่าย

นอก จาก นั้น ขอ พิจารณา นโยบาย ส่วน ตัว ของ ผู้ ขาย: พวก เขา ขาย หรือ แบ่ง ปัน ข้อมูล?

การรักษาความปลอดภัยและการละเมิดข้อมูล

การ ป้องกัน ที่ เหมาะ สม

ความร่วมมือต้องการการรักษาข้อมูลความปลอดภัย ระดับความปลอดภัยจะต้อง “เป็นไปเพื่อความเสี่ยง" สําหรับธุรกิจขนาดเล็กนี้มักจะรวม:

  • [FLT: 0]. สืบค้นเมื่อ: เข้ารหัสข้อมูลไว้ที่เหลือ (บนเซิร์ฟเวอร์, แล็ปท็อป, อุปกรณ์มือถือ) และในการขนส่ง (ใช้ HTTPs บนเว็บไซต์ของคุณ, TLS สําหรับส่งอีเมล).
  • [FLT: 0] Access Constructors continution: จํากัดการเข้าถึงข้อมูลส่วนบุคคลเฉพาะกับพนักงานที่ต้องการเท่านั้น ใช้รหัสผ่านที่แข็งแกร่ง (12+ ตัวอักษร), การรับรอง 2 ตัว (FA), และสิทธิ์ที่อนุญาตตามความคาดหมาย (PATFA).
  • [FLT: 0] สํารองข้อมูล: จัดเก็บสํารองข้อมูลอย่างปลอดภัย (ปิด, ปิด) และทดสอบขั้นตอนการบูรณะ อย่างน้อยไตรมาสที่ 1
  • [FLT: 0] Software updates: เก็บ CMS, ส่วนเสริม, ชุดตกแต่ง และระบบทั้งหมดที่ติดแผ่นไว้ เปิดใช้งานการปรับปรุงอัตโนมัติที่ปลอดภัย
  • [FLT: 0] รักษาความปลอดภัยทางภาควิชา: ห้องล็อคและตู้บรรจุเอกสารที่มีบันทึกกระดาษ. จัดเก็บเอกสารก่อนที่จะกําจัดทิ้ง.
  • [FLT: 0] รักษาความปลอดภัย Newwork: ใช้ไฟร์วอลล์ รักษาความปลอดภัยไว-ไฟ กับ WPA3 และ VPN สําหรับเข้าถึงระยะไกล

ลอง พิจารณา โครง สร้าง พื้น ฐาน ของ ความ ปลอด ภัย ทาง คอมพิวเตอร์ เช่น ไซเบอร์ เฟรมเวิร์ค ห้า อย่าง ของ เอ็น ลิส: การ ระบุ ตัว, การ ป้องกัน, การ ตรวจ, การ ตอบ รับ, การ กู้.

สร้างแผนการต่อต้านการละเมิด

ไม่มีระบบรักษาความปลอดภัย 100% เตรียมรับการละเมิดเป็นไปได้โดยขั้นตอนการนอก:

  1. [FLT: 0]. continuation: ระบบที่ได้รับผลกระทบ, เปลี่ยนรหัสผ่าน และรักษาปูมบันทึก (อย่าลบหลักฐาน).
  2. [FLT: 0]. accessment: ระบุว่าข้อมูลถูกเปิดโปง มีกี่คนที่ได้รับผลกระทบ และน่าจะเป็นอันตราย (การโจรกรรม, การทุจริต, ฯลฯ). ดําเนินการตรวจสอบหลักฐานตามความจําเป็น.
  3. [FLT: 0]. แจ้งให้ทราบ: ภายใต้ GDR แจ้งเจ้าหน้าที่ภายใน 72 ชั่วโมง จนกว่าจะมีช่องโหว่ พระราชบัญญัติของรัฐจํานวนมากมีตารางเวลาที่คล้ายกัน (เช่น 45 วันสําหรับแคลิฟอร์เนีย 30 วันสําหรับโคโลราโด) นอกจากนี้คุณยังสามารถต้องแจ้งผลกระทบกับบุคคลต่างๆ โดยไม่ชักช้า โปรดตรวจสอบความต้องการของรัฐแต่ละรัฐ --65+ และเขตการปกครองใน พ.ศ.
  4. [FLT: 0] การตรวจสอบ: แก้ไขความเปราะบางของระบบ การควบคุมที่ดีขึ้น (เช่น ใช้ 2FA ไว้ก่อน หากยังไม่ได้ทํา) และพิจารณาเสนอการเฝ้าระวังเครดิต หรือบริการเกี่ยวกับอัตลักษณ์ หากข้อมูลมีความละเอียดอ่อนถูกเปิดโปง
  5. [FLT: 0] เอกสารนี้สามารถช่วยในการตรวจสอบและปรับปรุงการตอบสนองในอนาคตได้

การ ประกัน ภัย ที่ ไม่ ได้ รับ การ แก้ไข อาจ ทํา ให้ คุณ มี โอกาส ได้ รับ ข้อมูล มาก ขึ้น และ อาจ ทํา ให้ คุณ มี โอกาส ได้ รับ ข้อมูล มาก ขึ้น ที่ จะ ได้ ข้อมูล ที่ ถูก ต้อง และ มี ข้อมูล ที่ เป็น ประโยชน์

กองทุน: [FLT: 0] ไซเบอร์ซี ไซเบอร์ซี ไซเบอร์ซี ไซเบอร์ซี ไซเบอร์ซี ไซเบอร์ enteries [FLT: 1) และ เครือข่ายระบบรักษาความปลอดภัยไซเบอร์แห่งชาติ.

การ บํารุง รักษา และ วัฒนธรรม ของ การ ถือ พรหมจรรย์ ที่ ดําเนิน ต่อ ไป

ฝึก ทีม ของ คุณ

การ ฝึก เป็น ประจํา ควร ปิด บัง:

  • การ ยอม รับ ว่า มี อีเมล์, การ ใช้ เครื่อง มือ ทาง วิศวกรรม สังคม
  • การจัดการข้อมูลของลูกค้าอย่างถูกต้อง (ไม่ได้ออกจากหน้าจอที่ปลดล็อคไว้ ไม่ได้ส่งอีเมลข้อมูลสําคัญที่ยังไม่ได้เข้ารหัสไว้ โดยใช้การส่งแฟ้มที่ปลอดภัยสําหรับเอกสารขนาดใหญ่)
  • ต่อไปนี้กระบวนการสําหรับการตอบสนองต่อการร้องขอข้อมูลส่วนเรื่อง (DSAARs) และรายงานการละเมิด
  • รายงานการฝ่าฝืนผู้ต้องสงสัยทันที -- แม้ว่าไม่แน่ใจก็ตาม, มันดีกว่าที่จะกําหนดปริมาณการนําข้อมูลไปใช้ใน

การ ฝึก อบรม ใน เอกสาร และ การ จด บันทึก การ เข้า ร่วม ประชุม เป็น วิธี ฝึก อบรม ที่ ดี ที่ สุด ใน แต่ ละ ปี เมื่อ กฎหมาย หรือ คํา ตัดสิน ใหม่ ๆ ส่ง ผล ต่อ การ ทํา ตาม ขอ ให้ พิจารณา ว่า จะ ทํา อย่าง ไร เพื่อ จะ ได้ รับ การ ฝึก อบรม เป็น ส่วน ตัว เช่น ที่ สถานี ฝึก อบรม ด้าน ความ รู้ หรือ ESP จําแนก มนุษย์.

เก็บบันทึกการประมวลผลของปฏิบัติการ

แม้ว่าธุรกิจเล็กๆ ของคุณจะได้รับการยกเว้นจากความต้องการเอกสารบางประการ (เช่น มาตรา 30 ของ GDPR จะนําไปใช้กับองค์กรที่มีพนักงาน 250+ สําหรับการเก็บบันทึกทั้งหมด แต่ธุรกิจขนาดเล็กต้องบันทึกการประมวลผลข้อมูลหรือกิจกรรมที่มีความเสี่ยงสูง) การรักษาบันทึกการทํางาน (ROPA) เป็นนิสัยที่ดี

  • ชื่อและรายละเอียดการติดต่อขององค์กรของคุณ (ควบคุม) และตัวควบคุมร่วมใด ๆ
  • วัตถุ ประสงค์ ของ การ ดําเนิน งาน
  • หมวดหมู่ของตารางข้อมูล (ผู้ติดตาม, ลูกจ้าง, ผู้จัดจําหน่าย ฯลฯ) และข้อมูลส่วนตัว
  • การ แบ่ง กลุ่ม ผู้ รับ (รวม ทั้ง ประเทศ ที่ สาม หรือ องค์การ ระหว่าง ประเทศ)
  • จํากัดเวลาสําหรับการตรวจสอบว่าเป็นไปได้ที่ใด (ต้องรักษากําหนดการ)
  • รายละเอียดของมาตรการความปลอดภัยด้านเทคนิคและองค์กร (THM)

ROPA ที่มีหลักทรัพย์ ช่วยให้คุณตอบสนองต่อการสอบถามในการควบคุม แสดงให้เห็นถึงความเชื่อที่ดี และลดความเชื่อลง เมื่อขยายตัวสู่ตลาดใหม่ ปรับปรุงเมื่อใดก็ตามที่คุณเพิ่มกิจกรรมการประมวลผลใหม่

ทบทวน และ ปรับปรุง เป็น ประจํา

การ พิจารณา อย่าง ละเอียด ถี่ถ้วน:

  • [FLT: 0] ตารางเปรียบเทียบรัฐ เป็นข้ออ้างอิงที่มีประโยชน์
  • ปรับปรุงข้อกําหนดความเป็นส่วนตัวของคุณ หลังจากการเปลี่ยนแปลงใด ๆ ทางวัสดุในการใช้งานข้อมูล (เครื่องมือใหม่, วัตถุประสงค์ใหม่, การแบ่งปันใหม่).
  • Reagudit เก็บข้อมูลและ integrations อย่างน้อยทุกปี
  • ทดสอบแผนตอบโต้ที่ผิดพลาดของคุณ ด้วยแบบฝึกหัดบนโต๊ะ -- เดินผ่านสถานการณ์การละเมิดจําลองกับทีมของคุณ
  • การทํารายการคุกกี้ทบทวน: ในฐานะที่เบราว์เซอร์ อยู่ในช่วงออกคุกกี้ปาร์ตี้ที่สาม ทิวทัศน์ของการเลื่อนการทํางานแบบจัดการความยินยอม

ใช้ปฏิทินที่ทําตาม หรือรายการในดิจิทัล เพื่อคงวันที่กําหนดวันตายและงานไว้ ให้กําหนดเป็นเจ้าของสําหรับแต่ละรายการในการทบทวน

หลุม พราง ทั่ว ไป และ วิธี หลีก เลี่ยง หลุม พราง

สมมุติ ว่า คุณ เล็ก เกิน กว่า จะ ตก เป็น เป้า

การ ตัดสิน ใจ ที่ สําคัญ ยิ่ง กว่า นั้น คือ การ ทํา ธุรกิจ เล็ก ๆ น้อย ๆ และ การ ทํา ธุรกิจ ที่ ไม่ ได้ ทํา ให้ มี ความ สุข แต่ การ ทํา ธุรกิจ ที่ ไม่ ได้ ทํา ให้ เกิด ผล เสีย หาย หลาย อย่าง เช่น การ สูญ เสีย ชื่อ เสียง การ สูญ เสีย ความ ไว้ วางใจ ใน ลูก ค้า และ การ ทํา ธุรกิจ ที่ ทํา ให้ มี ความ สามารถ ใน การ จัด การ กับ ปัญหา ต่าง ๆ มาก ขึ้น นอก จาก นั้น การ ทํา ธุรกิจ เล็ก ๆ ก็ ยาก กว่า การ ได้ เงิน มา ใช้ วิธี การ จัด การ กับ ธุรกิจ เล็ก ๆ น้อย ๆ หลาย อย่าง

พึ่งพากับวงดนตรีคุกกี้

แถบบอกทางเฉพาะกล่องคุกกี้ไม่เท่ากับการปฏิบัติตาม คุณจะต้องมีพื้นฐานที่ถูกต้องในการประมวลผล, ข้อตกลงของผู้จําหน่าย, และกลไกการใช้สิทธิ์ผู้บริโภค แว่นบอกทางนี้เป็นเพียงจุดเดียว นอกจากนี้ ยังแน่ใจว่าป้ายของคุณ จะไม่วางคุกกี้ก่อนการอนุญาต (เป็นขั้นแรก) ใช้แพลตฟอร์มการจัดการการยินยอมที่บล็อกไม่ส่งผลกระทบต่อสคริปต์ผู้ใช้จะตัดสินใจเลือกใช้

ไม่สนใจข้อมูลพนักงาน

แม้ ว่า กฎหมาย ส่วน ใหญ่ จะ เพ่ง เล็ง ข้อมูล ของ ลูก ค้า แต่ ข้อมูล ส่วน ตัว ของ ลูกจ้าง ก็ ได้ รับ การ คุ้มครอง พอ ๆ กัน.

ข้อมูลการไล่จับ

การเก็บข้อมูลที่จําเป็นสําหรับธุรกิจของคุณเท่านั้น ซึ่งไม่เพียง แต่จะทําให้ความเสี่ยงลดลงเท่านั้น แต่ยังเป็นการลดความยืดหยุ่นด้วย โดยให้ข้อมูลน้อยที่สุดด้วย

การ ละเลย การ ป้องกัน ข้อมูล

ภายใต้ข้อมูล GDPR ธุรกิจขนาดเล็กควรดําเนินการกับ DPI ก่อนดําเนินการเทคโนโลยีใหม่ใด ๆ ที่จัดการจัดการข้อมูลส่วนตัวในรูปแบบ การติดตั้ง เช่น การติดตั้งเครื่อง การสื่อสาร แบบเป็นระบบ การประมวลผลข้อมูลขนาดใหญ่ ข้อมูลที่มีความสําคัญ การติดตามพื้นที่สาธารณะ) ธุรกิจขนาดเล็กควรดําเนินการกับโครงการ DPI ก่อนดําเนินการจัดการเทคโนโลยีใหม่ใด ๆ ที่จัดการข้อมูลส่วนตัวในรูปแบบ การติดตั้ง เช่น การใช้ AI charts หรือ การวิเคราะห์พฤติกรรม

เทคโนโลยี ที่ น่า ทึ่ง เพื่อ ความ ร่วม มือ

งบ ประมาณ การ ธุรกิจ ขนาด เล็ก มี จํากัด แต่ เครื่อง มือ ราคา ไม่ แพง หลาย ชิ้น สามารถ ทํา ตาม ได้:

  • [FLT: 0] สืบค้นโครงร่างการจัดการ (CMPS): [FLT: 1) เครื่องมืออย่าง คุกกี้บอท โอซาโน Oso Onefoor (มีเครือข่ายฟรีสําหรับเว็บไซต์ย่อย) และ ผลงานด้านวิเคราะห์แฟนซี ช่วยจัดการการยินยอมคุกกี้ บันทึกความยินยอม และสแกนคุกกี้
  • [FLT: 0] เครื่องกําเนิดนโยบายการประกอบกิจการ : Iubenda, tegration, และ Protology นําเสนอต้นแบบที่กําหนดเอง โดยมีการอัปเดตปกติสําหรับการเปลี่ยนแปลงทางกฎหมาย
  • [FLT: 0]. ร้องขอเรื่อง (DSR) Manager:[FLT: 1) ตารางคํานวณแบบเรียบง่าย หรือซอฟต์แวร์ที่อุทิศตัว เช่น Datagle หรือ Translown (in Pails). สําหรับ ระดับเสียงต่ํา, กล่องที่มีอีเมลร่วมกันกับต้นแบบสามารถทํางานได้.
  • [FLT: 0] Vendor Manager Manager continuation การจัดการความเสี่ยง: ใช้ตารางคํานวณเพื่อติดตาม DPAs, หน่วยงานรักษาความปลอดภัย และหน่วยประมวลผลย่อย เครื่องมืออย่างเวนดรี หรือแวนตา (Pentrprice-graphed) แต่สามารถทําการขยายได้).
  • [FLT: 0] การโยง: เครื่องมือค้นหาข้อมูลอัตโนมัติ เช่น เซกูริติ, บิกิด หรือแม้กระทั่งกระบวนการทําคู่มือโดยใช้ตารางคํานวณ (PDF)

เลือกเครื่องมือที่รวมเข้ากับกองเทคโนโลยีของคุณที่มีอยู่ หลายระบบ CRMM และ eptembers (Soperform, Square, Wix) ปัจจุบันมีคุณสมบัติพื้นฐานที่เป็นส่วนตัว -- สามารถรองรับและทบทวนการตั้งค่าต่าง ๆ ได้ ตัวอย่างเช่น ร้านค้ามีการสร้างหน้าความเป็นส่วนตัวสําหรับลูกค้า CCPA และ GDPR

นอก จาก นั้น ลอง คิด ถึง การ ใช้ โครง สร้าง ความ เป็น ส่วน ตัว โดย ใช้ แบบ ฟอร์ม.

สรุป: การ ใช้ นามสกุล ของ ผู้ ใช้

การ ทํา ตาม กฎ ความ เป็น ส่วน ตัว ใหม่ ๆ ไม่ ใช่ แค่ การ หลีก เลี่ยง สิ่ง ที่ ดี แต่ เป็น การ ทํา ธุรกิจ กับ องค์กร ที่ พวก เขา ไว้ วางใจ มาก ขึ้น เรื่อย ๆ

เริ่มวันนี้ด้วยการตรวจสอบอย่างง่าย จับคู่ข้อมูลของคุณ, ปรับปรุงนโยบายความเป็นส่วนตัวของคุณ, และฝึกทีมของคุณ เมื่อคุณเติบโต ชั้นในกระบวนการทางการมากขึ้น การลงทุนจะลดความ ภักดีของลูกค้า ลดความเสี่ยงทางกฎหมาย และปฏิบัติการอย่างมีประสิทธิภาพ -- การปรับปรุงข้อมูลและกระบวนการที่สะอาด และเป็นประโยชน์ต่อธุรกิจของคุณในหลาย ๆ ทาง เกินความปฏิบัติตาม

คุณ ต้อง ทํา ทุก อย่าง เพื่อ จะ มี ความ สุข ได้ ไม่ ว่า จะ เป็น การ ทํา งาน ที่ ดี หรือ ไม่ มี ความ สุข คุณ ต้อง ใช้ เงิน ที่ ได้ จาก ผู้ ดู แล และ ผู้ เชี่ยวชาญ ด้าน การ ส่วน ตัว เพื่อ ชี้ นํา คุณ ทุก ๆ ครั้ง ที่ คุณ ทํา งาน นั้น ทํา ให้ คุณ ใกล้ ชิด กับ ธุรกิจ เล็ก ๆ ที่ ไว้ ใจ ได้ มาก ขึ้น

2557) สําหรับการอ่านเพิ่มเติม อ้างอิงถึงคําแนะนําอย่างเป็นทางการจาก แผนกวิชาอัตชีวประวัติของ FTC (FLT:1] และ International Society of Ferciences (PPP).