Ako vytvoriť zásady ochrany osobných údajov, ktoré chránia vašu spoločnosť a vašich zákazníkov

Podľa zákona o ochrane súkromia a zásady ochrany osobných údajov je vyhlásenie alebo právny dokument, ktorý odhaľuje niektoré alebo všetky spôsoby, akými strana zhromažďuje, používa, zverejňuje a spravuje údaje zákazníka alebo klienta. Spoločnosti zvyčajne zdieľajú tieto údaje o zákazníkoch/klientoch so svojimi obchodnými partnermi tretích strán. Každoročným informovaním zákazníkov/klientov prostredníctvom zaslaných oznámení o postupoch spoločnosti týkajúcich sa ochrany osobných údajov týkajúcich sa zhromažďovania a distribúcie údajov o zákazníkoch/klientoch, ktoré sú pod správou spoločnosti, spoločnosti spĺňajú zákonnú požiadavku na ochranu zákazníka alebo klienta súkromia. Napríklad tu je Zásady ochrany osobných údajov spoločnosti Google.

Správcovia údajov v rámci organizácie, najmä IT, sú priebežne zodpovední za udržanie firemných údajov v bezpečí a súkromí.

Súhrnne sú zásady ochrany osobných údajov dôležité pre IT, pracovníkov zodpovedných za dodržiavanie predpisov a ostatných v podniku, pretože ak zákazníci/klienti informujú spoločnosť, že si neželajú zhromažďovanie alebo zdieľanie ich osobných údajov, spoločnosti sa musia riadiť tieto rozhodnutia; údaje o týchto osobách nemožno predávať ani distribuovať iným osobám.

V organizáciách, kde sú údaje o zákazníkoch/klientoch mimoriadne citlivé, napríklad v poisťovníctve, finančnom sektore služby a zdravotnú starostlivosť musia pracovníci uplatňovať ochranu súkromia, aby k informáciám nedošlo neúmyselne zdieľané.

Ako používať tieto zásady

Spôsob, akým vytvoríte a budete udržiavať svoje zásady ochrany osobných údajov, sa bude líšiť v závislosti od vašej firmy, vašich zákazníkov a odvetvia, v ktorom pôsobíte. Pokyny uvedené nižšie sú rozdelené do všeobecných kategórií, ktoré by ste mali vziať do úvahy pri svojej povinnej starostlivosti pri vytváraní pravidiel ochrany osobných údajov. V závislosti od vašej obchodnej aplikácie budú mať kľúčové body v rámci každej témy pre vás rôzne stupne dôležitosti. Zamerajte sa na tie usmernenia, ktoré sú priamo relevantné pre váš obchodný model, keď formulujete politiku, ktorá spĺňa okolnosti vašej spoločnosti, ale nezabudnite si prečítať ostatné témy, aby ste neprehliadli inú relevantnú oblasť.

Kto by mal byť zapojený

Zásady ochrany osobných údajov sú internou záležitosťou, ktorá sa týka správania zamestnancov s citlivými informáciami, ale má tiež významný vplyv a dôsledky pre vaše vonkajšie zainteresované strany, či už sú to vaše predstavenstvo a investori, vaši obchodní partneri tretích strán alebo vaši zákazníkov. Preto, aby sa dôkladne pokryli všetky oblasti súkromia, interdisciplinárny tím by mal spolupracovať pri tvorbe politiky. Tento tím by mal zahŕňať:

• IT
• Správca údajov o podnikových informáciách
• Súlad
• Administratívna časť spoločnosti, ktorá zabezpečuje aktuálnosť a súlad spoločnosti s regulačnými pokynmi na ochranu súkromia
• Právny personál, ktorý je aktuálny v oblasti legislatívneho práva a nedávnej judikatúry v oblasti ochrany súkromia a mal by vždy poskytnúť vstupné informácie a vykonať náležitú starostlivosť o návrhoch alebo revíziách ochrany osobných údajov pred ich prijatím
• Obchodní partneri tretích strán, ktorí môžu chcieť použiť informácie o vašich zákazníkoch na marketing alebo prieskum, ale musia pochopiť limity informácií, ktoré im môžete poskytnúť
• Pomocní zamestnanci obchodných funkcií/dodávatelia, ktorí potrebujú prístup k citlivým informáciám, pretože to priamo ovplyvňuje ich schopnosti vykonávať svoju prácu (napr. „hosťujúci“ chirurg vyžaduje prístup k pacientovej anamnéze pri príprave na jemnú operáciu).

Položky, na ktoré sa majú vzťahovať zásady ochrany osobných údajov

Súkromie je problém, ktorý sa prekrýva s právnymi/dodržiavacími predpismi, marketingovými/public relations a IT funkcie do takej miery, že mnoho prvkov musia riešiť medzidisciplinárne tímy. Prvky, ktoré by mala politika ochrany osobných údajov riešiť, zahŕňajú:

• Záväzky voči zákazníkom/zainteresovaným stranám
• Ako sa zhromažďujú a používajú informácie o zákazníkoch
• Ako sa zdieľajú informácie o zákazníkoch
• Ako sa sleduje aktivita zákazníckeho účtu
• Ako sa informácie o zákazníkoch poskytujú tretím stranám
• Ochrana a bezpečnosť údajov
• Voľby prihlásenia alebo odhlásenia, ktoré môžu zákazníci urobiť s ohľadom na ich informácie
• Práva na súkromie zákazníka
• Kontaktné informácie spoločnosti pre zákazníkov s otázkami o ochrane osobných údajov
• Prihlasovacie údaje
• Súlad s ochranou súkromia
• Postupy ochrany osobných údajov zamestnancov
• Uchovávanie údajov
• Tieto prvky možno rozdeliť do dvoch všeobecných kategórií:
• Komunikácia a marketing
• Právne predpisy, dodržiavanie predpisov a IT.

Komunikácia a marketing

Záväzky voči zákazníkom/zainteresovaným stranám

Vyhlásenie o zásadách ochrany osobných údajov, ktoré spoločnosti vydávajú svojim zákazníkom, by sa malo začínať vyhlásením spoločnosti o tom, ako bude chrániť informácie o zákazníkoch. Mnoho spoločností používa tento počiatočný bod politiky na to, aby zákazníkom vysvetlilo, že ich údaje budú šifrované a uchovávané v bezpečí – a že údaje nebudú predané iným. Spoločnosť tiež uvádza, že zásady ochrany osobných údajov a prístup k nim budú zákazníkom vždy k dispozícii a že kedykoľvek dôjde k zmene zásad, zákazníci budú o tom informovaní.

Ako sa zhromažďujú a používajú informácie o zákazníkoch

Zásady ochrany osobných údajov vydané zákazníkom by mali vysvetľovať, ako spoločnosť plánuje používať informácie o zákazníkoch (napr produkty) a aké informácie o zákazníkoch plánuje spoločnosť na tento účel zhromažďovať (informácie o zákazníckom účte, prehliadanie). história atď.). Ak spoločnosť plánuje použiť/zhromaždiť informácie o polohe alebo osobné údaje, ktoré sa nachádzajú na miestnych zariadeniach používateľov, malo by to byť tiež zverejnené.

Ako sa zdieľajú informácie o zákazníkoch

Zásady ochrany osobných údajov spoločnosti by mali informovať zákazníkov všetkých organizácií, s ktorými spoločnosť plánuje zdieľať informácie o svojich zákazníkoch. Zvyčajne ide o pridružené spoločnosti alebo obchodných partnerov tretích strán, o ktorých sa domnieva, že by pre zákazníkov predstavovali pridanú hodnotu.

Voľby prihlásenia alebo odhlásenia, ktoré môžu zákazníci urobiť s ohľadom na ich informácie

Zásady ochrany osobných údajov by mali zákazníkom vysvetľovať, aké sú ich možnosti prihlásenia alebo odstúpenia na zachovanie súkromia ich údajov. Spoločnosti môžu napríklad poskytnúť zákazníkom možnosť prihlásiť sa (alebo zrušiť) ponuky od inzerentov alebo obchodných partnerov tretích strán alebo odmietnuť anonymizáciu svojich zákazníckych údajov na účely analýzy hlásenia.

Práva na súkromie zákazníka

Zákazníci by mali byť informovaní o svojich právach na súkromie podľa zákona. Môžu mať napríklad právo požadovať informácie o tom, či spoločnosť poskytla osobné údaje tretej osobe stranám a ktorým tretím stranám na marketingové účely alebo či spoločnosť predala akékoľvek ich osobné údaje bez nich súhlas.

Kontaktné informácie spoločnosti pre zákazníkov s otázkami o ochrane osobných údajov

Spoločnosť by mala zákazníkom vždy poskytnúť e-mailovú adresu, telefónne číslo a fyzickú adresu, aby ju zákazníci mohli kontaktovať s akýmikoľvek otázkami alebo spätnou väzbou k zásadám ochrany osobných údajov.

Právne predpisy, dodržiavanie predpisov a IT

Ako sa sleduje aktivita zákazníckeho účtu

Spoločnosti často používajú súbory cookie na sledovanie, z ktorých webových stránok používatelia prichádzajú a na ktoré webové stránky idú po návšteve webovej stránky spoločnosti. Okrem toho je možné aktivity používania sledovať na samotnej webovej stránke spoločnosti. Ako sa tieto súbory cookie používajú na sledovanie aktivít používateľov, by malo byť vysvetlené v zásadách ochrany osobných údajov spolu so skutočnosťou, že používatelia môžu sledovanie súborov cookie zrušiť, ak sa tak rozhodnú. Pred zverejnením politiky používateľom by však právne predpisy, dodržiavanie predpisov, marketing a IT mali definovať, ktoré vzorce aktivity používateľov sa majú sledovať a ako sa majú informácie o sledovaní používať.

Ako sa informácie o zákazníkoch poskytujú tretím stranám

Interne, právne oddelenie, dodržiavanie predpisov a IT by mali vypracovať zásady a normy, ktoré upravujú, ako sa budú informácie o zákazníkoch poskytovať tretím stranám a aké ochrany súkromia budú implementované. V rámci spoločného marketingu, kde je zákazník informovaný a môže zrušiť zdieľanie osobných údajov informácie, s ktorými môže spoločnosť zdieľať priame informácie o zákazníkoch a kontaktné informácie obchodní partneri. V iných prípadoch, ako sú napríklad informácie o analýze údajov ponúkané na predaj, sa od spoločnosti môže vyžadovať anonymizovať jednotlivé kontakty a informácie zákazníkov, aby sa údaje nedali spätne vysledovať jednotlivcov.

Ochrana a bezpečnosť údajov

Bezpečnostné opatrenia, bezpečné ukladanie a ochrana údajov na účely súkromia by sa mali definovať ako zásady a postupy, ktoré sa aktivujú v IT, ktoré je správcom údajov. Postupy v oblasti IT by sa mali riadiť usmerneniami a normami, ktoré vychádzajú z právnych zdrojov a zdrojov dodržiavania predpisov.

Zaznamenať informácie

Ako súčasť správy siete IT vedie serverové protokoly, ktoré automaticky zhromažďujú a ukladajú podrobnosti o tom, ako používatelia používali online služby spoločnosti; ich telefónne a/alebo IP adresy, čas kontaktu, trvanie kontaktu atď.; typ používaného prehliadača a časy a dátumy ich servisných požiadaviek; a informácie zhromaždené súbormi cookie na webovej stránke. Z hľadiska ochrany súkromia by IT, právne predpisy a dodržiavanie predpisov mali definovať, ako sa tieto informácie majú interne použiť, ako sa majú chrániť, aby zaručiť súkromie a bezpečnosť jednotlivcov používajúcich webovú stránku spoločnosti a za akých okolností bude povolené ich zdieľanie informácie.

Postupy ochrany osobných údajov zamestnancov

V prípade spoločností v odvetviach s vysoko citlivými informáciami o zákazníkoch (zdravotníctvo, financie, poisťovníctvo atď.) sa od zamestnancov často vyžaduje, aby komunikovali so zákazníkmi online, telefonicky alebo osobne. Počas týchto období je možné zdieľať citlivé informácie. Na základe odporúčaní svojich právnych oddelení a oddelení dodržiavania predpisov by spoločnosť mala mať súbor písomných zásad, ktoré upravujú, ako sa majú zamestnanci správať. zákazníkov a ich súkromné ​​informácie, sprevádzané školením všetkých zamestnancov, ktorí sú v zákazníckych funkciách a/alebo prichádzajú do kontaktu s citlivými informácie. Podobné zásady a postupy ochrany osobných údajov by sa mali prijať pre pracovníkov IT, ktorí majú za úlohu spravovať a pristupovať k súkromným informáciám o zákazníkoch. V rámci tohto procesu by IT malo viesť rozsiahle protokoly, ktoré sledujú prístup zamestnancov, IT a obchodných partnerov k informáciám o zákazníkoch.

Súlad s ochranou súkromia

Spoločnosti by mali vypracovať zásady a postupy, ktoré minimálne zabezpečia každoročné audity bezpečnosti informácií a súkromia zákazníkov a ďalšie informácie kritické pre podnik, pričom cykly auditu riešia a dokumentujú všetky zmeny existujúcej ochrany osobných údajov praktík.

Uchovávanie údajov

IT spolu s oblasťami podnikových používateľov, dodržiavaním predpisov a právnymi predpismi by mali každoročne kontrolovať zásady uchovávania údajov a podľa potreby vykonávať a dokumentovať revízie. Uchovávanie údajov konkrétne rieši, ako dlho sa bude uchovávať citlivá zákaznícka história v podnikových dátových skladoch.

Vývoj a vykonávanie politiky

Cykly auditu a dodržiavanie predpisov

Spoločnosti by sa mali poradiť so svojimi právnymi poradcami, regulačnými orgánmi a audítormi, aby zistili, čo je potrebné preveriť v oblastiach ochrany osobných údajov. V niektorých prípadoch môžu mať spoločnosti aj postupy interného auditu, ktoré vykonávajú ich vlastné tímy pre audit a dodržiavanie predpisov. V rámci procesu auditu a dodržiavania súladu by spoločnosti mali podniknúť kroky na zabezpečenie toho, aby ich zásady ochrany osobných údajov boli aktuálne najnovšie regulačné pravidlá a pravidlá dodržiavania predpisov a že aktualizácie zásad sa vydávajú zákazníkom, obchodným partnerom a iným včas zainteresovaných strán.

Aktualizácie a schválenia pravidiel

Aktualizácie zásad ochrany osobných údajov by mali byť vydané okamžite po schválení. Zoznam schvaľovacích podpisov pre tieto aktualizácie by mal byť odsúhlasený v rámci spoločnosti a mal by byť plne vykonaný pred tým, ako vstúpi do platnosti akákoľvek aktualizácia pravidiel. Všetky aktualizácie zásad by mali byť sprevádzané okamžitým vydaním spolu so vzdelávaním/školením pre zamestnancov, ktorých sa politika týka. Pre každú politiku by sa mal uchovávať historický záznam všetkých aktualizácií.

Potvrdenia o politike zamestnancami

V rámci nového procesu orientácie zamestnancov by sa malo vyžadovať umiestňovanie zamestnancov na pozície, ktoré zahŕňajú otázky ochrany súkromia absolvovať školenie, prečítať si zásady a podpísať, že si prečítali všetky zásady týkajúce sa ochrany osobných údajov predtým, ako začnú ich úlohy. Mali by sa viesť záznamy o všetkých odhláseniach zamestnancov.

Porušenia a sankcie

Porušenie zásad ochrany osobných údajov môže mať vážne následky pre zamestnancov a pre spoločnosť. Z tohto dôvodu by mali byť zamestnanci informovaní, že porušenie zásad ochrany osobných údajov môže viesť k disciplinárnemu konaniu vedúce k ukončeniu pracovného pomeru a vrátane občianskeho a/alebo trestného stíhania v rámci federálnej a/alebo štátnej správy zákonov. Od zamestnancov, ktorí preberajú povinnosti, ktoré zahŕňajú ochranu súkromných informácií, by sa malo vyžadovať, aby to urobili prečítajte si a podpíšte firemné vyhlásenie o porušeniach a sankciách predtým, ako začnú vykonávať svoje úlohy. Spoločnosť by mala viesť záznam o týchto podpísaných potvrdeniach zamestnancov, že memorandum o porušení/sankciách bolo prečítané a pochopené.

Pozri tiež

• Výskumníci navrhujú metódu sledovania koronavírusu prostredníctvom smartfónov a zároveň chránia súkromie
• Zoznámte sa s NordSec: Spoločnosť za NordVPN chce byť vašou súkromnou súpravou na jednom mieste
• AI: Kto je zodpovedný za súkromie?
• Spoločnosti so zlými praktikami ochrany osobných údajov sú o 80 % náchylnejšie na porušenie ochrany údajov (TechRepublic)
• Atlas ID ponúka cestu na bezpečnejšie pracovisko zameranú na súkromie (TechRepublic)