Table of Contents

Розуміння пейзажу конфіденційності даних

Правила конфіденційності даних значно затягували протягом останніх кількох років, керованих порушеннями високопрофільних та зростаючим попитом споживачів для контролю над особистою інформацією. Для власників малого бізнесу, дотримання не є обов'язковим. Закони, такі як Генеральний регламент захисту даних Європейського Союзу (GDPR) та Акту про конфіденційність споживачів (CCPA) встановлюють нові глобальні стандарти, а також додаткові закони державного рівня в Вірджинії, Колорадо, Connecticut, а Utah вже вплине або скоро буде. Недотримання може призвести до штрафів, правової дії та втрати довіри клієнтів.

Цей посібник просуває вас через практичні кроки для досягнення та підтримки дотримання, навіть з обмеженими ресурсами. Ви дізнаєтеся, які закони про конфіденційність даних вимагають, як перевірити свої поточні практики, впроваджувати механізми згоди, обробляти запити про права споживачів та забезпечити ваші системи. Дотримуючись цих стратегій, ваш невеликий бізнес не може уникнути штрафів, але також побудувати репутацію як надійний стевер клієнтів.

Конфіденційність не є однією з видів вправ. Підхід, який залежить від юрисдикції, які ви працюєте, обсягу та чутливості даних, які ви збираєте, та вашої існуючої інфраструктури. Однак основні принципи — транспарентність, контроль, безпека та підзвітність — універсальні. Навіть якщо ви є соло-підприємцем або командою п'яти, то кроки, викладені тут, можуть бути масштабовані для того, щоб відповідати вашим ресурсам.

Основні закони про конфіденційність даних, що впливають на малий бізнес

GDPR (Загальний регламент захисту даних)

З травня 2018 року, GDPR застосовується до будь-якого бізнесу, який пропонує товари або послуги фізичним особам в ЄС, незалежно від того, де бізнес базується. Ключові вимоги включають:

  • Правові основи обробки персональних даних (концедент, договір, правовідносин, законний інтерес тощо)
  • Прозорі повідомлення про конфіденційність, які є лаконічними, легкодоступними і письмовими мовами
  • Особисті права: право доступу, виправлення, видалення (зловживання, обмеження обробки, переносимість даних та заперечення)
  • Повідомлення про порушення часу на контролюючі органи, якщо порушення малоймовірно не підлягає ризику суб’єктам даних
  • Записи діяльності з переробки (Article 30) – технічно необхідні для організацій, які мають 250+ працівників, але менші підприємства повинні документувати певні операції з обробки, особливо тих, які мають чутливі дані або високий ризик

До 20 млн. євро або 4% річних глобальних оборотів, які в цілому вище. Однак контролюючі органи часто видають попередження або реприміни для неповнолітнього вогнетривкого вогнетривкого бізнесу. Ключовим є продемонструвати хороші зусилля.

Для малого бізнесу за межами ЄС, які лише зумовили взаємодію з клієнтами ЄС, GDPR все ще може застосуватися, якщо ви контролюєте поведінку фізичних осіб в ЄС. Наприклад, за допомогою аналітичних файлів cookie, які відслідковують відвідувачів ЄС або надсилають цільові електронні кампанії до ЄС, що запускає зобов’язання щодо дотримання вимог законодавства про захист прав.

CCPA / CPRA (Факт захисту споживачів / Каліфорнія конфіденційності)

У 2019 році CCPA вніс чинності січень 2020 року, з CPRA поправкує її ефективний 2023 січня. Вона діє на об’єкти, які збирають особисту інформацію резидентів Каліфорнії та відповідають одному з цих порогів:

  • Річна валова надхода понад $25 млн
  • Купити, отримувати або продати персональну інформацію 100 000 або більше резидентів Каліфорнії або домогосподарств
  • З продажу особистої інформації споживача на 50% та більше річного доходу

Малий бізнес часто падають нижче цих порогів, але ті, які керують значними обсягами даних або продають дані, які все ще повинні відповідати. Ключові зобов'язання включають право дізнатися, видаляти, відмовитися від продажу та недискримінації. CPRA розширив захисти, щоб включають чутливу особисту інформацію (наприклад, точний геолокація, расустрій або етнічне походження, дані про здоров'я) і створив спеціальний виконавчий орган, Агентство з питань захисту конфіденційності Каліфорнія (CPPA).

Якщо Ваш бізнес не відповідає пороги CCPA, можуть застосовуватися аналогічні державні закони. Наприклад, CPA «Коладо» має більший рівень доходів і поширюється на бізнес, які здійснюють персональні дані від 25,000 або більше споживачів і прибутків від продажу даних. Малі підприємства з національними клієнтськими базами повинні припускати, що вони підлягають принаймні одному державному праві.

Інші закони про державну конфіденційність США

Закон про захист даних Вірджинії (VCDPA), Закон про конфіденційність Колорадо (CPA), Акт про конфіденційність даних Зв'язку (CTDPA), а також Закон про конфіденційність споживачів США (UCPA) має всі прийняті дії або скоро. Хоча вони діляться схожостями з CCPA, відмінності існують в пороях застосунку, звільнення та виконання. Наприклад:

  • Компанія «Вінея» пропонує послуги з контролю та обробки персональних даних щонайменше 100 000 споживачів або постачання понад 50% від доходу від продажу даних на 25,000+ споживачів.
  • Компанія «КП «Крадо» діє до бізнес-процесів, які здійснюють дані 100 000+ споживачів або прибутків від продажу даних 25,000+ споживачів (включаючи неприбуткові кошти в деяких випадках).
  • У КТДПА з'єднайте КТДПА, що має однакові пороги, як Колорадо, але включає 14-денний період лікування для перших порушень.
  • Ута UCPA вимагає від річного доходу від $25M+ та обробки 100 000+ споживачів або вирахування 50% на дохід від продажів даних на 25,000+ споживачів.

Малий бізнес, який працює по декількох штатах, повинен відстежувати ці варіації. Практичний підхід полягає в тому, щоб відповідати найбільш суворому чинному законодавству, який часто охоплює всі бази.

Міжнародні дослідження

За межами GDPR, закони, такі як ЛДП Бразилію, ППОСІБ Південної Африки, APPI, і PIPEDA Канади можуть застосовуватися, якщо ви використовуєте дані з цих юрисдикцій. Глобальна тенденція полягає у більш міцних захистах, тому будівництво конфіденційності-першої рамки вигоди вам по всьому світу. Якщо ви запустили сайт доступний по всьому світу, врахуйте, що платформа управління згодою, яка виявить розташування користувача і діє відповідні правила.

California Адвокат Генеральний CCPA FAQ]

Оцінювання ваших поточних практик даних

Проведення аудиту даних

До того, як ви можете виконати, ви повинні знати, які дані, які ви збираєте, де це живе, як вона тече, і хто має доступ. Почати з простою інвентаризації:

  • Data type: Назва, електронна пошта, адреса, платіжна інформація, IP адреси, поведінка перегляду, соціальна медіа- ручки тощо.
  • Джерела виявлення: веб-сайт форми, CRM, маркетинг електронної пошти, точка продажу, сторонні інтеграції (наприклад, Facebook піксель, Google Analytics, TikTok піксель), канали підтримки клієнтів і автономні взаємодії.
  • Сторігові місця: Хмарні послуги (AWS, Google Drive, Dropbox, OneDrive), локальні сервери, електронні папки, паперові файли.
  • Data процесори: Будь-який постачальник або сервіс, який обробляє дані від вашого імені (наприклад, Mailchimp, Stripe, Shopify, HubSpot, Zendesk, AWS). Документувати ціль, категорії даних, спільні та заходи безпеки, які вони надають.

Документація всіх в записі даних або обробки активності. Ця карта буде основою для всіх наступних кроків відповідності. Використовуйте таблицю з колонами для: Категорія даних, джерело, розташування зберігання, термін зберігання, законна основа, сторонні процесори та заходи безпеки. Оновлення його принаймні щорічно або коли ви додаєте новий інструмент.

Визначте правові основи для обробки

Під ГПДП, більшість робіт вимагає законної бази. До складу деяких підприємств відносяться:

  • Consent: Для маркетингових електронних листів або невідповідних cookie. Консент повинен бути вільно надана, конкретна, поінформована і неоднозначна. Попередньо загиблі ящики не діють.
  • Проектна необхідність: Обробка необхідного для виконання замовлення, надання послуги або внесення кроків на вимогу особи перед входом в договір.
  • Знайомий інтерес: Для запобігання шахрайству, мережевої безпеки, прямого маркетингу (підписання до відмови), або аналітики. Ви повинні провести законну оцінку інтересів (LIA) балансування ваших інтересів з правами споживачів.
  • Юридичне зобов'язання: Для податкових записів, обліку або дотримання інших законів.
  • Віталь зацікавленість: Раритет, але використовується в надзвичайних ситуаціях.

Для законів США, таких як CCPA, «консент» замінений на право відмовити від продажу або спільного доступу до транстекстової поведінки реклами. Ви повинні визначити, які операції з обробки запускають ці права і забезпечити чіткий механізм відмови (наприклад, посилання «Не продавати або поділитися моїми особистими даними»).

Будівництво рамки відповідності

Оновити свою Політику конфіденційності

Якщо ви хочете дізнатися, що ви хочете, щоб перевірити, чи хочете ви не погоджуєтесь з цими питаннями.

  • Які персональні дані ви збираєте та з яких джерел
  • Призначення збору та законної бази (якщо GDPR) або бізнес-ціллю (для CCPA)
  • Як поділитися даними (з третіми особами, для маркетингу, для аналітики тощо)
  • Права споживачів (доступ, видалення, відмова, корекція) та способи їх виконання
  • Контактні дані для запитів на конфіденційність (фізична адреса та електронна пошта)
  • Дата останнього оновлення
  • Якщо це можливо, то розділ на cookie-файли та подібні технології

Використовуйте звичайну мову. Уникайте правової політики, доступні за посиланням на нижній колонтитул сайту, при оформленні замовлення та при зборі особистих даних. Розглянемо шарований підхід: короткий підсумок з посиланнями на повну політику.

Приклад шаблонних ресурсів: PrivacyPolicies.com або Termly. Однак завжди користувацькі шаблони для відображення ваших фактичних практик, які копіюють загальний поліс можна гірше, ніж у випадку, якщо це неточно.

Реалізація консенсуючої механізмів

Якщо необхідно згоду (наприклад, маркетингові електронні листи, невідповідні файли cookie), необхідно отримати явну, проінформовану та вільно даної згоди. Використовуйте:

  • Cookie згоден банери: Allow granular оптил для різних категорій (есенціальний, аналітика, маркетинг). Не варто попередньо тектичними ящиками. Забезпечте варіант "відкликати все" як помітно "прийняти все".
  • Opt‐in checkboxes на реєстраційних формах для отримання послуг, якщо дані необхідні для цього сервісу.
  • Сепараційна згода] для різних цілей обробки (одна каска для маркетингу електронної пошти, інший для спільного з партнерами, інший для персоналізованої реклами).
  • Рекорд збереження: запис, коли і як була надана згода — частамп, текст згоди, версія політики та ідентифікатор користувача. Зберігати цей доказ у вашій CRM або навігаційної платформи.

Для CCPA-out достатньо простий посилання на "Не продавати або поділитися моїми особистими даними", але ви також можете використовувати глобальний контроль конфіденційності (GPC) сигнал. Забезпечити ваш сайт повагу цих сигналів.

Запити про права споживачів

Малий бізнес повинен відповідати запитам в рамках конкретних часових рам (наприклад, 45 днів під час CCPA, 30 днів відповідно до GDPR).

  1. Розробка контакту з конфіденційністю даних (повний бути власником бізнесу або відповідальним працівником).
  2. Створити простий варіант або електронну адресу для споживачів для подачі запитів (наприклад, Privacy@your Business.com). Для доступу до інформації також доступний спеціальний номер телефону.
  3. Перевірити особу заявника (наприклад, відповідність електронної пошти та ім'я на ваші записи; не повідомляти про непотрібні дані). Для видалення запитів під CCPA необхідно перевірити запитачем перед обробкою.
  4. Заповнити запит у вікні дозволеного вікна (наприклад, надати всі дані, які проводяться, видаліть його, відхиляйте їх з продажу або виправте неточності). Для перенесення даних, надайте дані в загальноприйнятому, машинно-читному форматі (CSV, JSON).
  5. Зареєструйтеся на сайті, вказавши, і дата завершення. Зберігайте записи не менше 24 місяців (вимога КПУ).

Ви не можете дискримінувати споживачів, які здійснюють свої права (наприклад, послуги з дені, оплачувати різні ціни, надавати різну якість). Однак, ви можете запропонувати фінансові стимули для збору даних, якщо правильно розголошуватися та споживачі оптизовані.

Керування постачальниками та третіми особами

Кожен постачальник, який обробляє персональні дані від вашого імені (процеси даних) повинен бути зобов'язаний договірно зобов'язаний захистити ці дані і допомогти вам у відповідності до вимог. Ознайомтеся з угодами:

  • Маркетингові платформи електронної пошти (пошта, Постійний контакт)
  • Процесори платежів (Stripe, PayPal, Square)
  • Хмарні провайдери зберігання (Google Workspace, Dropbox, AWS)
  • Аналітика (Google Analytics, Facebook Pixel, Hotjar)
  • Інструменти підтримки клієнтів (Zendesk, Intercom)
  • CRMs (HubSpot, Salesforce, Pipedrive)

GDPR вимагає письмового договору обробки даних (DPA). Багато більших постачальників пропонують стандартні DPAs, які можна приймати цифрово. Для менших постачальників, ви можете знадобитися переговори між собою. Відстеження, які постачальники мають доступ до даних, їх субпроцесори, а також їх сертифікація безпеки (SOC 2, ISO 27001). Оновлення ваших записів, коли ви змінюєте постачальників.

Також, врахуйте політику конфіденційності постачальників: чи продають вони дані про продаж або поділу? Якщо ви використовуєте інструмент, який продає сукупні дані, ви можете розглянути дані «розширювані» під CCPA і потрібно надати опуклості.

Безпека даних та реагування на Брех

Реалізація заходів безпеки апробації

Вимоги до забезпечення безпеки даних. Рівень безпеки повинен бути «недодатковим для ризику». Для малого бізнесу це правило включає:

  • Розшифрування даних шифрування даних на інших серверах, ноутбуках, мобільних пристроях) та в транзиті (користування HTTPS на вашому сайті, TLS для електронних листів).
  • Управління Access: Доступ до персональних даних тільки співробітникам, які потребують цього. Використовуйте сильні паролі (12+ символів), двостороннє значення (2FA), а також дозволи на основі ролей.
  • Регуляторні резервні копії: Store резервні копії надійно (шифровані, офсайти) і процедури відновлення тесту принаймні чверть.
  • Просування: Тримайте CMS, плагіни, теми та всі системи, які нашивають. Увімкніть автоматичні оновлення, де безпечно.
  • Фізіальна безпека: Lock office and file account translation account. Упорядковані документи перед утилізації.
  • Безпека роботи: Використання брандмауера, захищеного Wi-Fi з WPA3 і VPN для віддаленого доступу.

Враховуйте базову базу кібербезпеки, як функції NIST Cybersecurity Framework’s п’ять функцій: Identify, Захист, виявлення, відновлення. Для малого бізнесу CISA Cybersecurity Toolkit пропонує безкоштовні ресурси.

Створити план реагування Breach

Система не є 100% безпечним. Підготовка до потенційного порушення за допомогою зовнішніх кроків:

  1. Контейнер:] Ізольовані вражені системи, зміни паролів і збереження колод (не видаляти докази).
  2. Оцінювання: Визначте, що дані були піддані, скільки людей постраждали, і ймовірно, шкоду (ідентифікаційний крадіжок, шахрайство тощо). Залучення судового експерта при необхідності.
  3. Повідомлення: Під ГПРП, повідомляє про наглядову владу протягом 72 годин, якщо порушення малоймовірно викликати ризик. Багато державних законів США мають аналогічні строки (наприклад, 45 днів для Каліфорнія, 30 днів для Колорадо). Також можна зауважити постраждалих осіб без затримки. Перевірте вимоги кожного держави—65+ держави та законів на території США, мають порушення обов’язків з повідомленнями.
  4. Ремедіація: Виправлення вразливості, поліпшення контролю (наприклад, впровадження 2FA, якщо вже не раніше), а також розглянути надання послуг з контролю та захисту особистості, якщо були виявлені конфіденційні дані.
  5. Документація: Запис того, що сталося, дії, які були, і уроки, які навчаються. Ця документація може допомогти в регуляторних запитах і поліпшенні подальшої відповіді.

Враховуйте страхування кібербезпеки, яка охоплює події порушення даних. Деякі політики також надають доступ до експертів з питань реагування на інциденти, юридичного радника та підтримки публічних відносин. Магазин для покриття, який відповідає вашому сектору та профілю ризику.

Ресурси: ФТК кібербезпека для малого бізнесу та Національний Альянс з кібербезпеки.

Інформаційне забезпечення та культура конфіденційності

Про нас

Надання послуг, які мають бути використані для забезпечення захисту даних.

  • Визначте фейсингові листи, бадьорість та спроби соціальної інженерії
  • Правильне обслуговування даних клієнтів (не залишаючи екрани розблоковані, не розшифровуючи конфіденційну інформацію, не розшифровані, використовуючи безпечну передачу файлів для великих документів)
  • Після процедури відповіді на запити суб'єкта даних (DSAR) та звіт про порушення даних
  • Повідомляємо про підозру у порушенні негайно — в разі невиліковності, краще перевозити внутрішньо

Надання консультаційних послуг та ведення обліку відвідувань. Щорічні освіжувачі є кращою практикою. Коли нові закони або ухвали впливають на дотримання, забезпечують цільові оновлення. Розглянемо використання платформи для навчання конфіденційності, таких як KnowBe4 або SANS, що забезпечує Людину.

Збереження записів про роботу

Навіть якщо Ваш невеликий бізнес звільняється від певних вимог документації (наприклад,, стаття GDPR 30 стосується організацій з 250+ співробітників для повного ведення бухгалтерського обліку, але менші підприємства повинні бути як і раніше обробка документів для чутливих даних або високоросліковних заходів), зберігаючи запис діяльності (ROPA) є гарною звичкою. Включаючи:

  • Ім'я та контактні дані організації (контролер) та будь-яких контролерів
  • Призначення переробки
  • Категорії суб'єктів даних (комуненти, працівники, постачальники та ін.) та персональні дані
  • Категорії одержувачів (в тому числі третіх країн або міжнародних організацій)
  • Обмеження часу на видалення місця, де можливо (за розкладом)
  • Опис заходів технічної та організаційної безпеки (ТОМ)

Ми можемо самі зателефонувати одержувачу і узгодити зручний час і місце вручення квітів, а також у разі необхідності, якщо ви не захочете розглянути нові ринки.

Огляд і оновлення регулярно

Конфіденційність даних не є одностороннім проектом. Закони еволюціонуються, зміни вашого бізнесу та нові технології. Графік роботи на щоквартальні або бі‐ануальні відгуки:

  • є корисним посиланням.
  • Оновлення політики конфіденційності після зміни матеріалів у практиках обробки даних (нові інструменти, нові цілі, нові можливості, нові можливості).
  • Збір даних та інтеграції сторонніх сторін не менше ніж щорічно.
  • Тестуйте свій план реагування на порушення з настільною вправою - проголосуйте за допомогою імітаційного сценарію порушення з командою.
  • Огляд дотримання файлів cookie: як браузери, які використовуються для сторонніх cookie, краєвид на зміни управління згодою.

Використовуйте календар відповідності або цифровий контроль для відстеження термінів та завдань. Призначте право власності на кожен пункт огляду.

Загальні Питви та Як уникнути

Припустимо, ви є занадто малим, щоб бути цільовим

Регулятори все частіше зосереджені на невеликих підприємствах. Більшість можуть бути меншими, ніж для великих корпоративних компаній, але невідповідність все ще несе наслідки, включаючи репутаційні пошкодження, втрату довіри клієнтів і потенційних юридичних осіб класу. Крім того, споживча довіра є більш важкою для малого бізнесу, щоб відновити. Багато регуляторів пропонують керівництва і інструменти, зокрема для малого бізнесу, використовуючи їх.

Полотно, що cookie не є еквівалентним дотриманням. Ви повинні мати законну основу для обробки, належних угод про постачальника та механізмів захисту прав споживачів. Полотно, cookie-бан є лише одним з точок дотику. Також, забезпечити ваш банер не скидається cookie перед згодою (свідомий підхід). Використовуйте платформу управління згодою, яка блокує неоцінні сценарії до моменту, поки користувач не робить вибір.

Визначення даних працівників

У той час як більшість законів зосереджені на даних клієнтів, особисті дані працівника однаково захищені. Забезпечити файли HR, системи заробітної плати, записи продуктивності та дані перевірки фону включені у сферу відповідності. Співробітники мають право доступу, випрямляють та видаляють дані (хоча відхилення може бути обмежена законом про зайнятість або законним інтересом).

Перевизначення даних

Тільки збирати дані, які дійсно необхідні для вашого бізнесу. Не тільки це зниження ризику, але це також спрощує відповідність. Застосовувати принцип мінімізації даних: не збирати номер телефону, якщо вам потрібно тільки відправити підтвердження замовлення електронною поштою. Регулярно псувати дані, які вам більше не потрібно, - задати чіткі періоди збереження (наприклад, видалити дані клієнтів 6 місяців після останнього покупки, якщо це необхідно для податкових записів).

Оцінка впливу на захист даних

Під час обробки даних, ймовірно, є результатом високого ризику суб'єкта даних (наприклад, системного профілювання, масштабної обробки чутливих даних, моніторингу публічної зони). Малий бізнес повинен проводити ДПІ перед впровадженням будь-яких нових технологій, які керують особистими даними в новому вигляді, таких як установка CCTV, використовуючи AI-чато-чато-гінекологічну аналітику.

Технології лівержування для комплаєнсу

Дозвольте клієнтам не тільки знайти, але й отримати доступність, але й деякі доступні інструменти можуть відповідати на рівень:

  • Consent Management Platform (CMPs): Інструменти, такі як Cookiebot, Осано, OneTrust (безкоштовно ярус для невеликих сайтів), і Fancy Analytics допомагають керувати згодою, згодою запису та скануванням cookie.
  • Privacy policy Generators: Iubenda, Терміново та КонфіденційністьПолікунки пропонують настроювані шаблони з регулярними оновленнями для правових змін.
  • Data запит суб'єкта (DSR) управління: Прості електронні листи або спеціальне програмне забезпечення, як DataGrail або Transcend (offer free ярусів). Для низького обсягу можна працювати спільна поштова скринька з шаблонами.
  • Управління ризиками: Використовуйте таблицю для відстеження DPAs, сертифікація безпеки та субпроцесорів. Інструменти, такі як Vendr або Vanta (enterprise-grade, але можуть бути масштабовані вниз).
  • Data mapping: Автоматизовані інструменти для відкриття даних, такі як Securiti, BigID або навіть ручний процес, використовуючи таблицю.

Виберіть інструменти, які інтегруються з існуючим тек-стеком. Багато CRM та e‐commerce платформ (Магазин, Squarespace, Wix) тепер включають базові функції конфіденційності, які можна переглянути та переглянути їх налаштування. Наприклад, Shopify має вбудовані сторінки конфіденційності клієнтів для CCPA та GDPR.

Також, розглянемо використання бази даних конфіденційності. При оцінці нового програмного забезпечення, запитайте постачальників про свої методи обробки даних перед комітуванням.

Висновок: конфіденційність як конкурентна перевага

У зв’язку з новим законами про конфіденційність даних не просто про уникнення штрафів. Споживачі все частіше обирають для ведення бізнесу з організаціями, які вони довіряють. Про прозорість практик даних, дотримання споживчих вибору та захисту особистої інформації, Ваш маленький бізнес може виділятися на ринку, що відповідає за довіру.

Запустіть сьогодні простий аудит. Створіть свої дані, оновіть політику конфіденційності та навчіть свою команду. Як ви виростите, шаруйте на більш формальних процесах. Інвестиції окупляться у лояльності клієнтів, зниженому правовому ризику та оперативній ефективності. Чисті дані та прозорі процеси отримують користь вашого бізнесу багатьма способами за межами комплаєнсу.

Пам'ятайте, що вам не потрібно досягти ідеального протягом всього дня. Прогрес, не досконалий, є метою. Використовуйте ресурси, які надаються регуляторами та фахівцями з конфіденційності, щоб вам було надано. Кожен крок, який ви приносите вам більш довіру, стійкий невеликий бізнес.

Для подальшого читання див. на офіційне керівництво та Міжнародна асоціація професіоналів конфіденційності (IAPP).