Обратите внимание: представленная ниже информация не является юридической консультацией и предназначена только для информационных целей.
Когда вы в последний раз читали политику конфиденциальности? Я имею в виду действительно прочитать это. Не просто быстро прокрутить вниз и просмотреть последние несколько слов, нажав кнопку «Я согласен».
Полагаю, ответ - никогда.
По данным опроса Deloitte, в котором приняли участие 2 000 потребителей, 91% людей соглашаются с юридическими условиями оказания услуг, не читая их. Эта цифра возрастает до 97% для людей в возрасте от 18 до 34 лет.
Потому что люди не знают, как читать политику конфиденциальности, чтобы по-настоящему понять ее, или потому, что длина и объем политик конфиденциальности, с которыми мы сталкиваемся, слишком велики, факт заключается в том, что большинство людей не читают политики конфиденциальности. прежде чем принять их.
Когда вы слышите «политика конфиденциальности», вы можете подумать о длинной странице юридического жаргона, по которой вам придется перейти, чтобы перейти к нужному приложению или веб-сайту. Но это нечто большее. Политика конфиденциальности - это часть того, как вы берете на себя ответственность за защиту вашей личной информации, которая передается в Интернете.
Как компании, которые хотят завоевать доверие нашей аудитории, мы должны показать, что мы заботимся о том, чтобы наши пользователи могли защитить свои личные данные и получать информацию о том, как их данные используются, хранятся и защищаются.
Прогресс в стране конфиденциальности
Как человек, увлеченный вопросами конфиденциальности данных, я давно мечтал о том дне, когда люди будут читать политику конфиденциальности и фактически привлекать к ответственности компании.
Поскольку из-за недавней пандемии и карантина мы перенесли так много наших ежедневных взаимодействий в онлайн, все больше людей, наконец, начинают обращать внимание на свою конфиденциальность в Интернете.
Хотя нам еще предстоит пройти долгий путь, чтобы заставить людей проводить собственные исследования, прежде чем отправлять личные данные в приложения и на веб-сайты, введение таких правил, как GDPR и CCPA, вынудило предприятия сделать шаг в этом направлении. правильное направление с конфиденциальностью данных.
Однако многие организации по-прежнему думают о политике конфиденциальности второстепенно.
Люди, не читающие подробно политику конфиденциальности, не делают ее наличие менее важным. Они защищают ваш бизнес от потенциальных судебных исков и огромных штрафов в случае раскрытия данных. Кроме того, то, что люди не читают правила подробно, не означает, что они на самом деле не заботятся о защите своих данных.
Кроме того, недавний переход почти всех повседневных действий в виртуальную версию из-за COVID-19 вызвал у пользователей больший интерес к конфиденциальности данных.
Кто знает, возможно, люди даже начнут читать политику конфиденциальности, прежде чем нажать «принять».
Переход в онлайн и связанные с ним риски
Пока мы отчаянно пытались перевести наш бизнес, наши школы и даже наши семейные обеды в онлайн в первые дни пандемии, многие люди и предприятия не смогли внимательно оценить риски для конфиденциальности, связанные с их действиями.
Киллиан Киран, генеральный директор и основатель компании Ethyca, занимающейся конфиденциальностью, написал в Harvard Business Review: «Во всех отраслях команды, обладающие опытом работы в реальных сферах, устремляются в цифровые отрасли, где они являются новичками и привлекают огромное количество пользователей. данные в новые системы».
Именно это и произошло.
Чтобы пережить пандемию и быстро освоить бизнес в новом виртуальном мире, многие компании были вынуждены освоить множество новых инструментов, о которых они очень мало знали.
От переноса личных мероприятий в онлайн до приема бесконтактных платежей предприятия внедряли новые технологии с угрожающей скоростью и редко проводили необходимую комплексную проверку того, насколько хорошо эти новые инструменты защищают данные и личную информацию, которые они собирают.
К сожалению, каждое решение, принимаемое для перехода к виртуальному опыту, означает риск неправильного управления данными или раскрытия личной информации.
Помимо проверки того, что правила конфиденциальности сторонних инструментов являются законными и соответствуют вашим собственным, вы также несете ответственность за информирование своих клиентов и подписчиков о любых обновлениях того, как вы обрабатываете, храните или защищаете их личные данные. информация.
Каждый раз, когда вы переводите часть своего бизнеса в Интернет, не продумав тщательно, как управляются данные, используемые в этом процессе, вы рискуете раскрыть и взломать эти данные.
Хотя это может показаться второстепенной проблемой, которую нужно решать после наступления кризиса, на самом деле это не так.
Нарушение конфиденциальности может привести ко всему: от кошмаров с пиаром до крупных штрафов и даже судебных исков.
Включение медицинской информации в уравнение
Это нечто большее, чем просто использование новых инструментов для бизнес-операций.
Многие организации также собирают и делятся совершенно новым типом информации, с которым они раньше не сталкивались: личной медицинской информацией.
Из-за COVID-19 многие организации собирают такую информацию, как температура и известное воздействие на людей, у которых есть положительный результат на вирус. Им также поручено сообщать о положительном результате теста тем, кто мог подвергнуться прямому заражению.
Например, если у сотрудника положительный результат теста на COVID-19, может возникнуть необходимость раскрыть эту информацию другим сотрудникам, которые могли контактировать с этим человеком на работе.
Однако эта информация не может быть раскрыта без согласия человека.
Вы также должны быть уверены, что любая информация о человеке, связанная с COVID-19, хранится в безопасности, а доступ ограничен только теми, у кого есть разрешение на ее получение.
Возможно, вашему предприятию потребуется разработать политику и процедуры раскрытия любой информации о сотрудниках, связанной с COVID-19.
Хотя политика конфиденциальности не обязательно должна быть написана профессиональным юристом, вам следует проконсультироваться с человеком, знакомым с практикой и правилами конфиденциальности онлайн-данных, чтобы убедиться, что ваша политика охватывает все, что необходимо.
Далее в этой статье вы найдете несколько советов и инструментов, которые помогут вам.
Следует ли вам обновить политику конфиденциальности?
Давайте вернемся на минутку. Прежде всего, что такое политика конфиденциальности?
Политика конфиденциальности - это заявление, в котором объясняются типы личной информации, которую вы собираете от пользователей вашего веб-сайта, а также то, как вы используете, храните и раскрываете эту информацию.
Требования вашей политики конфиденциальности зависят от того, где вы находитесь, где находятся ваши клиенты и какой тип информации вы собираете.
Хотя в США нет национального закона о конфиденциальности, такого как GDPR Европейского Союза, Федеральная торговая комиссия (FTC) примет меры против любой компании, поведение которой противоречит ее политике конфиденциальности.
ФТК больше внимания уделяет защите потребителей, чем конфиденциальности, но эти две вещи быстро становятся одним и тем же, поскольку большая часть нашей жизни теперь проходит в Интернете.
Это означает, что у вашего бизнеса могут возникнуть большие проблемы, если вы не отнесетесь к этому серьезно.
Из-за потенциальных финансовых и репутационных рисков, которые утечка данных может повлечь за собой для организации, многие компании предпринимают необходимые шаги для обновления своей практики и политики в связи с изменениями, вызванными COVID-19.
Примеры последних обновлений политики конфиденциальности
Возьмем, к примеру, Uber. Поскольку служба совместного использования поездок осознала необходимость предупреждать пассажиров или водителей, если они контактировали с кем-то, у кого был положительный результат теста на COVID-19, она выпустила для клиентов уведомление о политике конфиденциальности, в котором подробно указано, как она будет это делать.
Мой коворкинг, Industious, опубликовал отличную обновленную политику конфиденциальности, специально касающуюся новых процедур в связи с COVID-19, которые включают ежедневное измерение температуры участников по прибытии.
Политика описывает, как они хранят и передают эту информацию, в кратком и простом, но всеобъемлющем заявлении. Он охватывает необходимые элементы, включая способы хранения, защиты и обмена вашими данными.
Я уверен, что в какой-то момент во время карантина вы использовали Zoom для встреч онлайн.
Хотя Zoom был одним из самых популярных приложений, к которым люди стекались в начале кризиса в области здравоохранения, вскоре компанию раскритиковали за многие сомнительные методы обеспечения конфиденциальности, в том числе обвинения в продаже личных данных, анализе пользовательских видео для рекламы. и отслеживание внимания людей во время звонков.
Компания обновила свою политику конфиденциальности, чтобы уточнить некоторые элементы, и заявила, что некоторые функции, такие как отслеживание внимания, будут полностью отключены.
Хотя функция отслеживания внимания была не такой уж страшной, как ее представляло большинство людей, Zoom понимал, что пользователи чувствуют себя в опасности, и знали, что пришло время действовать.
Хотя внесение изменений в вашу политику конфиденциальности может показаться пугающим или даже ненужным (кто вообще будет их читать?), наличие точной, актуальной и простой для понимания политики конфиденциальности может спасти вас от огромных штрафов и судебных исков. дорога.
Все, что нужно, - это один информированный человек, чтобы поставить под сомнение вашу политику конфиденциальности и соблюдение заявленной вами политики (или ее отсутствия).
Не ждите снисходительности регулирующих органов из-за COVID
В зависимости от тех, кто следит за соблюдением правил, быть снисходительным в связи с нынешним климатом - не самый безопасный вариант. На самом деле, они, вероятно, будут более строгими из-за быстрого и рискованного перехода к преимущественно виртуальному бизнесу.
The Marriott Hotel Group была оштрафована на 123 миллиона долларов еще в 2019 году за непроведение необходимой комплексной проверки в отношении сбора и хранения данных. Риск быть оштрафованным только возрастает по мере появления новых правил, таких как CCPA.
Генеральный прокурор Калифорнии Ксавье Бесерра пресек попытки отложить введение в действие CCPA, заявив: «Мы стремимся обеспечить соблюдение закона начиная с 1 июля. Мы призываем предприятия в это время особенно внимательно относиться к безопасности данных». чрезвычайной ситуации.»
Правила реальны, и их важно соблюдать, независимо от того, где вы находитесь или где ведете бизнес.
Зная, что менее строгие правила не станут менее строгими, вы можете избежать совершенно ненужного риска и предотвратимых штрафов, проверив, что ваша политика конфиденциальности точна, актуальна для сторонних поставщиков и проста для понимания.
Это даже не должно быть трудоемкой или непосильной задачей. Вы можете уважать конфиденциальность своих подписчиков и минимизировать риск раскрытия данных, выполнив несколько простых шагов.
Как можно легко проверить и обновить свою политику конфиденциальности
Есть несколько вещей, которые вы можете сделать, чтобы легко проверить свою политику конфиденциальности и внести необходимые обновления. Эти довольно простые шаги помогут защитить вашу компанию и данные вашей аудитории.
Посмотрите, как ваши новые сторонние поставщики обрабатывают данные и конфиденциальность
Независимо от того, добавили ли вы платежное решение, платформу для вебинаров или даже начали показывать рекламу впервые (особенно, если вы впервые начали показывать рекламу), важно понимать, как каждое решение фиксирует, хранит и защищает данные, с которыми сталкивается.
Возможно, вам придется обновить свою собственную политику конфиденциальности, чтобы учитывать любые обновления, связанные с вашими новыми инструментами. Крайне важно работать только со сторонними поставщиками, которым вы доверяете и с политикой конфиденциальности которых вы ознакомились.
Одно важное, на что следует обратить внимание: ваши сторонние решения не должны передавать данные по субподряду другому обработчику данных, если вы не дали им специальное указание сделать это.
Это единственный способ быть уверенным, что ваш бизнес юридически защищен от любых действий субподрядного поставщика с данными.
Проведите оценку собственных методов работы с данными
Базовая оценка риска, хотя и немного утомительна, заставляет критически задуматься о принятии решений, которые повлияют на использование, хранение, обмен и многое другое ваших данных.
Кроме того, если вам в конечном итоге будет предъявлено обвинение в нарушении конфиденциальности, у вас будет документация, подтверждающая, что вы приняли меры для снижения риска разоблачения.
Существуют даже различные шаблоны оценки воздействия на защиту данных, например, этот, предоставленный Управлением комиссара по информации Великобритании.
Сделайте свою политику конфиденциальности такой, чтобы люди действительно ее понимали
Две вещи, к которым вам следует стремиться в своей политике конфиденциальности, - это ясность и простота. Хотя вам необходимо охватить все необходимые аспекты, касающиеся данных, которые вы собираете, обрабатываете и храните, вы можете сделать это в простом и понятном формате.
Ваша политика конфиденциальности должна быть доступна всем читателям, а не только тем, кто знаком с юридическим жаргоном. Цель вашей политики конфиденциальности - помочь людям доверять вашей организации, а не быть настолько двусмысленной, чтобы из-за отсутствия ясности что-то могло сойти вам с рук.
Прекрасным примером тщательности и ясности является политика конфиденциальности Slack.
Если ваша политика конфиденциальности настолько устарела или сложна для понимания, что вы хотите начать с нуля, я настоятельно рекомендую проверить Termageddon.
Они помогают вам создавать политики, которые автоматически обновляются при изменении законов и пишутся реальными людьми, а не сгенерированы алгоритмом.
У них есть простой в использовании и всеобъемлющий генератор политики конфиденциальности, который я использовал и нашел фантастическим.
Примечание редактора: IMPACT может получить компенсацию от Termageddon, если вы зарегистрируетесь, используя ссылку, включенную в эту статью. Это никоим образом не влияет на нашу рекомендацию.
Убедитесь, что в вашей организации есть кто-то, кто отвечает за защиту данных
Как и в большинстве случаев, если нет одного человека, ответственного за «владение вещью», этого, скорее всего, не произойдет. Это еще более важно в такие времена, когда изменения происходят быстро и все легко проваливается.
Когда вы назначаете кого-то ответственным за решения, касающиеся данных, это означает, что всегда будет кто-то, кто будет следить за тем, чтобы данные не были упущены из виду в процессе.
Официально этого человека часто называют офицером по защите данных или DPO. Даже если вы не назначаете официального DPO в своей организации, кто-то должен быть основным контактным лицом, с которым следует проконсультироваться, прежде чем принимать какое-либо решение относительно данных или поставщиков.
Даже если ответственное лицо не очень хорошо разбирается в законах и положениях о конфиденциальности данных, вам нужен кто-то, кто будет конечным владельцем, который будет следить за тем, чтобы эти вопросы действительно были решены, даже если это означает обращение в юридический отдел вашей организации. представитель.
В идеале, это тот, кто страстно любит данные или достаточно заинтересован, чтобы оставаться в курсе этой темы, но не обязательно делать это всей своей работой.
Я делаю это ради ВОЗДЕЙСТВИЯ!
Защищен ли ваш бизнес точной политикой конфиденциальности?
Поскольку все больше людей начинают более внимательно следить за своей конфиденциальностью в Интернете, готовы ли вы разработать политику конфиденциальности, распространяющуюся на ваш бизнес?
Назначьте кого-нибудь в вашей организации ответственным за ваши методы обеспечения конфиденциальности данных и проконсультируйтесь с ним, прежде чем принимать какие-либо дальнейшие решения относительно технологий и данных.
Рассмотрите возможность проведения аудита всех инструментов, которые вы используете, и того, какие именно данные вы собираете, как они хранятся и как они защищены.
Убедитесь, что ваша политика конфиденциальности обновлена, включая любые изменения, которые вы могли внести в связи с переводом определенных частей вашего бизнеса в онлайн или внедрением новых цифровых решений для сбора, хранения или обработки личной информации.
Наконец, убедитесь, что ваша политика конфиденциальности легкодоступна и понятна, и что она доступна вашей аудитории.