GDPR atitikties kontrolinis sąrašas svetainių savininkams: nuo duomenų žemėlapio iki incidentų per 72 val.

GDPR (General Data Protection Regulation) jau seniai tapo kasdienybe visiems, kurie valdo svetaines, aplikacijas ar SaaS ir vienaip ar kitaip tvarko ES gyventojų asmens duomenis. Nesvarbu, ar turi mažą tinklaraštį, ar e. komerciją su tūkstančiais klientų – jei renkama, saugoma ar perduodama informacija apie identifikuojamus asmenis, reikalavimai galioja.

Svarbu ir tai, kad GDPR taikomas ne tik ES įmonėms: jei tavo verslas už ES ribų, bet tvarkai ES gyventojų duomenis, taikymas išlieka. O už neatitiktį numatytos sankcijos realios: baudos gali siekti iki 20 mln. € arba 4% metinės pasaulinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).

Žemiau – išsamus, praktiškai pritaikomas GDPR atitikties kontrolinis sąrašas svetainių savininkams. Struktūra sąmoningai tokia, kad galėtum pereiti nuo inventorizacijos (ką turi) iki procesų (kaip valdai) ir iki įgyvendinimo (kokie konkretūs žingsniai svetainėje).

Kas yra GDPR ir kam jis taikomas

GDPR – tai ES taikomas asmens duomenų apsaugos reglamentas, įsigaliojęs 2018-05-25. Jis nustato taisykles, kaip organizacijos renka, naudoja, saugo ir dalijasi asmens duomenimis. Reglamentas taikomas tiek ES viduje, tiek už ES ribų, jei tvarkomi ES gyventojų asmens duomenys.

Pirmas žingsnis: suprask savo vaidmenį (Controller vs Processor)

Prieš pradedant tvarkyti dokumentus ar diegti slapukų banerius, reikia aiškiai suprasti, kokį vaidmenį turi tavo organizacija. GDPR čia naudoja tris kertines sąvokas.

• Data Controller (duomenų valdytojas): organizacija, kuri nusprendžia, kodėl ir kaip tvarkomi asmens duomenys. Ji paprastai turi pagrindinę atsakomybę už GDPR atitiktį.
• Data Processor (duomenų tvarkytojas): trečioji šalis, kuri tvarko asmens duomenis valdytojo vardu. Tvarkytojui taip pat taikomi techniniai ir organizaciniai saugumo reikalavimai.
• Data Subject (duomenų subjektas): asmuo, kurio duomenys renkami ir tvarkomi. GDPR esmė – apsaugoti jo teises.

Praktikoje vienas verslas gali būti ir valdytojas, ir tvarkytojas skirtinguose procesuose (pvz., savo klientų atžvilgiu esi valdytojas, o teikdamas paslaugą kitai įmonei – tvarkytojas).

7 GDPR principai, kuriuos verta turėti prieš akis

Kad kontrolinis sąrašas nebūtų tik „tickbox“ pratimas, naudinga įsiminti reglamento principus – jie atsikartoja visur: nuo formų iki retention period.

1. Lawfulness, fairness, and transparency: tvarkyk duomenis teisėtai, sąžiningai ir skaidriai informuok, kaip jie naudojami.
2. Purpose limitation: rink duomenis tik aiškiais, teisėtais, konkrečiais tikslais.
3. Data minimization: rink tik minimumą, kuris realiai reikalingas.
4. Accuracy: duomenys turi būti tikslūs ir atnaujinami.
5. Storage limitation: nelaikyk ilgiau nei būtina.
6. Integrity and confidentiality: saugok nuo neautorizuotos prieigos tinkamomis saugumo priemonėmis.
7. Accountability: turėk galimybę įrodyti atitiktį (procesai, žurnalai, sutartys, politika).

Pilnas GDPR atitikties kontrolinis sąrašas

Duomenys (Data)

1) Turi visų asmens duomenų tipų sąrašą: šaltinis, dalinimasis, paskirtis, saugojimo terminas

Taikoma: Data Controller, Data Processor

Tai turi būti realus inventorius, ką iš tikrųjų laikai (pvz., vardas, pavardė, adresas, el. paštas, IP, mokėjimo identifikatoriai ir pan.). Kiekvienam duomenų tipui užfiksuok: iš kur duomenys gaunami, su kuo jais daliniesi, kam jie naudojami ir kiek laiko laikomi.

Reference: GDPR Article 30 – Records of processing activities

2) Turi vietų sąrašą, kur laikai asmens duomenis, ir duomenų srautų tarp jų žemėlapį

Taikoma: Data Controller, Data Processor

Čia svarbu nepamiršti, kad „vietos“ nėra vien tik DB. Tai gali būti MySQL/PostgreSQL, logų sistema, CRM, el. pašto įrankis, failų saugykla, helpdesk, analitikos platforma, taip pat offline laikmenos (pvz., popieriniai dokumentai). Duomenų srautai (data flows) tarp šių vietų turi būti aiškiai suprantami.

Reference: GDPR Article 30 – Records of processing activities

3) Turi viešai prieinamą privatumo politiką, aprašančią visus su asmens duomenimis susijusius procesus

Taikoma: Data Controller, Data Processor

Privatumo politika turi apimti, kaip tvarkai asmens duomenis, ir aiškiai nurodyti (arba turėti nuorodas į) duomenų tipus bei vietas, kur jie laikomi. Esminė idėja: žmogus turi suprasti, kas vyksta su jo duomenimis.

Reference: GDPR Article 30 – Records of processing activities

4) Privatumo politikoje nurodytas teisėtas pagrindas (lawful basis), kodėl apskritai tvarkai duomenis

Taikoma: Data Controller

Vien tik „mes renkame duomenis“ nepakanka. Turi būti aiškus pagrindas, pvz., sutarties vykdymas (contract performance) ar kitas Article 6 numatytas teisėtumo pagrindas.

Reference: GDPR Article 6 – Lawfulness of processing

Atskaitomybė ir valdymas (Accountability & Management)

5) Paskirtas Data Protection Officer (DPO), jei to reikalauja situacija

Taikoma: Data Controller, Data Processor

DPO nėra privalomas visiems. Jis reikalingas tik trimis atvejais:

1. Duomenų tvarkymas vykdomas viešosios valdžios institucijos ar įstaigos, išskyrus teismus, kai jie veikia vykdydami teisminę funkciją.
2. Pagrindinė veikla reikalauja reguliaraus ir sistemingo duomenų subjektų stebėjimo dideliu mastu (regular and systematic monitoring on a large scale).
3. Pagrindinė veikla apima didelio masto specialių kategorijų duomenų (sensitive data) pagal Article 9 arba duomenų apie teistumą ir nusikalstamas veikas pagal Article 10 tvarkymą.

Jei DPO privalomas, jis turi išmanyti GDPR gaires ir tavo vidinius procesus, kuriuose tvarkomi asmens duomenys.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Sprendimų priėmėjai (vadovai, produktas, marketingas) supranta GDPR gaires

Taikoma: Data Controller, Data Processor

Tai „organizacinis“ punktas, bet praktiškai jis išsprendžia daug problemų. Jei sprendimus priimantys žmonės turi aktualias žinias, mažiau šansų, kad bus paleistas funkcionalumas, kuris renka per daug duomenų ar neturi teisėto pagrindo.

Reference: GDPR Article 25 – Data protection by design and by default

7) Techninė sauga atnaujinta ir atitinka „privacy by design“ logiką

Taikoma: Data Controller, Data Processor

Ypač SaaS atveju verta remtis saugumo checklistais kaip startine baze ir užsitikrinti, kad techninės priemonės (access control, patching, hardening, monitoring) realiai veikia, o ne egzistuoja tik dokumentuose.

Reference: GDPR Article 25 – Data protection by design and by default

8) Darbuotojai apmokyti duomenų apsaugos (awareness) temomis

Taikoma: Data Processor

Dalis saugumo incidentų įvyksta ne dėl „nulaužimo“, o dėl social engineering ar netyčinio veiksmų sekos. Jei žmonės turi prieigą prie vidinių sistemų, jie turi suprasti rizikas ir tipinius scenarijus.

Reference: GDPR Article 25 – Data protection by design and by default

9) Turi sub-processors sąrašą ir privatumo politikoje aiškiai nurodai, kad juos naudoji

Taikoma: Data Processor

Jei kaip tvarkytojas pasitelki kitus tvarkytojus (sub-processors), klientai turi būti informuoti, ir jų sutikimas turi būti gautas per privatumo politikos priėmimą.

Reference: GDPR Article 28 – Processor

10) Jei veiki už ES ribų – paskirtas atstovas ES (EU representative)

Taikoma: Data Controller, Data Processor

Jei verslas įsteigtas ne ES, bet renka / tvarko ES piliečių duomenis, reikia paskirti atstovą vienoje iš ES valstybių narių. Šis asmuo turi tvarkyti su duomenų tvarkymu susijusius klausimus; svarbu, kad priežiūros institucija galėtų su juo susisiekti.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Asmens duomenų saugumo pažeidimus (breaches) praneši institucijai ir duomenų subjektams

Taikoma: Data Controller, Data Processor

Pažeidimus reikia pranešti vietinei priežiūros institucijai per 72 valandas. Pranešime turi būti: kokie duomenys prarasti / nutekinti, kokios pasekmės ir kokios atsakomosios priemonės pritaikytos. Jei nutekėję duomenys nebuvo šifruoti (encrypted), paprastai reikia informuoti ir patį duomenų subjektą.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Turi sutartis su kiekvienu duomenų tvarkytoju, kuriam perduodi duomenis

Taikoma: Data Controller

Sutartyje turi būti aiškios instrukcijos dėl duomenų saugojimo / tvarkymo: tvarkymo objektas ir trukmė, pobūdis ir tikslas, asmens duomenų tipai, duomenų subjektų kategorijos, taip pat valdytojo teisės ir pareigos. Praktiškas pavyzdys – sutartis su hostingo tiekėju.

Tie patys reikalavimai galioja ir tada, kai tvarkytojas pasitelkia sub-processor, kad įgyvendintų tvarkymo veiklas valdytojo vardu.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

Naujos teisės (New Rights) – ką turi užtikrinti tavo procesai

13) Vartotojai lengvai gali paprašyti prieigos prie savo asmens duomenų

Taikoma: Data Controller, Data Processor

Turi būti apibrėžtas procesas, kaip tvarkai duomenų subjekto prieigos prašymus (access requests): kanalai, atsakingi asmenys, terminai, autentifikavimas, ką ir kokiu formatu pateiki.

Reference: GDPR Article 15 – Right of access by the data subject

14) Vartotojai gali atnaujinti / ištaisyti savo duomenis, kad jie būtų tikslūs

Taikoma: Data Controller, Data Processor

Reikia mechanizmo, leidžiančio pataisyti netikslius duomenis (rectification). Tai gali būti paskyros nustatymai, support workflow ar kita praktiška priemonė.

Reference: GDPR Article 16 – Right to rectification

15) Automatiškai ištrini duomenis, kurių verslui nebereikia

Taikoma: Data Controller, Data Processor

Retention neturi būti „amžinas“. Praktinis pavyzdys: automatiškai ištrinti klientų duomenis, kurių sutartys nebuvo pratęstos ir nėra kito teisėto pagrindo laikyti duomenis.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Vartotojai lengvai gali paprašyti ištrinti jų asmens duomenis (right to be forgotten)

Taikoma: Data Controller, Data Processor

Turi būti aiškus procesas, kaip priimi ir įgyvendini prašymus ištrinti duomenis: ką trini, ko negali trinti dėl teisinių prievolių, kaip informuoji apie rezultatą.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Vartotojai gali paprašyti apriboti duomenų tvarkymą

Taikoma: Data Controller, Data Processor

Apribojimas (restriction) reiškia, kad vartotojas turi teisę laikinai sustabdyti tam tikrą tvarkymą, kol, pavyzdžiui, išsprendžiami tikslumo ar teisėtumo klausimai.

Reference: GDPR Article 18 – Right to restriction of processing

18) Vartotojai gali paprašyti savo duomenų perkeliamumo (data portability) sau arba trečiajai šaliai

Taikoma: Data Controller, Data Processor

Perkeliamumas reiškia, kad duomenys turi būti pateikiami struktūrizuotu, plačiai naudojamu ir mašininio nuskaitymo formatu (machine-readable), kad vartotojas galėtų persikelti pas kitą paslaugos teikėją.

Reference: GDPR Article 20 – Right to data portability

19) Vartotojai gali nesutikti su profiliavimu ar automatizuotu sprendimų priėmimu

Taikoma: Data Controller

Tai aktualu tik tada, jei darai profiling ar kitą automatizuotą sprendimų priėmimą, galintį turėti poveikį asmeniui.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

Sutikimas (Consent)

20) Jei tvarkymas paremtas sutikimu – jis laisvas, konkretus, informuotas ir atšaukiamas

Taikoma: Data Controller

Jei svetainė renka asmens duomenis remdamasi sutikimu, turi būti aiški nuoroda į privatumo politiką ir vartotojas turi aiškiai patvirtinti sąlygas. Sutikimas turi būti aktyvus veiksmas (affirmative action) – iš anksto pažymėti checkbox’ai negalimi.

Reference: GDPR Article 7 – Conditions for consent

21) Privatumo politika parašyta aiškiai ir suprantamai

Taikoma: Data Controller

Tekstas turi būti aiškus, paprastas ir neturėti paslėptų intencijų. Jei politika neaiški, tai gali panaikinti patį susitarimą. Jei paslaugos skirtos vaikams, politika turi būti pakankamai paprasta ir jiems.

Reference: GDPR Article 7.2 – Conditions for consent

22) Sutikimą atšaukti turi būti taip pat paprasta, kaip jį duoti

Taikoma: Data Controller

Jei sutikimą duoti užteko vieno paspaudimo, jo atšaukimas neturėtų reikalauti support ticket’o ir savaitės laukimo.

Reference: GDPR Article 7.3 – Conditions for consent

23) Jei tvarkai vaikų duomenis – patikrink amžių ir gauk globėjo sutikimą

Taikoma: Data Controller

Jei vaikui mažiau nei 16 metų, turi užtikrinti, kad sutikimą davė teisėtas globėjas. Jei sutikimas gaunamas per svetainę, reikia bandyti įsitikinti, kad patvirtinimas tikrai gautas iš globėjo (o ne iš vaiko).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Atnaujinus privatumo politiką – informuoji esamus klientus

Taikoma: Data Controller

Pavyzdžiui, el. paštu praneši apie būsimus pakeitimus ir paprastai paaiškini, kas pasikeitė.

Reference: GDPR Article 7 – Conditions for consent

Peržiūros ir tęstinumas (Follow-up)

25) Reguliariai peržiūri politiką: pokyčiai, efektyvumas, duomenų tvarkymo pokyčiai, šalių pokyčiai, kur keliauja duomenys

Taikoma: Data Controller

Realybėje keičiasi tiek tavo produktas, tiek įrankiai (sub-processors), tiek tarptautinės sąlygos. Todėl būtina periodiškai peržiūrėti praktiką ir dokumentaciją, kad ji atspindėtų faktinę būseną.

Reference: GDPR Article 25 – Data protection by design and by default

Specialūs atvejai (Special Cases)

26) Žinai, kada privalai atlikti DPIA, jei tvarkymas yra didelės rizikos

Taikoma: Data Controller

Tai aktualu, kai vykdomas didelio masto duomenų tvarkymas, profiliavimas ar kita veikla, galinti kelti didelę riziką žmonių teisėms ir laisvėms. Tokiais atvejais atliekamas Data Protection Impact Assessment (DPIA).

Reference: GDPR Article 35 – Data protection impact assessment

27) Duomenis už ES ribų perduodi tik ten, kur užtikrinamas tinkamas apsaugos lygis

Taikoma: Data Controller, Data Processor

Cross-border perdavimus turi atskleisti privatumo politikoje. Perduodant į šalis, kurios nelaikomos „adequate“, naudojami Standard Contractual Clauses (SCCs) arba Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Duomenų subjektų teisės (User Rights / Data Subject Rights) – ką privalai užtikrinti visiems

Žemiau – teisių rinkinys, kuris galioja visiems Data Subjects (asmenims, kurių duomenys tvarkomi). Tai naudinga turėti kaip „reikalavimų sąrašą“ kuriant support procesus, account settings, export/deletion funkcijas ir privatumo politiką.

Teisė į skaidrią informaciją (transparent information)

Valdytojas turi imtis tinkamų priemonių, kad pateiktų informaciją apie tvarkymą glaustai, skaidriai, suprantamai ir lengvai prieinama forma, naudodamas aiškią ir paprastą kalbą; ypač, kai informacija skirta vaikui. Informacija pateikiama raštu ar kitomis priemonėmis, įskaitant, kai tinka, elektronines priemones.

Reference: GDPR Article 12

Teisė gauti konkrečią informaciją, kai duomenys renkami tiesiogiai

Kai asmens duomenys renkami iš paties asmens, turi būti pateikta ši informacija:

1. Valdytojo tapatybė ir kontaktiniai duomenys
2. DPO kontaktai (kai taikoma)
3. Tvarkymo tikslai ir teisinis pagrindas
4. Teisėti interesai, kurių siekia valdytojas (kai taikoma)
5. Asmens duomenų gavėjai arba gavėjų kategorijos
6. Informacija apie perdavimus į trečiąsias šalis

Reference: GDPR Article 13

Teisė gauti konkrečią informaciją, kai duomenys renkami ne tiesiogiai

Jei duomenys gaunami ne iš duomenų subjekto, analogiška informacija taip pat privaloma, papildomai nurodant tvarkomų duomenų kategorijas ir duomenų šaltinį.

Reference: GDPR Article 14

Teisė susipažinti (right of access)

Asmuo turi teisę gauti patvirtinimą, ar jo duomenys tvarkomi, ir prieigą prie:

• Tvarkymo tikslų
• Asmens duomenų kategorijų
• Gavėjų, kuriems duomenys buvo ar bus atskleisti
• Numatyto saugojimo laikotarpio
• Teisių į rectification, erasure, restriction ir objection egzistavimo
• Teisės pateikti skundą priežiūros institucijai
• Informacijos apie duomenų šaltinį (jei nebuvo gauti iš subjekto)
• Automatizuoto sprendimų priėmimo, įskaitant profiliavimą, egzistavimo

Reference: GDPR Article 15

Teisė į duomenų ištaisymą (right to rectification)

Asmuo turi teisę be nepagrįsto delsimo ištaisyti netikslius duomenis ir papildyti neišsamius.

Reference: GDPR Article 16

Teisė į ištrynimą (right to erasure / right to be forgotten)

Asmuo turi teisę reikalauti ištrynimo, kai:

1. Duomenys nebereikalingi pirminiam tikslui
2. Atšaukiamas sutikimas ir nėra kito teisinio pagrindo
3. Asmuo paprieštarauja tvarkymui ir nėra viršesnių teisėtų pagrindų
4. Duomenys buvo tvarkomi neteisėtai
5. Duomenis privaloma ištrinti vykdant teisinę prievolę
6. Duomenys buvo surinkti teikiant informacinės visuomenės paslaugas vaikui

Reference: GDPR Article 17

Teisė apriboti tvarkymą (right to restriction of processing)

Asmuo turi teisę reikalauti apribojimo, kai:

1. Ginčijamas duomenų tikslumas (laikotarpiui, kol patikrinama)
2. Tvarkymas neteisėtas, bet asmuo prieštarauja ištrynimui
3. Valdytojui duomenys nebereikalingi, bet asmeniui reikia teisiniams reikalavimams
4. Asmuo paprieštaravo tvarkymui, kol tikrinami teisėti pagrindai

Reference: GDPR Article 18

Teisė būti informuotam apie rectification/erasure/restriction

Valdytojas turi pranešti kiekvienam gavėjui, kuriam duomenys buvo atskleisti, apie bet kokį ištaisymą, ištrynimą ar apribojimą, nebent tai neįmanoma arba reikalauja neproporcingų pastangų.

Reference: GDPR Article 19

Teisė į duomenų perkeliamumą (right to data portability)

Asmuo turi teisę gauti duomenis struktūrizuotu, plačiai naudojamu ir mašininio nuskaitymo formatu bei perduoti juos kitam valdytojui be trukdymo.

Reference: GDPR Article 20

Teisė paprieštarauti (right to object)

Asmuo turi teisę bet kada paprieštarauti tvarkymui, grindžiamam teisėtu interesu ar viešuoju interesu, įskaitant profiliavimą, dėl su jo situacija susijusių priežasčių.

Reference: GDPR Article 21

Teisė nebūti automatizuoto sprendimo objektu

Asmuo turi teisę nebūti sprendimo, grindžiamo vien automatizuotu tvarkymu (įskaitant profiliavimą), objektu, jei toks sprendimas sukelia teisines pasekmes arba daro panašiai reikšmingą poveikį.

Reference: GDPR Article 22

Praktiniai įgyvendinimo žingsniai svetainėje

1) Užtikrink svetainės saugumą (security baseline)

• Įsidiek SSL sertifikatą ir naudok HTTPS, kad šifruotum duomenis tarp naršyklės ir serverio
• Naudok stiprius slaptažodžius visoms administratoriaus paskyroms
• Papildomai apsaugok mokėjimų duomenų tvarkymą (ypač aktualu e. komercijai)
• Naudok CDN tiekėją, kuris padeda apsisaugoti nuo DDoS atakų
• Diek anti-virus / anti-malware sprendimus, kad sumažintum neautorizuotos prieigos riziką
• Mažink duomenų rinkimą – rink tik tai, kas būtina
• Pseudonimizuok arba anonimizuok asmens duomenis prieš saugojimą, kai įmanoma
• Daryk atsargines kopijas (backups) keliose saugiose vietose
• Trink duomenis, kai jų nebereikia

2) Įdiek slapukų (cookie) sutikimo banerį, kuris realiai valdo įkėlimą

Jei naudoji nebūtinus (non-essential) cookies, prieš aktyvuodamas juos turi gauti aiškų sutikimą. Vadinasi, vien informacinis baneris, kuris nieko neblokuoja, dažnai nepadės.

Cookie baneris turi:

• Blokuoti slapukus iki sutikimo: krauti tik būtinus cookies, kol vartotojas nepasirenka
• Naudoti paprastą, aiškią kalbą: paaiškinti, kokie cookies naudojami ir kodėl
• Rodyti lygiaverčius Accept/Reject mygtukus: neatstumti „Reject“ opcijos
• Siūlyti granular pasirinkimus: leisti rinktis pagal kategorijas
• Leisti atšaukti sutikimą: suteikti paprastą būdą vėliau pakeisti nustatymus
• Fiksuoti sutikimą: saugoti pasirinkimus su timestamp, kad galėtum įrodyti atitiktį

3) Peržiūrėk visas svetainės formas (forms)

Kiekviena forma, kuri renka asmens duomenis (kontaktai, registracija, checkout, newsletter, support), turi būti sutvarkyta pagal GDPR logiką.

• Įdėk privatumo pareiškimą, kodėl reikalingi duomenys
• Pridėk nepažymėtą checkbox’ą sutikimui
• Marketingui turėk atskirą opt-in (atskiras sutikimas, ne „į vieną krūvą“)
• Įdėk nuorodą į Privacy Policy
• Naudok aiškią, paprastą kalbą

4) Marketingo el. laiškai: sutikimai, įrodymai ir atsisakymas

• Tik aiškus opt-in: atskiras, nepažymėtas checkbox’as el. laiškų sutikimui
• Double opt-in: prenumeratos patvirtinimas el. laišku
• Sutikimų apskaita (records): loguok datą, laiką, metodą ir tikslą
• Aiški unsubscribe nuoroda: vieno paspaudimo atsisakymas kiekviename laiške
• Atsisakymus apdorok greitai: idealiu atveju per 24 val.

5) Pasiruošimas incidentams (data breaches)

• Pranešk priežiūros institucijai per 72 valandas
• Informuok paveiktus vartotojus, jei jų teisėms kyla didelė rizika
• Dokumentuok viską (accountability): kas įvyko, kada sužinota, kokie duomenys, kokios priemonės
• Atnaujink politiką ir priemones, kad sumažintum pasikartojimo riziką

WordPress specifika: ką patikrinti pirmiausia

Jei svetainė sukurta su WordPress, dalis GDPR atitikties tiesiogiai priklauso nuo naudojamų temų ir įskiepių (plugins), nes jie dažnai renka duomenis, krauna third-party skriptus ar įdiegia cookies.

• Laikyk WordPress core, temas ir įskiepius atnaujintus
• Naudok GDPR-friendly kontaktų formų įskiepius, kurie leidžia įdėti sutikimo checkbox’us
• Įsidiek pilnavertį cookie consent sprendimą (su blokavimu iki sutikimo)
• Naudok GDPR-compliant analytics sprendimą
• Peržiūrėk įskiepių duomenų rinkimo praktiką (ką siunčia ir kur)
• Įgyvendink vartotojo duomenų eksportą ir ištrynimą (export/deletion) kaip realią funkciją, ne vien el. pašto pažadą

Baudos ir kitos pasekmės

GDPR sankcijos dažnai minimos dėl baudų, bet reali rizika gali būti ir operacinė (draudimas tvarkyti duomenis, nurodymas trinti duomenis, ribojami perdavimai).

• Lower tier violations: iki 10 mln. € arba 2% metinės pasaulinės apyvartos
• Upper tier violations: iki 20 mln. € arba 4% metinės pasaulinės apyvartos

Be baudų, institucijos gali: išduoti įspėjimus, laikinai ar visam laikui uždrausti tvarkyti duomenis, nurodyti ištrinti duomenis arba apriboti tarptautinius perdavimus.

DUK: dažniausi klausimai apie GDPR atitiktį

Kas yra GDPR compliance checklist?

GDPR atitikties kontrolinis sąrašas – tai veiksmų rinkinys, padedantis įgyvendinti General Data Protection Regulation reikalavimus. Jis padeda identifikuoti spragas ir susitvarkyti duomenų apsaugos praktiką.

Kas atsakingas už GDPR atitiktį?

Pagrindinė atsakomybė tenka duomenų valdytojui (dažniausiai svetainės / verslo savininkui). Duomenų tvarkytojai taip pat turi savo prievoles ir atsakomybę.

Ar GDPR galioja JAV (US) verslams?

Taip – jei tvarkai ES gyventojų asmens duomenis, nepriklausomai nuo to, kur įsikūręs verslas.

Kokia maksimali bauda už neatitiktį?

Iki 20 mln. € arba 4% metinės pasaulinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).

Ar man reikia cookie banerio?

Taip, jei svetainė naudoja nebūtinus (non-essential) slapukus ir turi lankytojų iš ES.

Ar man reikia Data Protection Officer (DPO)?

Tik jei: (1) esi viešoji institucija, (2) pagrindinė veikla reikalauja didelio masto, sistemingo asmenų stebėjimo, arba (3) dideliu mastu tvarkai sensitive data (Article 9) ar duomenis apie teistumą / nusikalstamas veikas (Article 10).