Sådan opretter du en privatlivspolitik, der beskytter din virksomhed og dine kunder

I henhold til privatlivsloven, a Fortrolighedspolitik er en erklæring eller et juridisk dokument, der afslører nogle eller alle de måder, hvorpå en part indsamler, bruger, afslører og administrerer en kundes eller klients data. Typisk deler virksomheder disse kunde-/klientdata med deres tredjeparts forretningspartnere. Ved årligt at informere kunder/klienter via mails om virksomhedens privatlivspraksis vedrørende indsamling og distribution af kunde-/klientdata, der er under virksomhedens ledelse, opfylder virksomheder et lovkrav om at beskytte en kundes eller klients privatliv. For eksempel, her er Googles privatlivspolitik.

Løbende er dataansvarlige i organisationen, primært IT, ansvarlige for at holde virksomhedens data sikre og private.

Samlet set er databeskyttelsespolitikker vigtige for it, compliance officerer og andre i virksomheden, fordi hvis kunder/klienter informerer virksomheden om, at de ikke ønsker deres personlige oplysninger indsamlet eller delt, skal virksomheder overholde disse beslutninger; data om disse personer kan ikke sælges eller distribueres til andre.

I organisationer, hvor kunde-/klientdata er ekstremt følsomme, såsom inden for forsikring, finansiel tjenester og sundhedspleje, skal arbejdstagere praktisere beskyttelse af privatlivets fred, så information ikke utilsigtet sker delt.

Sådan bruger du disse retningslinjer

Hvordan du udvikler og vedligeholder din privatlivspolitik vil variere afhængigt af din virksomhed, dine kunder og den branche, du befinder dig i. Retningslinjerne nedenfor er opdelt i generelle kategorier, som du bør tage hensyn til i din due diligence, når du opbygger din privatlivspolitik. Afhængigt af din virksomhedsapplikation vil nøglepunkterne inden for hvert emne have forskellige grader af betydning for dig. Fokuser på de retningslinjer, der er direkte relevante for din forretningsmodel, mens du formulerer en politik, der opfylder din virksomheds forhold, men sørg for at gennemgå de andre emner, så du ikke overser et andet relevant område.

Hvem skal være med

En privatlivspolitik er et internt anliggende, der vedrører medarbejdernes adfærd med følsomme oplysninger, men den har også betydelig indflydelse og konsekvenser for dine eksterne interessenter, uanset om de er din bestyrelse og investorer, dine tredjeparts forretningspartnere eller dine kunder. Derfor bør et tværfagligt team arbejde sammen om politikudvikling for grundigt at dække alle områder af privatlivets fred. Dette hold bør omfatte:

• DET
• Dataforvalteren af ​​virksomhedsoplysninger
• Overholdelse
• Virksomhedens administrative arm, der sikrer, at virksomheden er aktuel og i overensstemmelse med lovgivningsmæssige retningslinjer for privatlivets fred
• Juridisk personale, som er aktuelt med lovgivning og nyere retspraksis vedrørende privatlivets fred og bør altid give input til og udføre due diligence på udkast eller revisioner af privatlivets fred, før de vedtages
• Tredjeparts forretningspartnere, som måske ønsker at bruge dine kundeoplysninger til markedsføring eller forskning, men som skal forstå grænserne for de oplysninger, du kan give dem
• Adjungeret personale forretningsfunktioner/entreprenører, der har brug for at få adgang til følsomme oplysninger, fordi det direkte påvirker deres evner at udføre deres arbejde (f.eks. kræver en "gæste"-kirurg adgang til en patients sygehistorie for at forberede sig på en delikat operation).

Elementer, der skal dækkes i en privatlivspolitik

Privatliv er et problem, der overlapper juridisk/compliance, marketing/public relations og IT-funktioner i en grad, hvor mange elementer skal behandles af tværfaglige teams. De elementer, som en privatlivspolitik bør behandle omfatter:

• Forpligtelser til kunder/interessenter
• Hvordan kundeoplysninger indsamles og bruges
• Hvordan kundeoplysninger deles
• Hvordan kundekontoaktivitet spores
• Hvordan kundeoplysninger gives til tredjeparter
• Databeskyttelse og sikkerhed
• Til- eller fravalgsvalg, som kunder kan træffe med hensyn til deres oplysninger
• Kundens privatlivsrettigheder
• Virksomhedens kontaktoplysninger til kunder med spørgsmål om privatliv
• Login oplysninger
• Overholdelse af privatlivets fred
• Medarbejdernes privatlivspraksis
• Opbevaring af data
• Disse elementer kan grupperes i to generelle kategorier:
• Kommunikation og markedsføring
• Jura, compliance og IT.

Kommunikation og markedsføring

Forpligtelser til kunder/interessenter

Den fortrolighedspolitik, som virksomheder udsteder til deres kunder, bør begynde med en holdningserklæring fra virksomheden om, hvordan den vil beskytte kundeoplysninger. Mange virksomheder bruger dette udgangspunkt i politikken til at forklare kunderne, at deres data vil blive krypteret og opbevaret sikkert – og at dataene ikke vil blive solgt til andre. Virksomheden oplyser også, at privatlivspolitikken og adgangen til den altid vil være tilgængelig for kunderne, og at hver gang der sker en politikændring, vil kunderne blive underrettet.

Hvordan kundeoplysninger indsamles og bruges

Privatlivspolitikken, der udstedes til kunderne, skal forklare, hvordan virksomheden planlægger at bruge kundeoplysninger (f.eks. for at forbedre produkter) og hvilke kundeoplysninger virksomheden planlægger at indsamle til dette formål (kundekontooplysninger, browsing historie osv.). Hvis virksomheden planlægger at bruge/indsamle de lokalitetsoplysninger eller personoplysninger, der ligger på brugernes lokale enheder, skal dette også oplyses.

Hvordan kundeoplysninger deles

Virksomhedens privatlivspolitik bør fortælle kunderne om alle organisationer, som virksomheden planlægger at dele sine kundeoplysninger med. Typisk er disse datterselskaber eller tredjeparts forretningspartnere til virksomheden, som den mener vil være en værditilvækst for kunderne.

Til- eller fravalgsvalg, som kunder kan træffe med hensyn til deres oplysninger

Privatlivspolitikken bør forklare kunderne, hvad deres til- eller fravalgsvalg er for at bevare privatlivets fred for deres oplysninger. For eksempel kan virksomheder give kunderne mulighed for at tilmelde sig (eller fravælge) tilbud fra annoncører eller tredjeparts forretningspartnere eller at afslå at anonymisere deres kundedata med henblik på analyse rapportering.

Kundens privatlivsrettigheder

Kunder bør informeres om deres privatlivsrettigheder i henhold til loven. For eksempel kan de have ret til at anmode om oplysninger om, hvorvidt virksomheden har videregivet personlige oplysninger til tredjemand parter, og til hvilke tredjeparter, i markedsføringsøjemed eller om virksomheden har solgt nogen af ​​deres personlige oplysninger uden deres samtykke.

Virksomhedens kontaktoplysninger til kunder med spørgsmål om privatliv

Virksomheden bør altid give kunderne en e-mailadresse, et telefonnummer og en fysisk adresse, så kunderne kan kontakte den med spørgsmål eller feedback om privatlivspolitikken.

Jura, compliance og IT

Hvordan kundekontoaktivitet spores

Virksomheder bruger ofte cookies til at spore, hvilke hjemmesider brugerne kommer fra, og hvilke hjemmesider de går til, efter at de har besøgt virksomhedens hjemmeside. Derudover kan brugsaktiviteter spores på selve virksomhedens hjemmeside. Hvordan disse cookies bruges til at spore brugeraktiviteter, bør forklares i privatlivspolitikken, sammen med det faktum, at brugere kan de-implementere cookie-sporing, hvis de vælger det. Inden en politik udgives til brugerne, bør juridisk, compliance, marketing og IT dog definere, hvilke brugeraktivitetsmønstre, der skal spores, og hvordan sporingsoplysninger skal bruges.

Hvordan kundeoplysninger gives til tredjeparter

Internt bør jura, compliance og IT udvikle politikker og standarder, der styrer, hvordan kundeoplysninger leveres til tredjeparter, og hvilke beskyttelser af privatlivets fred, der vil blive implementeret. I co-marketing indsatser, hvor kunden er informeret og kan fravælge deling af personlige oplysninger, kan virksomheden dele direkte kundeoplysninger og kontaktoplysninger med forretningspartnere. I andre tilfælde, såsom dataanalyseoplysninger, der udbydes til salg, kan virksomheden blive forpligtet til at gøre det anonymisere individuelle kundekontakter og oplysninger, så data ikke kan spores tilbage til enkeltpersoner.

Databeskyttelse og sikkerhed

Sikkerhedsforanstaltninger, sikker opbevaring og beskyttelse af data med henblik på privatlivets fred bør defineres som en politik og som procedurer, der aktiveres i IT, som er databevareren. It-praksis bør overholde vejledninger og standarder, der er udstedt fra både juridiske og compliance-kilder.

Logoplysninger

Som en del af netværksstyringen vedligeholder IT serverlogfiler, der automatisk indsamler og gemmer detaljer om, hvordan brugerne brugte virksomhedens onlinetjenester; deres telefon- og/eller IP-adresser, kontakttidspunkt, kontaktvarighed osv.; den anvendte browsertype og tidspunkter og datoer for deres serviceanmodninger; og information indsamlet af cookies på hjemmesiden. Fra et privatlivssynspunkt bør IT, jura og compliance definere, hvordan disse oplysninger skal bruges internt, hvordan de skal beskyttes til garantere privatlivets fred og sikkerhed for personer, der bruger virksomhedens hjemmeside, og under hvilke omstændigheder det vil være tilladt at dele dette Information.

Medarbejdernes privatlivspraksis

For virksomheder i meget følsomme kundeinformationsbrancher (sundhedspleje, finans, forsikring osv.), kan medarbejdere ofte blive bedt om at interagere med kunder online, telefonisk eller personligt. I disse tider kan følsomme oplysninger deles. Vejledt af anbefalingerne fra dets juridiske og compliance-afdelinger bør virksomheden have et sæt skriftlige politikker, der styrer, hvordan medarbejderne skal behandle kunder og deres private oplysninger, ledsaget af træning af alle medarbejdere, der er i kundevendte funktioner og/eller kommer i kontakt med følsomme Information. Lignende privatlivspolitikker og -procedurer bør vedtages for it-personale, som har til opgave at administrere og få adgang til private kundeoplysninger. Som en del af denne proces bør it vedligeholde omfattende logfiler, der sporer medarbejderes, it- og forretningspartneres adgang til kundeoplysninger.

Overholdelse af privatlivets fred

Virksomheder bør udvikle politikker og procedurer, der minimalt sikrer årlige revisioner af informationssikkerhed og privatliv for kunder og andre oplysninger, der er kritiske for virksomheden, med revisionscyklusser, der adresserer og dokumenterer eventuelle ændringer i eksisterende informationsbeskyttelse praksis.

Opbevaring af data

IT bør sammen med forretningsbrugerområder, compliance og jura årligt gennemgå dataopbevaringspolitikker, foretage og dokumentere revisioner efter behov. Dataopbevaring omhandler specifikt, hvor længe følsom kundehistorik vil blive vedligeholdt i virksomhedens datalagre.

Politikudvikling og eksekvering

Revisionscyklusser og overholdelse af lovgivning

Virksomheder bør tjekke med deres juridiske rådgivere, tilsynsmyndigheder og revisorer for at bestemme, hvad der skal revideres inden for områder med privatliv. I nogle tilfælde kan virksomheder også have interne revisionsprocedurer, som deres egne revisions- og complianceteam udfører. Som en del af revisions- og overholdelsesprocessen bør virksomheder tage skridt til at sikre, at deres privatlivspolitikker holdes ajour med seneste lovgivnings- og overholdelsesregler, og at politikopdateringer udsendes rettidigt til kunder, forretningspartnere og andre interessenter.

Politikopdateringer og godkendelser

Opdateringer af privatlivspolitikken bør straks udsendes efter godkendelse. Godkendelsessignaturlisten for disse opdateringer bør godkendes inden for virksomheden og bør udføres fuldt ud, før en politikopdatering sættes i kraft. Alle politikopdateringer bør ledsages af øjeblikkelig udstedelse sammen med uddannelse/træning for medarbejdere, der er berørt af politikken. For hver politik skal der vedligeholdes en historisk registrering af alle opdateringer.

Politikskilte fra medarbejdere

Som en del af den nye medarbejderorienteringsproces bør det kræves, at medarbejdere placeres i stillinger, der involverer privatlivsspørgsmål at modtage træning, læse politikker og underskrive, at de har læst alle politikker vedrørende privatliv, før de begynder deres afleveringer. Der bør føres en fortegnelse over alle medarbejderafmeldinger.

Overtrædelser og sanktioner

Overtrædelser af privatlivspolitikker kan have alvorlige konsekvenser for medarbejdere og for virksomheden. Af denne grund bør medarbejdere informeres om, at overtrædelse af privatlivspolitikker kan resultere i disciplinære handlinger førende til og inklusive opsigelse af ansættelse og civil og/eller strafferetlig forfølgning under føderal og/eller stat love. Medarbejdere, der påtager sig ansvar, der involverer beskyttelse af private oplysninger, bør forpligtes til at gøre det læse og skrive under på virksomhedens erklæring om overtrædelser og sanktioner, før de påbegynder deres opgaver. Virksomheden bør føre en fortegnelse over disse underskrevne medarbejderbekræftelser på, at overtrædelses-/straffememorandummet er blevet læst og forstået.

Se også

• Forskere foreslår en metode til at spore coronavirus gennem smartphones og samtidig beskytte privatlivets fred
• Mød NordSec: Virksomheden bag NordVPN ønsker at være din one-stop privatlivspakke
• AI: Hvem er ansvarlig for privatlivets fred?
• Virksomheder med dårlig privatlivspraksis er 80 % mere tilbøjelige til at lide databrud (TechRepublic)
• Atlas ID tilbyder en privatlivsfokuseret rute til en mere sikker arbejdsplads (TechRepublic)