最后的尝试：检查您的电子商务是否已为 GDPR 做好准备

已发表: 2018-05-24

距离《通用数据保护条例》原则生效只有几个小时的路程。这意味着您仍有很短的时间来检查您的电子商务业务的 GDPR 是否符合欧盟的所有要求。

在这篇文章中，我们将尽力提供有关控制和处理用户个人数据的即将出台的立法的最必要信息。以及包含有用的链接，您可以在其中详细检查 GDPR 的工作原理。您还将在这篇文章的底部找到一份简短的 GDPR 清单，它可能会帮助您避免 2018 年 5 月 25 日之后的巨额罚款。

GDPR：根与果

2010 年，欧盟委员会制定了加强欧盟数据保护规则的战略，并修订了现已过时的欧盟 1995 年数据保护指令和 1998 年英国数据保护法。

他们对欧盟公民进行了一项调查，结果显示，61% 的用户对电子商务网站持有的个人信息隐私感到担忧，而他们一半以上（55%）的担忧是关于在线购物时的欺诈行为。
根据调查，75% 的受访者希望能够随时在线请求和删除他们的个人信息。超过 90% 的人希望在整个欧洲拥有相同的数据保护权利。

订阅以保持关注，并在您的收件箱中获取快速可行的营销技巧。

在 6 年中，欧盟委员会一直在制定用户数据保护原则及其在全球互联网中实施的有效方法。最后，在 2016 年，欧盟议会通过了 GDPR。让我们一般地考虑这些原则。

GDPR 原则

合法性、公正性和透明度
您向访问者提供的所有同意书都应以简单明了的语言书写。以及您的隐私政策和服务条款。您向消费者或潜在客户发送的任何类型的电子邮件都应包含一个“取消订阅”按钮，并包含他们收到您的电子邮件的原因的解释。欧盟要求您的客户必须有权了解您处理的数据的目的、方法和数量。
充分性、相关性和有限性
GDPR 力求最大限度地减少不相关的个人数据和您持有的假名用户数据。您应该只收集您计划在电子邮件营销、冷电子邮件中使用的数据，并摆脱不必要的或被动的联系。
准确性
您持有的个人数据应该是准确和最新的。为确保这一点，您的客户必须有机会随时更改他们的个人信息。他们还可以要求提供有关贵公司处理的个人数据的信息，并行使被遗忘的权利。
存储限制
您不应持有超过处理目的所需的个人数据。无论如何，到目前为止，控制器还没有设置数据保留的时间限制。所以这个原则应该从“被遗忘权”的角度来考虑。
完整性和保密性
未经数据所有者同意，您不得共享或出售您客户的其他人或公司的个人数据。所有公司都对其数据库负责，并应妥善保护其安全。

GDPR 个人数据列表

在法律中，“个人数据”一词被定义为“与活着的、已识别或可识别的自然人有关的任何信息”。这些原则适用于所有持有和跟踪任何欧盟公民数据的公共机构。

因此，如果出现以下情况，GDPR 会关注您：

您的客户和潜在客户是欧盟公民
您的电子邮件订阅者来自欧盟
您的冷电子邮件营销数据库包含欧盟居民的个人数据。

无论您的电子商务网站是使用 WordPress、Magento、WooCommerce 或 Joomla 构建的，还是您在自己的 CMS 中开发的网站，都没有关系。 GDPR 仅涉及您的用户及其个人数据的安全性。

什么是 GDPR 下的“个人数据”：

一个名字;
身份证号码；
位置数据；
Cookie 标识符；
在线标识符；
生物特征数据；
收入;
一个或多个特定于主体的“身体、生理、遗传、心理、经济、文化或社会身份”的因素，可以帮助识别他们的身份。

GDPR 费用

由于对违规行为的巨额罚款，GDPR 原则引起了广泛关注。最高罚款可达 20,000,000 欧元，或上一财政年度全球总营业额的 4%，以较高者为准。这就是为什么大多数大公司决定在 GDPR 合规上花费超过百万美元的原因。
但您应该记住，每种情况都是独一无二的，因此罚款金额将在一对一的基础上进行估算。
一般来说，您的零售公司可能被罚款的主要原因有两个：大量泄露个人数据和侵犯敏感个人数据。

数据保护专家

这是您应该开始的必备步骤（如果您还没有这样做的话）。您的电子商务公司应该有一位熟悉 GDPR 详细信息的律师/律师，并将负责您客户的数据保护。如果您持有和处理具有高泄露风险的敏感数据，或者您预计会出现大规模的数据违规行为，您需要聘请数据保护官。
他们的职责之一是响应客户的投诉并监控您的电子商务网站 GDPR 合规性，尤其是当您的公司正在测试新的解决方案、表单、营销电子邮件、开发新的网站界面或应用程序时。
此外，如果这是系统故障、黑客攻击或任何其他可能对您的客户安全造成严重后果的问题，您的数据保护官（或专家）必须在 72 小时内将数据泄露通知通知 ICO。

GDPR 对电子商务来说是件好事吗？

《通用数据保护条例》能够并将对在线零售行业产生积极影响。因为这可以增强客户的信心和忠诚度，并增加对支付过程的信任。这就是为什么我们建议您通知您的客户，您将以最好的方式保护他们的个人数据保密。

GDPR 电子商务清单

GDPR 的主要文件中有大量的要求和细节。但我们已尝试将最必要的内容包含在此清单中。查看此内容以了解您是否没有遗漏任何要在您的网站、电子邮件、联系表格和每份同意书中实施的内容。

数据保护专家

作为数据处理者，如果您正在处理敏感数据，您已经聘请了数据保护专家或数据保护官。

同意合规清单

您的同意书写得简单明了，以便您的客户可以轻松了解他们的个人信息将被处理的内容和目的，以及清楚地了解他们同意的内容。
您的同意书是明确的。默认情况下，这些不包含预先勾选的框或任何其他同意。
您同意的“回答按钮”不会以其他颜色突出显示。
您的同意书很显眼，与条款和条件部分分开。
您已在表单底部命名您的组织和第三方。
您已指出您的客户可以拒绝此同意。
您已经解释了您的客户如何撤回他们的同意。
如果您期望或知道您的在线客户可能是儿童，您的同意书将包含年龄验证和父母同意请求。

您还可以在此处找到几个如何创建符合 GDPR 的同意书模板的选项。
要获取有关内容要求的更多详细信息，请查看英国的 ICO GDPR 同意指南。

隐私政策 GDPR 合规性清单

您已经查看了您的服务条款和隐私政策。您确信这些都是用清晰的语言为您的客户编写的。隐私政策包括对您处理用户数据的方式的解释以及您用于处理用户数据的任何第三方服务的列表。
您已在您的网站上指出您的客户如何要求您提供他们持有的信息、更改或从您的网站撤回他们的数据。
您已添加说明您的客户如何报告您违反了任何影响他们的 GDPR 原则。
您已经指出，您不会因为客户撤回同意而惩罚他们。
您已将 DPO 的电子邮件地址包含在您的隐私政策中。
您已在网站页脚的显眼位置包含指向您的隐私政策的链接。

管理同意

您会记录您何时、何地以及如何获得每位客户的同意。
您会记录客户向您提供的确切信息。
您已经安排了定期检查关系、处理和目的是否没有改变的时间。
您已经安排了刷新用户数据的时间段。

确保您不会在代码级别将客户的个人数据（包括电子邮件地址、姓名、用户 ID、位置数据、交易 ID、IP 地址）发送到 Google Analytics。 阅读这篇Google 文章以了解更多信息。

不幸的是，用户已经习惯于积极点击大多数同意。这就是为什么我们建议您创建一个额外的重新同意弹出窗口，以确保您的客户了解他们留下的数据。

风险评估

您的数据保护专家团队需要准备一份风险评估——一份他们应该指出公司收集哪些特定数据、处理这些数据的方式和目的的文件。
你分析了你的风险，发现了潜在的弱点，并预测了如果出现问题你的行动。

此文档无需上传到您的网站，但这可能是您在收到投诉时采取行动的强有力的合法依据。

让我们编制一份 GDPR 总结

今天，GDPR 仍处于早期阶段，并将随着时间的推移而发展。尽管如此，就商业透明度的全球趋势而言，现在这是对您的客户的普遍礼貌。

让您的客户决定他们可以留下什么样的个人信息。
帮助他们了解可以处理他们的数据的内容和原因。
让他们知道如何索取个人信息、撤回同意或退订。
请在与听众交谈时使用简单的语言——没有必要要求你的文案人员使用成千上万没有人理解的无用法律术语。
重新设计您的同意书。
仔细定位您的电子邮件营销受众。
为您的数据保护官制定职责。激活他们单独的电子邮件地址。
记录您收到和处理的任何用户信息。
更新您的服务条款和隐私政策文件。