privacy-and-online-law
Làm thế nào để phù hợp với những luật riêng tư về dữ liệu mới cho những người sở hữu nhỏ trong thương mại?
Table of Contents
Hiểu được sự bảo vệ về dữ liệu mới
Quy định cá nhân dữ liệu đã thắt chặt đáng kể trong vài năm qua, bị thúc đẩy bởi những lỗ hổng lớn và nhu cầu tiêu dùng tăng lên để kiểm soát thông tin cá nhân. Đối với những người sở hữu doanh nghiệp nhỏ, tuân thủ theo không còn tùy chọn nữa. Những luật như là Bộ luật bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) và Đạo luật tiêu dùng California (CCer Scient) đã đặt ra những tiêu chuẩn toàn cầu mới, và những luật cấp độ quốc gia thêm ở Virginia, Colorado, Connecticut, và Utah đang có hiệu lực hoặc không sớm. Không tuân thủ kết quả tốt, hành động pháp lý, và mất uy tín.
Hướng dẫn này giúp bạn thực hiện và duy trì sự vâng phục, ngay cả với tài nguyên giới hạn, học được những điều luật về dữ liệu cần thiết, cách kiểm tra các thực hành hiện tại, thực thi các cơ chế đồng thuận, xử lý các yêu cầu của người tiêu dùng, và bảo đảm hệ thống của bạn.
Việc bạn tiếp cận với các quyền hạn của bạn, số lượng và độ nhạy của dữ liệu bạn thu thập, và cơ sở hạ tầng hiện có, tuy nhiên, các nguyên tắc cốt lõi - sự hòa hợp, kiểm soát, an ninh và trách nhiệm của bạn tùy thuộc vào các thẩm quyền riêng lẻ hoặc nhóm năm người, các bước được nêu ra ở đây có thể được cân bằng với nguồn tài nguyên của bạn.
Luật pháp căn bản về tư vấn về dữ liệu ảnh hưởng đến những doanh nghiệp nhỏ
GDPR (Điều luật bảo vệ dữ liệu chung)
Từ tháng 5 năm 2018, GDPR áp dụng cho bất cứ doanh nghiệp nào cung cấp hàng hóa hoặc dịch vụ cho các cá nhân trong EU, bất kể nơi nào kinh doanh được xây dựng. Các yêu cầu then chốt bao gồm:
- Căn cứ hợp pháp để xử lý dữ liệu cá nhân (có hợp đồng, hợp đồng, nghĩa vụ pháp lý, lợi ích hợp pháp, vv.)
- Thông báo quyền riêng tư trong suốt là dễ truy cập, dễ dàng và được viết bằng ngôn ngữ rõ ràng
- Quyền cá nhân: quyền truy cập, sửa chữa, bảo mật (quyền bị lãng quên), hạn chế xử lý, tính năng chuyển đổi dữ liệu và phản đối
- Báo cáo xâm nhập 72 giờ cho chính quyền cấp cao trừ khi vi phạm không gây nguy hiểm cho các đối tượng dữ liệu
- Ghi chép các hoạt động xử lý (hình 30) – về mặt kỹ thuật cần thiết cho các tổ chức với 250+ nhân viên, nhưng các doanh nghiệp nhỏ hơn vẫn phải ghi lại một số hoạt động xử lý, đặc biệt những người liên quan đến dữ liệu nhạy cảm hoặc rủi ro cao
Tiền phạt có thể đạt tới 20 triệu hoặc 4% số lần chuyển giao trên toàn cầu hàng năm, bất kể là gì, bất kể là gì, nhưng chính quyền cấp trên thường đưa ra cảnh báo hoặc khiển trách cho những vụ phạm tội nhỏ lần đầu tiên của các doanh nghiệp nhỏ.
Đối với các doanh nghiệp nhỏ bên ngoài EU mà thỉnh thoảng chỉ tương tác với khách hàng của EU, GDPR có thể vẫn áp dụng nếu bạn theo dõi hành vi của những cá nhân trong EU. Ví dụ, sử dụng các quy định phân tích để theo dõi khách truy cập EU hoặc gửi các chiến dịch email mục tiêu đến người dân U gây ra các nghĩa vụ GDPR.
CCPA/CPRA (Luật bảo vệ quyền riêng tư cho người tiêu dùng ở California)
CCPA đã có hiệu lực vào tháng 1 năm 2020 với việc hô hấp nhân tạo đang được hoàn thành hiệu quả vào ngày 2023 tháng 1 nó được áp dụng cho các doanh nghiệp phi lợi nhuận thu thập thông tin cá nhân của người dân California và đáp ứng một trong những ngưỡng này:
- Thu nhập tổng cộng hàng năm trên 25 triệu đô la
- Mua, nhận hoặc bán thông tin cá nhân của 100.000 người hoặc hơn ở California
- Giảm 50% hoặc hơn số thu nhập hàng năm do bán thông tin cá nhân của người tiêu dùng
Những doanh nghiệp nhỏ thường rơi dưới những ngưỡng này, nhưng những người xử lý một lượng lớn dữ liệu hoặc dữ liệu bán phải tuân theo. Các nhiệm vụ then chốt bao gồm quyền biết, xóa, loại bỏ, giảm giá, và không phân biệt đối xử. Các nhân viên hô hấp đã mở rộng bảo vệ thông tin cá nhân nhạy cảm (v. d., định vị địa lý, chủng tộc hoặc sắc tộc, sức khỏe) và tạo một cơ quan hành chính, Cơ quan Bảo vệ tư nhân California (C.A).
Chẳng hạn, các công ty của Colorado có mức thu nhập thấp hơn và áp dụng cho các doanh nghiệp xử lý dữ liệu cá nhân với 25.000 hoặc hơn, và thu nhập từ việc bán dữ liệu.
Những luật riêng tư khác của bang Hoa Kỳ
Luật bảo vệ dữ liệu tiêu dùng của Virginia (VCDPA), Đạo luật bảo vệ quyền riêng tư của Colorado (CPA), Đạo luật dữ liệu riêng tư của Connecticut (CTDPA), và Đạo luật bảo vệ người tiêu dùng (U.D.A) có hiệu quả hoặc sẽ sớm.
- VCDPA của Virginia áp dụng cho các doanh nghiệp kiểm soát hoặc xử lý dữ liệu cá nhân của ít nhất 100.000 người tiêu dùng hoặc thu nhập trên 50% từ việc bán dữ liệu của 25,000 người tiêu dùng.
- Công ty CPA của Colorado áp dụng cho các doanh nghiệp mà quá trình xử lý dữ liệu là 100.000 người tiêu dùng hoặc thu lợi nhuận từ việc bán dữ liệu của 25,000 người tiêu dùng (bao gồm cả phi lợi nhuận) trong một số trường hợp.
- CDPA của Connecticut có ngưỡng giống Colorado nhưng bao gồm 14 ngày chữa bệnh cho lần vi phạm đầu tiên.
- UCPA của Utah đòi hỏi doanh thu hàng năm với 25M+ và xử lý 100.000 người tiêu dùng cộng thêm hoặc giảm 50% lợi tức từ doanh thu dữ liệu là 25,000+ người tiêu dùng.
Một cách thực tế là tuân theo luật lệ có tính nghiêm ngặt nhất, thường bao gồm tất cả các cơ sở.
Các sự xem xét trên toàn thế giới
Ngoài GDPR, các luật pháp như LGPD của Brazil, PPIA, Nam Phi, APRI của Nhật Bản và PIPRA của Canada có thể áp dụng nếu bạn quản lý dữ liệu từ những thẩm quyền đó. Xu hướng toàn cầu nhằm bảo vệ bạn, vì vậy xây dựng một khung bảo vệ quyền riêng tư đầu tiên trên toàn cầu. Nếu bạn chạy một trang web có thể truy cập toàn cầu, hãy xem xét việc thực hiện một nền tảng quản lý chấp thuận mà người dùng nhận nhận và áp dụng các quy tắc thích hợp.
Để có sự hướng dẫn chính đáng, hãy tham khảo ý kiến Hướng dẫn của UCO ) và ) ) Luật sư của CCPA FAQ .
Xem xét các thực hành dữ liệu hiện thời
Cách phát âm dữ liệu
Trước khi bạn có thể tuân thủ, bạn phải biết bạn thu thập dữ liệu nào, nơi nó sống, cách nó chảy, và ai có quyền truy cập. bắt đầu với một kho hàng đơn giản:
- Kiểu kiểu: Tên, email, điện thoại, địa chỉ, thông tin thanh toán, địa chỉ IP, hành vi duyệt, phương tiện truyền thông xã hội v.v...
- Nguồn kết hợp: dạng thức Website, CRM, email marketing, điểm-sale, điểm-phần ba-party, điểm ảnh Facebook, Google Analystics, TikTokM điểm ảnh), hỗ trợ các kênh hỗ trợ khách hàng, và tương tác ngoài luồng.
- Dịch vụ đám mây (AWS, Google Drive, Dropbox, OneDrive), máy chủ địa phương, bảng tính, hộp thư điện tử, hộp thư, tập tin giấy.
- Bộ xử lý:) Bất kỳ dịch vụ nào, người cung cấp dữ liệu hay dịch vụ xử lý dữ liệu về bạn (v. d., Mailchip, Done, Dure, Supification, Hudespot, Zensk, AWS). Tài liệu này có mục đích, loại dữ liệu được chia sẻ, và các biện pháp bảo mật mà họ cung cấp.
Tài liệu tất cả trong bản đồ dữ liệu hoặc xử lý hồ sơ hoạt động. Bản đồ này sẽ là nền tảng cho tất cả các bước tuân thủ sau. Dùng bảng tính với các cột cho: phân loại dữ liệu, nguồn, vị trí lưu trữ, thời gian lưu trữ, bộ xử lý hợp lệ, bộ xử lý phần ba và các biện pháp bảo mật. Cập nhật nó ít nhất hàng năm hoặc bất cứ khi nào bạn thêm một công cụ mới.
Xác định cơ sở pháp lý để xử lý
Theo GDPR, hầu hết các tiến trình xử lý đòi hỏi một cơ sở hợp pháp.
- Đối chiếu: Để nhận thư marketing hay không cần thiết. Cần phải cho miễn phí, cụ thể, thông tin và chưa xác định. Hộp tiền đánh dấu không hợp lệ.
- Cần thiết chung: ) Tiến hành cần thiết để thực hiện một mệnh lệnh, cung cấp dịch vụ, hoặc thực hiện các bước theo yêu cầu của cá nhân trước khi ký kết hợp đồng.
- lợi ích tương đối:) Để ngăn chặn gian lận, bảo mật mạng, tiếp thị trực tiếp (phụ đề để tối ưu hóa), hoặc phân tích. Bạn phải thực hiện một đánh giá lãi suất hợp pháp (LIA) cân bằng quyền lợi của bạn với quyền tiêu dùng.
- Trách nhiệm Lê - vi: Để ghi chép thuế, kế toán, hoặc tuân theo những luật khác.
- Sự quan tâm của người vi sinh: hiếm nhưng được dùng trong trường hợp khẩn cấp.
Đối với luật pháp Hoa Kỳ như CCPA, “quyền ưu tiên được thay thế bằng quyền chọn hoặc chia sẻ thông tin văn bản.
Xây dựng khung khung phù hợp
Cập nhật chính sách riêng tư
Chính sách riêng tư của bạn phải rõ ràng, cụ thể và dễ tìm.
- Dữ liệu cá nhân nào bạn thu thập và từ đâu
- Mục đích của việc sưu tập và cơ sở hợp pháp (nếu GDPR) hoặc mục đích kinh doanh (cho CCPA)
- Làm thế nào bạn chia sẻ dữ liệu (với các bên thứ ba, cho marketing, cho phân tích, v.v...)
- Quyền tiêu dùng (cress, xóa, tối ưu, tính hiếu khách, sửa chữa) và làm thế nào để thực hiện chúng
- Liên lạc chi tiết để hỏi riêng (địa chỉ vật lý và email)
- Cập nhật
- Nếu ứng dụng, một phần trên cookie và công nghệ tương tự
Dùng ngôn ngữ bình thường. Tránh dùng ngôn ngữ pháp lý. Hãy dùng một đường dẫn trong bộ chân trang Mạng, lúc thanh toán và khi thu thập dữ liệu cá nhân. Hãy xem một cách tiếp cận có lớp: tóm tắt ngắn bằng các liên kết tới chính sách đầy đủ.
Các nguồn tài nguyên mẫu: CLFlicies.com ) hoặc ) [FLT:] . Tuy nhiên, luôn luôn có mẫu tự tùy biến để phản ánh các thực hành thực tế của bạn.
Sự máy móc đầy phấn khởi
Khi cần thiết chấp thuận (v. d., email marketing, không cần thiết), bạn phải có được sự đồng ý rõ ràng, có hiểu biết và tự do. Hãy dùng:
- Băng cờ đồng ý cho phép các loại khác nhau (cần thiết, phân tích, tiếp thị).
- Các hộp kiểm tra (FLT:1) có thể ký vào các tờ đơn đăng ký hoặc đăng ký tài khoản. Chắc chắn không cần thiết để nhận dịch vụ trừ khi cần thiết dữ liệu cho dịch vụ đó.
- sự đồng ý riêng cho các mục đích xử lý khác nhau (một hộp ngân phiếu cho việc tiếp thị thư điện tử, một cho các đối tác, một cho quảng cáo cá nhân).
- Ghi chép lại: Ghi chép khi nào và cách nào sự đồng ý được đưa ra -- thời gian ký hiệu, đồng ý văn bản, phiên bản chính sách, và bộ nhận diện người dùng. Lưu bằng chứng này vào nền tảng CM hoặc đồng ý của bạn.
Để tốt nghiệp CCPA, một liên kết đơn giản với “Không bán hoặc chia sẻ thông tin cá nhân là đủ, nhưng bạn cũng có thể sử dụng tín hiệu kiểm soát sự riêng tư toàn cầu (GPC) của bạn.
Yêu cầu quyền tiêu dùng
Các doanh nghiệp nhỏ phải đáp ứng các yêu cầu trong khung thời gian cụ thể (v. d., 45 ngày dưới CCPA, 30 ngày dưới thời GDPR). Thiết lập một tiến trình:
- Thiết kế một cuộc tiếp xúc thông tin riêng tư (có thể là chủ doanh nghiệp hoặc một nhân viên có trách nhiệm).
- Tạo một đơn hoặc địa chỉ email đơn giản cho người dùng để gửi yêu cầu (v. d., quyền riêng tư@ job.com). Việc dùng số điện thoại đã hiến cũng giúp cho khả năng truy cập.
- Để kiểm tra danh tính của người yêu cầu (v. d., hãy kiểm tra email và tên của người nhận, tránh yêu cầu thông tin không cần thiết). Để yêu cầu xóa bỏ các yêu cầu của CCPA, bạn phải kiểm tra người yêu cầu trước khi xử lý.
- Hoàn thành yêu cầu bên trong cửa sổ cho phép (v. d., cung cấp mọi dữ liệu được giữ, xoá nó, tối ưu chúng ra khỏi bán, hoặc không chính xác. Để có khả năng chuyển đổi dữ liệu, cung cấp dữ liệu trong định dạng thông thường, có thể đọc (CSV, JSON).
- Ghi lưu yêu cầu, hành động đã lấy và ngày hoàn tất. Giữ sổ ghi chép ít nhất 24 tháng (cần thiếtPACC).
Bạn không thể phân biệt đối xử với người tiêu dùng sử dụng quyền của họ (v. d., từ chối dịch vụ, tính giá cả khác nhau, cung cấp chất lượng khác nhau). Tuy nhiên, bạn có thể cung cấp động cơ tài chính cho bộ sưu tập dữ liệu nếu được tiết lộ đúng và người tiêu dùng chọn.
Quản lý nhà cung cấp và phần ba
Mỗi nhà cung cấp xử lý dữ liệu cá nhân trên máy tính của bạn (các bộ xử lý dữ liệu) phải được bắt buộc để bảo vệ dữ liệu đó và giúp đỡ bạn trong việc tuân theo. Xem lại thỏa thuận của bạn:
- Nền tảng marketing thư điện tử (chimp, liên lạc hằng số)
- Bộ xử lý lương (Strip, PayPal, Square)
- Nhà cung cấp kho mây (Không gian làm việc của Google, hộp thư thả, AWS)
- Dịch vụ phân tích (Google phân tích, điểm ảnh Facebook, Hotjar)
- Công cụ hỗ trợ khách hàng (Zendesk, Intercom)
- CRM (HubSpot, Salesforce, Pipedrive)
GDPR yêu cầu một thỏa thuận xử lý dữ liệu đã được ghi (DPA). Nhiều nhà cung cấp lớn hơn cung cấp thông tin chuẩn DPA mà bạn có thể chấp nhận bằng kỹ thuật số. Đối với nhà cung cấp nhỏ hơn, bạn có thể cần phải thương lượng một. Theo dõi những nhà cung cấp nào có quyền truy cập dữ liệu, bộ xử lý phụ, và cách quản lý an ninh của họ (SC 2. ISO 2701). Hãy cập nhật hồ sơ khi bạn thay đổi nhà cung cấp.
Nếu bạn sử dụng một công cụ mà chính nó bán dữ liệu tổng hợp, bạn có thể được xem là “chia sẻ dữ liệu của máy tính ở CCPA và cần đưa ra một lựa chọn tối ưu.
An ninh dữ liệu và phản ứng đột nhập
Áp dụng biện pháp an ninh thích hợp
Sự thỏa thuận đòi hỏi phải giữ an toàn các dữ liệu, nhưng mức độ an ninh phải “có thể được, vì nó có thể là một thương vụ nhỏ, thường bao gồm:
- Chương trình mật mã:) dữ liệu mã hóa tại phần còn lại (trên máy phục vụ, laptop, thiết bị di động) và lưu (dùng HTTPS trên trang web của bạn, nay là hệ thống cục bộ để gửi thư).
- Điều khiển thành công:) Giới hạn truy cập dữ liệu cá nhân chỉ cho những người cần nó. Hãy dùng mật khẩu mạnh (12+ ký tự), xác thực 2FA, và đóng vai trò quyền hạn dựa trên quyền hạn riêng.
- Các bản sao lưu bình thường: Lưu trữ các bản sao lưu bảo mật (được mã hóa, không có dấu hiệu) và các thủ tục phục hồi thử nghiệm ít nhất là bốn quý.
- Cập nhật software:[FLT: 1] Giữ CMS, bổ sung, sắc thái, và tất cả các hệ thống đã vá. Bật bản cập nhật tự động khi an toàn.
- Bảo mật cơ bản: Các văn phòng và tủ tập tin chứa hồ sơ giấy. Đã trộn tài liệu trước khi gỡ bỏ.
- Bảo mật làm việc: Dùng tường lửa, bảo vệ Wi-Fi với WPA3, và VPN để truy cập từ xa.
Hãy xem một khung an ninh mạng cơ bản như khung an ninh mạng (NST Network Security Saffwork) của năm chức năng: Xác định, bảo vệ, phát hiện, hồi âm, thu hồi.
Tạo một kế hoạch đáp ứng tích cực
Không hệ thống nào được bảo mật 100% chuẩn bị cho một vụ xâm nhập tiềm năng bằng cách đi ra ngoài:
- Kết nối:[FLT: 1] hệ thống ảnh hưởng riêng lẻ, thay đổi mật khẩu và bảo tồn bản ghi (không xóa bằng chứng).
- Trích dẫn: Xác định những dữ liệu nào bị phơi bày, bao nhiêu người bị ảnh hưởng, và rất có thể gây hại (trộm cắp, gian lận, v.v.).
- Thông báo cho các nhà chức trách trong vòng 72 giờ nếu không có khả năng gây ra sự rủi ro. Nhiều luật pháp của Hoa Kỳ có những dòng thời gian tương tự (v. d. 45 ngày cho California, 30 ngày cho Colorado). Hãy kiểm tra xem mỗi trường hợp có những đòi hỏi khác nhau, hoặc không quá chậm trễ. Hãy kiểm tra xem các quy định của mỗi bang là 65 bang, tiểu bang+, và các luật lệ tại Hoa Kỳ có những trách nhiệm thông báo vi phạm thông báo vi phạm.
- Sự hồi phục:) Sửa chữa sự dễ bị tổn thương, cải thiện điều khiển (v. d., thực hiện 2FA nếu chưa sẵn sàng), và xem xét việc cung cấp dịch vụ kiểm tra tín dụng hoặc bảo vệ nhân dạng nếu dữ liệu nhạy cảm bị phơi bày.
- Viết lại những gì đã xảy ra, hành động và bài học đã học. Tài liệu này có thể giúp chúng ta tìm hiểu về những câu hỏi chính quy và cải thiện cách trả lời trong tương lai.
Một số chính sách cũng cung cấp quyền truy cập vào các chuyên gia phản ứng sự cố, tư vấn pháp lý và hỗ trợ quan hệ công cộng, mua sắm các tin tức phù hợp với ngành công nghiệp và hồ sơ rủi ro của bạn.
Tài nguyên: Công ty Bảo vệ Mạng củaFTC ) và ) Liên minh Công nghệ Mạng [FLT:] [FLT: 3.
Tiếp tục bảo trì và văn hóa của sự riêng tư
Huấn luyện đội của bạn
Nhân viên thường là mối liên kết yếu nhất trong việc bảo vệ dữ liệu.
- Nhận ra thư điện tử, ve vãn và kỹ thuật xã hội
- Xử lý đúng dữ liệu của khách hàng (không để lại màn hình mở khóa, không phải để lại thông tin nhạy cảm không mã hóa, bằng cách dùng truyền tập tin bảo mật cho tài liệu lớn)
- Sau các thủ tục để đáp ứng các yêu cầu truy cập dữ liệu chủ thể (DSARs) và thông báo vi phạm
- Báo cáo các lỗ hổng tình nghi ngay lập tức.
Các phiên họp bằng tài liệu và giữ hồ sơ tham dự. Nghỉ dưỡng thường niên là cách tốt nhất. Khi luật mới hoặc các phán quyết của tòa án ảnh hưởng đến sự tuân thủ, cung cấp cập nhật mục tiêu. Hãy xem xét việc sử dụng một nền tảng đào tạo sự riêng tư như KnowBe4 hoặc SANS Con người.
Giữ sổ sách hoạt động
Ngay cả khi việc kinh doanh nhỏ của bạn được miễn một số yêu cầu tài liệu (v. d., điều 30 của GDPR áp dụng cho các tổ chức với 250+ nhân viên để ghi chép đầy đủ, nhưng các doanh nghiệp nhỏ hơn vẫn phải ghi chép tài liệu cho các dữ liệu nhạy cảm hoặc hoạt động có rủi ro cao, duy trì một hồ sơ xử lý hoạt động (ROPA) là một thói quen tốt. Gồm:
- Tên và liên lạc chi tiết về tổ chức của bạn (điều khiển) và bất kỳ bộ điều khiển chung nào
- Mục đích của việc xử lý
- Loại dữ liệu cho các chủ đề (người quen, nhân viên, nhà cung cấp, v.) và dữ liệu cá nhân
- Loại người nhận (kể cả nước thứ ba hoặc tổ chức quốc tế)
- Giới hạn thời gian để xoá khi có thể (thời gian chú ý)
- Mô tả các biện pháp bảo mật kỹ thuật và tổ chức (TOM)
Một ROPA đã được giữ vững tốt giúp bạn đáp ứng các yêu cầu điều chỉnh, biểu lộ đức tin tốt, và đơn giản hóa sự tuân thủ khi mở rộng ra thị trường mới. cập nhật nó khi bạn thêm một hoạt động xử lý mới.
Xem lại và cập nhật đều đặn
Sự riêng tư của dữ liệu không chỉ là một dự án thời gian. và công nghệ mới được phát triển.
- Kiểm tra xem luật bảo mật mới trong quốc gia hay quốc gia nơi khách hàng cư ngụ. [FLT: 0] Bảng so sánh [FLT: 1] là một tham chiếu hữu ích.
- Cập nhật chính sách riêng tư sau khi có bất kỳ thay đổi vật chất nào về thực hành dữ liệu (công cụ mới, mục đích mới, chia sẻ mới).
- Bộ sưu tập dữ liệu tái phát triển và sự hợp nhất lần thứ ba của Đảng ít nhất hàng năm.
- Kiểm tra kế hoạch phản ứng của bạn với một bài tập trên bàn. Hãy đi qua một trường hợp bị phá vỡ mô phỏng với đội của bạn.
- Xem lại cách tuân theo cookie: như là trình duyệt giai đoạn của cookie thứ ba bên, phong cảnh cho các thay đổi quản lý đồng ý.
Dùng bảng kiểm tra theo dõi lịch hay số để theo dõi các hạn chót và tác vụ. Hãy gán quyền sở hữu cho mỗi mục xem lại.
Những cạm bẫy thông thường và cách tránh chúng
Giả sử bạn nhỏ bé đến nỗi không thể trở thành mục tiêu
Những người quản lý ngày càng tập trung vào những doanh nghiệp nhỏ. nhưng không phải là những doanh nghiệp lớn, mà là những người không có sự tương tác với nhau vẫn mang lại hậu quả, bao gồm những thiệt hại danh tiếng, mất tín nhiệm khách hàng, và những vụ kiện tập thể tiềm năng lòng tin người tiêu dùng khó khăn hơn cho những doanh nghiệp nhỏ để lấy lại. nhiều người điều hành cung cấp sự hướng dẫn và công cụ cụ cụ đặc biệt cho những doanh nghiệp nhỏ sử dụng chúng.
Giữ mình trên một cái băng chuyền bánh quy
Chỉ một băng cờ cookie không đồng nghĩa với việc tuân thủ. Bạn phải có cơ sở hợp lệ để xử lý, thỏa thuận nhà cung cấp thích hợp, và cơ chế quyền người dùng. Băng cờ cookie là chỉ một điểm. Cũng bảo đảm băng cờ của bạn không thả cookie trước khi đồng ý ( biện pháp thứ nhất). Hãy dùng một nền tảng quản lý đồng ý gồm các tập lệnh không cần thiết cho đến khi người dùng đưa ra lựa chọn.
Bỏ qua dữ liệu nhân viên
Trong khi đa số các luật tập trung vào dữ liệu khách hàng, dữ liệu cá nhân nhân nhân được bảo vệ tương đương. Bảo đảm tập tin quan hệ tình dục nhân sự, hệ thống lương, hồ sơ hiệu suất và kiểm tra lai lịch được bao gồm trong phạm vi tuân theo của bạn. Các nhân viên có quyền truy cập, sửa đổi và xóa dữ liệu của họ (mặc dù việc làm có thể bị hạn chế bởi luật công việc hoặc lợi ích hợp pháp).
Hơn dữ liệu đối chiếu trên mạng
Chỉ thu thập dữ liệu thật sự cần thiết cho mục đích kinh doanh của bạn. Không những làm giảm rủi ro, mà còn đơn giản hóa việc tuân thủ các quy tắc thu nhỏ dữ liệu. Áp dụng nguyên tắc thu nhỏ dữ liệu: Đừng thu một số điện thoại nếu bạn chỉ cần gửi lệnh xác nhận bằng email. Thông tin thanh lọc thường xuyên bạn không cần thiết. Đặt thời gian nhất định rõ ràng (v. d., xoá dữ liệu khách hàng 6 tháng sau khi mua xong, trừ khi cần thiết hồ sơ thuế).
Bỏ qua những lời phê bình về bảo vệ dữ liệu
Dưới GDPR, một sự bảo vệ ảnh hưởng dữ liệu (DPIA) cần thiết khi xử lý có thể gây nguy cơ cao cho các đối tượng dữ liệu (v. d., phân tích quy mô lớn, quản lý dữ liệu nhạy cảm, giám sát khu vực công cộng). Các doanh nghiệp nhỏ nên thực hiện DPIA trước khi thực hiện bất kỳ công nghệ mới nào xử lý dữ liệu cá nhân theo cách mới, chẳng hạn như cài đặt CCTV, sử dụng AIbots, hoặc hoạt động phân tích hành vi.
Công nghệ lưu trữ để đạt sự tương xứng
Ngân sách kinh doanh nhỏ rất chặt chẽ, nhưng một số công cụ có thể thu xếp được:
- Trình quản lý consations (CMPs): Công cụ như Cookiebot, Osano, 1 Trust (có liên kết miễn phí cho các nơi nhỏ), và đáng yêu phân tích giúp quản lý đồng ý của cookie, thông tin ghi âm và quét cookie.
- Trình tạo chính sách độc lập: Ibenda, stickly, and Privicies cung cấp các mẫu tùy chỉnh với các cập nhật thông thường cho các thay đổi pháp lý.
- Yêu cầu quản lý chủ đề (DSR): ) Các bảng tính đơn giản hoặc phần mềm dành riêng cho phần mềm như DataGrail hoặc Transcend (tắt không có dây buộc). Đối với âm lượng thấp, một email chia sẻ với mẫu có thể hoạt động.
- Quản lý rủi ro Vendor: Dùng bảng tính để theo dõi DPA, xác thực bảo mật, và các bộ xử lý phụ. Công cụ như Vendr hoặc Vanta (tách trung tâm, nhưng có thể được giảm xuống).
- Bản đồ:) tự động phát hiện dữ liệu các công cụ như Securiti, BigID, hoặc thậm chí một quá trình hướng dẫn sử dụng bảng tính.
Chọn những công cụ tích hợp với đống công nghệ đã có. Nhiều nền tảng CRM và eccommerce (Shopize, Squarespace, Wix) bây giờ gồm các tính năng cơ bản của riêng tư, có khả năng xem lại thiết lập của họ. Ví dụ, Sở hữu có các trang riêng tư của khách hàng cho CCPA và GDPR.
Cũng hãy xem xét việc sử dụng một khuôn khổ riêng tư theo thiết kế. khi đánh giá phần mềm mới, hãy hỏi nhà cung cấp về việc quản lý dữ liệu trước khi phạm tội.
Kết luận: Quyền riêng tư như một lợi thế đấu tranh
Kết hợp với luật mới về việc tránh phạt, không chỉ là việc tránh các công ty bảo vệ dữ liệu, mà những người tiêu dùng ngày càng chọn làm ăn với các tổ chức mà họ tin tưởng. bằng cách minh bạch về các thực hành dữ liệu, tôn trọng sự lựa chọn của người tiêu dùng, và bảo vệ thông tin cá nhân, những doanh nghiệp nhỏ của bạn có thể nổi bật trong một thị trường đông đúc.
Bắt đầu từ hôm nay với một cuộc kiểm toán đơn giản. thu thập dữ liệu, cập nhật chính sách riêng tư, và huấn luyện đội ngũ của bạn. khi bạn lớn lên, các tiến trình chính thức hơn. đầu tư được trả cho sự trung thành khách hàng, giảm rủi ro pháp lý, và hiệu quả hoạt động - các dữ liệu và các quá trình rõ ràng mang lại lợi ích cho doanh nghiệp của bạn bằng nhiều cách ngoài tầm tuân thủ.
Hãy nhớ rằng, không nhất thiết phải đạt được sự hoàn hảo trong một đêm, nhưng sự tiến bộ, chứ không phải sự hoàn hảo, là mục tiêu, hãy dùng tài nguyên do các nhà điều hành và chuyên gia tư vấn cung cấp để hướng dẫn bạn.
Để đọc thêm, hãy nhắc đến sự hướng dẫn chính thức từ mục riêng ) và ) Liên hiệp Quốc gia về chuyên gia (IAPP) .