Kako ustvariti politiko zasebnosti, ki ščiti vaše podjetje in vaše stranke

V skladu z zakonom o zasebnosti, a politiko zasebnosti je izjava ali pravni dokument, ki razkriva nekatere ali vse načine, na katere stranka zbira, uporablja, razkriva in upravlja podatke stranke ali stranke. Običajno podjetja delijo te podatke o strankah/strankah s svojimi poslovnimi partnerji tretjih oseb. Z letnim obveščanjem strank/strank prek obvestil po pošti o praksah zasebnosti podjetja v zvezi z zbiranjem in distribucijo podatkov o strankah/odjemalcih, ki so v upravljanju podjetja, podjetja izpolnjujejo zakonsko zahtevo za zaščito strankine oz. zasebnost. Na primer, tukaj je Googlov pravilnik o zasebnosti.

Skrbniki podatkov znotraj organizacije, predvsem IT, so stalno odgovorni za ohranjanje varnosti in zasebnosti podatkov podjetja.

Politike zasebnosti informacij so skupaj pomembne za IT, uradnike za skladnost in druge v podjetju, ker če stranke/stranke obvestijo podjetje, da ne želijo zbiranja ali posredovanja njihovih osebnih podatkov, morajo podjetja upoštevati te odločitve; podatkov o teh osebah ni mogoče prodati ali posredovati drugim.

V organizacijah, kjer so podatki o strankah/strankah izjemno občutljivi, na primer v zavarovalništvu, finančnih storitev in zdravstvenega varstva morajo delavci paziti na zaščito zasebnosti, tako da informacije niso nehote v skupni rabi.

Kako uporabljati te smernice pravilnika

Kako razvijate in vzdržujete svojo politiko zasebnosti, se bo razlikovalo glede na vaše podjetje, vaše stranke in panogo, v kateri ste. Spodnje smernice so razdeljene na splošne kategorije, ki jih morate upoštevati pri skrbnem pregledu, ko oblikujete svojo politiko zasebnosti. Odvisno od vaše poslovne aplikacije bodo ključne točke znotraj vsake teme za vas imele različne stopnje pomena. Osredotočite se na tiste smernice, ki so neposredno pomembne za vaš poslovni model, ko oblikujete politiko, ki ustreza okoliščine vašega podjetja, vendar ne pozabite pregledati drugih tem, da ne spregledate drugega pomembnega področja.

Kdo bi moral sodelovati

Politika zasebnosti je notranja zadeva, ki zadeva ravnanje zaposlenih z občutljivimi informacijami, vendar ima tudi pomemben vpliv in posledice za vaše zunanje deležnike, ne glede na to, ali so to vaš upravni odbor in vlagatelji, vaši poslovni partnerji tretjih oseb ali stranke. Zato bi morala interdisciplinarna ekipa sodelovati pri razvoju politike, da bi temeljito pokrila vsa področja zasebnosti. Ta ekipa mora vključevati:

• IT
• Skrbnik podatkov podjetja
• Skladnost
• Administrativni del podjetja, ki zagotavlja, da je podjetje aktualno in skladno z regulativnimi smernicami glede zasebnosti
• Pravno osebje, ki je seznanjeno z zakonodajo in najnovejšo sodno prakso o zasebnosti ter bi moralo vedno zagotoviti prispevek in skrbno preučiti osnutke ali revizije zasebnosti, preden so uzakonjeni
• Poslovni partnerji tretjih oseb, ki morda želijo uporabiti vaše podatke o strankah za trženje ali raziskave, vendar morajo razumeti omejitve informacij, ki jim jih lahko posredujete
• Poslovne funkcije/pogodbeniki pomožnega osebja, ki potrebujejo dostop do občutljivih informacij, ker neposredno vplivajo na njihove sposobnosti opravljati svoje delo (npr. "gostujoči" kirurg potrebuje dostop do bolnikove zdravstvene anamneze pri pripravi na občutljivo operacijo).

Elementi, ki jih je treba zajeti v politiki zasebnosti

Zasebnost je vprašanje, ki prekriva pravne funkcije/skladnost, trženje/odnose z javnostmi in IT do te mere, da morajo številne elemente obravnavati meddisciplinarne ekipe. Elementi, ki bi jih moral obravnavati pravilnik o zasebnosti, vključujejo:

• Zaveze do strank/deležnikov
• Kako se zbirajo in uporabljajo podatki o strankah
• Kako se delijo podatki o strankah
• Kako se spremlja dejavnost računa stranke
• Kako se podatki o strankah posredujejo tretjim osebam
• Zaščita podatkov in varnost
• Izbire privolitve ali zavrnitve, ki jih lahko stranke sprejmejo glede svojih podatkov
• Pravice zasebnosti strank
• Kontaktni podatki podjetja za stranke z vprašanji o zasebnosti
• Podatki za prijavo
• Skladnost z zasebnostjo
• Prakse zasebnosti zaposlenih
• Hranjenje podatkov
• Te elemente je mogoče razvrstiti v dve splošni kategoriji:
• Komunikacije in trženje
• Pravo, skladnost in IT.

Komunikacije in trženje

Zaveze do strank/deležnikov

Izjava o politiki zasebnosti, ki jo podjetja izdajo svojim strankam, se mora začeti z izjavo o stališču podjetja o tem, kako bo zaščitilo podatke o strankah. Številna podjetja uporabljajo to začetno točko pravilnika, da strankam pojasnijo, da bodo njihovi podatki šifrirani in shranjeni na varnem in varnem - ter da podatki ne bodo prodani drugim. Podjetje tudi navaja, da bosta politika zasebnosti in dostop do nje strankam vedno na voljo in da bodo stranke o tem obveščene ob vsaki spremembi politike.

Kako se zbirajo in uporabljajo podatki o strankah

Politika zasebnosti, izdana strankam, mora razložiti, kako namerava podjetje uporabiti podatke o strankah (npr. za izboljšanje izdelki) in katere podatke o strankah namerava podjetje zbrati v ta namen (podatki o računu stranke, brskanje zgodovina itd.). Če namerava podjetje uporabiti/zbirati podatke o lokaciji ali osebne podatke, ki se nahajajo na lokalnih napravah uporabnikov, je treba tudi to razkriti.

Kako se delijo podatki o strankah

Politika zasebnosti podjetja mora strankam povedati, katere organizacije namerava podjetje deliti svoje podatke o strankah. Običajno so to podružnice ali tretji poslovni partnerji podjetja, za katere meni, da bi predstavljali dodano vrednost za stranke.

Izbire privolitve ali zavrnitve, ki jih lahko stranke sprejmejo glede svojih podatkov

Politika zasebnosti mora strankam razložiti, kakšne so njihove izbire privolitve ali zavrnitve za ohranjanje zasebnosti njihovih podatkov. Na primer, podjetja lahko strankam dajo možnost, da se odločijo (ali odjavijo) za ponudbe oglaševalcev oz poslovnim partnerjem tretjih oseb ali da zavrnejo anonimizacijo svojih podatkov o strankah za namene analitike poročanje.

Pravice zasebnosti strank

Stranke morajo biti obveščene o svojih pravicah do zasebnosti po zakonu. Na primer, lahko imajo pravico zahtevati informacije o tem, ali je podjetje razkrilo osebne podatke tretji osebi strankam in katerim tretjim osebam, za namene trženja ali ali je podjetje prodalo katere koli njihove osebne podatke brez njih soglasje.

Kontaktni podatki podjetja za stranke z vprašanji o zasebnosti

Podjetje mora strankam vedno posredovati e-poštni naslov, telefonsko številko in fizični naslov, da se lahko stranke obrnejo nanj z vprašanji ali povratnimi informacijami o politiki zasebnosti.

Pravo, skladnost in IT

Kako se spremlja dejavnost računa stranke

Podjetja pogosto uporabljajo piškotke za sledenje, s katerih spletnih mest uporabniki prihajajo in katera spletna mesta gredo, potem ko obiščejo spletno stran podjetja. Poleg tega je mogoče aktivnosti uporabe spremljati na sami spletni strani podjetja. Kako se ti piškotki uporabljajo za sledenje dejavnostim uporabnikov, je treba razložiti v pravilniku o zasebnosti, skupaj z dejstvom, da lahko uporabniki deaktivirajo sledenje piškotkom, če se tako odločijo. Preden pa je pravilnik objavljen uporabnikom, morajo pravna služba, služba za skladnost, trženje in IT opredeliti, katerim vzorcem dejavnosti uporabnikov je treba slediti in kako se uporabljajo informacije o sledenju.

Kako se podatki o strankah posredujejo tretjim osebam

Interno, pravni, skladni in IT bi morali razviti politike in standarde, ki urejajo, kako bodo informacije o strankah posredovane tretjim osebam in kakšna zaščita zasebnosti bo izvedena. Pri prizadevanjih za skupno trženje, kjer je stranka obveščena in se lahko odjavi od deljenja osebnih podatkov informacije, s katerimi lahko podjetje deli neposredne podatke o strankah in kontaktne podatke poslovni partnerji. V drugih primerih, kot so podatki o analitiki podatkov, ki so ponujeni v prodajo, se lahko od podjetja zahteva anonimizirajo stike in informacije posameznih strank, tako da podatkov ni mogoče izslediti posamezniki.

Zaščita podatkov in varnost

Varnostne ukrepe, varno hrambo in zaščito podatkov za namene zasebnosti je treba opredeliti kot politiko in kot postopke, ki se aktivirajo v IT, ki je skrbnik podatkov. Prakse IT bi morale upoštevati smernice in standarde, ki izvirajo iz pravnih virov in virov skladnosti.

Dnevniški podatki

IT kot del upravljanja omrežja vzdržuje strežniške dnevnike, ki samodejno zbirajo in shranjujejo podrobnosti o tem, kako so uporabniki uporabljali spletne storitve podjetja; njihove telefonske in/ali IP naslove, čas stika, trajanje stika itd.; vrsto uporabljenega brskalnika ter ure in datume njihovih zahtev za storitev; in informacije, zbrane s piškotki na spletnem mestu. Z vidika zasebnosti morajo IT, pravna služba in služba za skladnost določiti, kako naj se te informacije uporabljajo interno, kako jih je treba zaščititi pred zagotavljajo zasebnost in varnost posameznikov, ki uporabljajo spletno stran podjetja, in pod katerimi okoliščinami bo dovoljeno deliti to informacije.

Prakse zasebnosti zaposlenih

Pri podjetjih v zelo občutljivih panogah informacij o strankah (zdravstvo, finance, zavarovalništvo itd.) se lahko od zaposlenih pogosto zahteva, da komunicirajo s strankami na spletu, po telefonu ali osebno. V teh časih se lahko delijo občutljivi podatki. V skladu s priporočili svojih pravnih oddelkov in oddelkov za skladnost bi moralo imeti podjetje nabor pisnih politik, ki urejajo, kako naj ravnajo z zaposlenimi. strank in njihovih zasebnih podatkov, ki ga spremlja usposabljanje vseh zaposlenih, ki so na funkcijah, ki se soočajo s strankami in/ali prihajajo v stik z občutljivimi informacije. Podobne pravilnike o zasebnosti in postopke je treba sprejeti za osebje IT, ki je zadolženo za upravljanje in dostop do zasebnih podatkov o strankah. Kot del tega procesa mora IT vzdrževati obsežne dnevnike, ki spremljajo dostop zaposlenih, IT in poslovnih partnerjev do podatkov o strankah.

Skladnost z zasebnostjo

Podjetja bi morala razviti politike in postopke, ki minimalno zagotavljajo letne revizije varnosti informacij in zasebnosti strank in druge informacije, ključne za podjetje, z revizijskimi cikli, ki obravnavajo in dokumentirajo vse spremembe obstoječe zasebnosti informacij vaje.

Hranjenje podatkov

IT bi moral skupaj s poslovnimi uporabniškimi področji, skladnostjo in pravnim redom vsako leto pregledati politike hrambe podatkov ter po potrebi narediti in dokumentirati revizije. Hranjenje podatkov posebej obravnava, kako dolgo bo občutljiva zgodovina strank ohranjena v shrambah podatkov podjetja.

Razvoj in izvajanje politike

Revizijski cikli in skladnost s predpisi

Podjetja bi se morala posvetovati s pravnimi svetovalci, regulatorji in revizorji, da ugotovijo, kaj je treba revidirati na področjih zasebnosti informacij. V nekaterih primerih imajo lahko podjetja tudi postopke notranje revizije, ki jih izvajajo njihove lastne skupine za revizijo in skladnost. Kot del postopka revizije in skladnosti morajo podjetja sprejeti ukrepe za zagotovitev, da so njihove politike zasebnosti posodobljene z najnovejša regulativna pravila in pravila skladnosti ter da so posodobitve pravilnikov pravočasno izdane strankam, poslovnim partnerjem in drugim deležniki.

Posodobitve pravilnika in odobritve

Posodobitve pravilnika o zasebnosti je treba izdati takoj po odobritvi. Seznam odobritvenih podpisov za te posodobitve mora biti dogovorjen znotraj podjetja in mora biti v celoti izveden, preden začne veljati katera koli posodobitev pravilnika. Vse posodobitve pravilnika je treba spremljati s takojšnjo izdajo, skupaj z izobraževanjem/usposabljanjem za zaposlene, na katere pravilnik vpliva. Za vsak pravilnik je treba vzdrževati zgodovinski zapis vseh posodobitev.

Politike, ki jih podpišejo zaposleni

Kot del novega procesa usmerjanja zaposlenih je treba zahtevati, da se zaposleni namestijo na položaje, ki vključujejo vprašanja zasebnosti. da se udeležijo usposabljanja, preberejo pravilnike in potrdijo, da so prebrali vse pravilnike o zasebnosti, preden začnejo naloge. Voditi je treba evidenco vseh odjav zaposlenih.

Kršitve in kazni

Kršitve politike zasebnosti lahko povzročijo resne posledice za zaposlene in podjetje. Zaradi tega bi morali biti zaposleni obveščeni, da lahko kršitev politik zasebnosti povzroči disciplinske ukrepe vključno z odpovedjo zaposlitve in civilnim in/ali kazenskim pregonom v skladu z zvezno in/ali državno zakonodajo zakoni. Zaposleni, ki prevzemajo odgovornosti, ki vključujejo varovanje zasebnih podatkov, bi morali biti dolžni preberejo in podpišejo izjavo podjetja o kršitvah in kaznih, preden začnejo opravljati svoje naloge. Podjetje bi moralo hraniti evidenco teh podpisanih potrdil zaposlenih, da so prebrali in razumeli memorandum o kršitvi/kazni.

Glej tudi

• Raziskovalci predlagajo metodo za sledenje koronavirusu prek pametnih telefonov ob varovanju zasebnosti
• Spoznajte NordSec: podjetje, ki stoji za NordVPN, želi biti vaša zbirka zasebnosti na enem mestu
• AI: Kdo je odgovoren za zasebnost?
• Podjetja s slabo prakso varovanja zasebnosti so 80 % bolj nagnjena k kršitvi podatkov (TechRepublic)
• Atlas ID ponuja pot do varnejšega delovnega mesta, osredotočeno na zasebnost (TechRepublic)