Termen limită de conformitate cu GDPR: Cum să fii conform în limba engleză simplă

Publicat: 2018-05-15
Roshni Shaikh
Colaborator invitat

Gândiți -vă doar ce a determinat companii precum Google, LinkedIn, Twitter și altele asemenea să-și schimbe termenii și politicile de confidențialitate una după alta. Trebuie să fi observat notificările până acum.

Da, Facebook este deja în lumina reflectoarelor pentru discrepanțele datelor utilizatorilor. Dar uită-te la ce se întâmplă cu toate politicile privind cookie-urile. Companiile își actualizează rapid termenii.

Ce declanșează această frenezie? Desigur, acest lucru se întâmplă din cauza unei legi care a reușit să stârnească lumea afacerilor – GDPR

Legea GDPR a Uniunii Europene intră în vigoare din 25 mai 2018. Acest lucru a fost în știri încă de la înființarea și adoptarea sa de către Parlamentul UE în aprilie 2016.

Legea va afecta afacerile care gestionează o cantitate mare de date. Acest lucru se aplică tuturor datelor cetățenilor UE, indiferent de locația acestora.

Ce este GDPR și de ce este implementat?

În termeni simpli, în calitate de persoană care locuiește în UE, datele mele sunt protejate din cauza GDPR.

GDPR înseamnă Regulamentul general privind protecția datelor. Acesta înlocuiește vechea și învechită Directiva privind protecția datelor din 1995. GDPR este mai relevant astăzi, deoarece multe s-au schimbat într-o perioadă de două decenii.

Progresele tehnologice rapide și procesarea/utilizarea datelor de către companii au condus la realizarea necesității unei legi precum GDPR.

Acest nou regulament intră în vigoare pentru a reda controlul datelor cu caracter personal cetățenilor UE. Acesta este pus în acțiune pentru a controla capacitatea unei companii de a exploata datele cu caracter personal ale publicului. GDPR este lansat pentru a oferi cetățenilor drepturile lor digitale .

Această lege nu impune guvernelor naționale să adopte vreo legislație de sancționare. Aceasta înseamnă că se aplică în mod firesc oricărei persoane, organizații sau afaceri care se ocupă de datele cetățenilor UE.

Această lege se aplică afacerii dumneavoastră, indiferent dacă compania dumneavoastră operează la nivel de afaceri la nivel de afaceri sau la nivel de afaceri la consumator.

Cum vă va afecta GDPR afacerea?

Despre efectul pe care l-a avut valul GDPR, există și vești bune și proaste. Să vedem de ce.

Unii proprietari de afaceri mici intră în panică și se plâng de supraîncărcarea bruscă de muncă. Russel Xiam, proprietarul unei companii de asistență pentru produse, spune că sunt atât de multe de făcut pentru a migra la platformele software conforme cu GDPR.

Planificarea pentru GDPR echivalează cu revizuirea alegerilor dvs. de afaceri. Russel Xiam

Aceasta înseamnă că întreprinderile mici sunt cele mai afectate.

John Higham, proprietarul Azybao, o companie de management de proiect, a spus că oamenii refuză să facă afaceri cu companii europene pentru că se tem că vor fi prinși în blocaj.

Isabelle Trijt, un ofițer de resurse umane din Germania spune:

A trebuit să modific/schimb/renunț noile angajări și politicile de înscriere a angajaților, astfel încât să rămânem în cercul conform GDPR. De asemenea, a trebuit să-mi asum responsabilitatea de a șterge toate înregistrările vechi care conțineau date ale intervievaților din trecut.

Pentru a adăuga la acestea, un proprietar de afaceri din Bruxelles a migrat la MailChimp de la Convertkit, deoarece Convertkit nu a oferit o opțiune de casetă de selectare care să permită utilizatorului să „alege” datele. Acest lucru implică faptul că proprietarii de afaceri abandonează furnizorii de servicii de e-mail care nu oferă mai mult control utilizatorului, deși Convertkit și-a actualizat funcționarea începând de astăzi.

Acest lucru are sens, deoarece dvs., ca afacere, nu ar trebui să fiți pus în pericol din cauza regulilor pe care furnizorul dvs. de servicii de e-mail nu le-a respectat. La urma urmei, persoana care răspunde prin e-mail poate avea politici care nu se consideră răspunzătoare pentru orice pierdere cauzată afacerii dvs., nu?

Deși este rar să apară un astfel de scenariu, veți fi totuși tras la răspundere pentru nerespectarea legilor, deoarece este dvs.lista de email.

Pe de altă parte, Sidney Burks, CTO și co-fondator al Ivizone din Franța spune:

Noile politici nu au avut un efect imens asupra afacerii noastre. Acest lucru s-ar putea datora în mare măsură faptului că legislația franceză avea deja cerințe destul de stricte în ceea ce privește protecția datelor și confidențialitatea. GDPR ne-a forțat să luăm confidențialitatea datelor în nucleul produselor noastre și să ne gândim la asta de la zero, cu toate acestea, pe măsură ce dezvoltăm o nouă versiune pentru produsul nostru, am reușit să facem acest lucru într-un mod curat și eficient.

Sidney adaugă, de asemenea, că GDPR a forțat companiile să-și pună în ordine casele de date. Acum au adăugat politici suplimentare pentru a șterge datele învechite și inutile și și-au consolidat politicile interne de securitate în ceea ce privește stocarea și accesul la date. Aceasta înseamnă că oferă un nivel mai ridicat de securitate a datelor clienților lor.

Așadar, dacă afacerea sau organizația dvs. gestionează și prelucrează datele utilizatorilor, ar trebui să vă îngrijorați securitatea datelor dvs. de utilizator. Sunteți obligat să respectați GDPR în acest caz. Dacă afacerea dvs. nu respectă legea GDPR, vă puteți confrunta cu sancțiuni grele.

Cea mai mare penalizare pentru cea mai severă abatere vă va costa 4% din cifra de afaceri globală sau 20 de milioane de euro, oricare dintre acestea este mai mare (mai multe despre penalități în secțiunile ulterioare).

Legea GDPR se aplică la ____?

Există o mare confuzie cu privire la cui se aplică legea. Sunt puține surse care vorbesc despre cetățenii UE și sunt altele care vorbesc despre rezidenții UE.

Confuzia apare pe măsură ce persoanele cu drepturi GDPR sunt denumite „persoane vizate”. Dar cine sunt aceste persoane vizate?

Subiecții datelor, cine sunt aceștia?

Se aplică GDPR tuturor datelor cetățenilor UE?

Sau se aplică doar persoanelor care locuiesc în UE?

Persoana vizată este definită ca persoană fizică ale cărei date cu caracter personal sunt prelucrate de către un operator sau un operator. Operatorul sau împuternicitul poate fi o afacere sau o entitate angajată de afacere care specifică pâlnia de prelucrare a datelor.

Termenul „persoane vizate” nu are o definiție specifică. De fapt, este o conotație. GDPR cere companiilor să protejeze confidențialitatea și informațiile personale ale cetățenilor UE în cadrul oricăror tranzacții care au loc în statele membre ale UE. Potrivit Cyber ​​Counsel, orice persoană prezentă în statele membre UE la un moment dat devine subiect de date.

Care sunt tipurile de date care sunt supuse controlului?

GDPR consideră toate datele personale referitoare la o persoană fizică ca aparținând acelei persoane. Tipul de date poate include:

  • Informații digitale
  • Date biometrice
  • Date genetice
  • Date criptate
  • Date personale

Drepturile persoanei vizate:

1. În conformitate cu GDPR UE, puteți alege fie să fiți subiect de date sau nu. Înseamnă că puteți refuza să vă prelucrați datele și, prin aceasta, vă veți exercita dreptul de a nu fi o persoană vizată.
2. Dacă alegeți să fiți o persoană vizată, aveți dreptul de a fi informat cu privire la datele dumneavoastră. Dețineți dreptul de a solicita toate procesarea informațiilor care implică informațiile dumneavoastră personale.

3. De asemenea, vi se oferă puterea și autoritatea deplină de a vă schimba datele personale sau de a vă retrage datele în orice moment. Acesta este motivul principal pentru care companiile ar trebui să ofere opțiuni pentru casetele de selectare (discutate în secțiunea de mai sus) pentru a oferi utilizatorului mai multă libertate și putere de a-și obține consimțământul.

4. O persoană vizată se poate opune, de asemenea, prelucrării oricăror/sau tuturor datelor sale dacă consideră că datele care sunt prelucrate sunt inexacte sau incorecte.

5. O persoană vizată se poate opune sau poate rezista transferului datelor sale de la un furnizor de servicii la altul. În plus, în calitate de persoană vizată, puteți solicita și ștergerea datelor dvs. din înregistrări. Dar acest drept nu poate fi câștigat de persoana vizată dacă datele care sunt prelucrate sunt în scopuri legale, în scopuri de sănătate publică, în scopuri de cercetare etc.

Pe scurt, se aplică tuturor rezidenților UE, indiferent de locația afacerii, organizația sau cetățenia lor. Și încălcarea drepturilor persoanelor vizate atrage sancțiuni grele.

Care sunt factorii care determină o sancțiune?

1. Încălcări anterioare – Dacă aveți un istoric de încălcări, fie din punctul de vedere al GDPR, fie din punctul de vedere al Directivei privind protecția datelor, acesta va fi un factor care va determina valoarea penalității.
2. Cauză – Încălcarea ar putea fi intenționată și în scop profitabil. Sau ar fi fost rezultatul unui pas neglijabil. Oricum, organul de decizie stabilește cuantumul penalității în funcție de cauză.
3. Tipul de informații – Depinde de clasificarea informațiilor utilizate. De exemplu, o companie ar putea să fi folosit date genetice sau biometrice ale unei persoane(e) în scopuri comerciale. Acest lucru poate atrage o penalizare mai mare decât informații precum detaliile angajării. Din nou, sancțiunea este stabilită în întregime în limitele și în limitele legislației UE.
4. Soluții și măsuri – Dacă ați luat măsuri pentru a atenua daunele cauzate unei persoane sau unui grup de persoane direct afectate de afacerea dvs., acest lucru va deveni, de asemenea, un factor decisiv.
5. Măsuri preventive – UE a avut o perioadă de tranziție de 2 ani înainte de intrarea în vigoare și de aplicare completă în mai 2018. Dacă compania dumneavoastră a luat măsuri pentru a rămâne în conformitate cu legile GDPR și totuși, a avut loc o încălcare, aceasta va fi un punct de evidențiat înainte de stabilirea penalizării.
6. Intenție – Dacă deteriorarea datelor a fost intenționată, aceasta ar putea declanșa o penalizare.
7. Cooperare și relații – În cazul în care întreprinderea a fost obligată să coopereze cu autoritatea de supraveghere pentru a repara prejudiciul și, eventual, a remedia încălcarea, aceasta acționează ca un pozitiv care poate reduce sancțiunea.
8. Raportare – În cazul în care încălcarea a fost semnalată în mod proactiv de către organul care a încălcat însuși sau a fost adusă la cunoștință de o sursă secundară.

Vă rugăm să rețineți că niciunul dintre factorii de mai sus nu garantează o sancțiune specificată, deoarece determinarea amenzii este complet la discreția legislației UE.

Pentru mai multe informații, consultați principiile de bază care duc la aplicarea legii GDPR aici .

Numirea unui responsabil cu protecția datelor (DPO)

Este posibil ca datele procesate în afacerea dvs. să fie supuse monitorizării. Dacă aveți nevoie de ajutor în organizarea afacerii dvs. pentru a respecta GDPR, organismul UE vă recomandă să solicitați consultanță de specialitate.

Fiecare dintre statele membre ale UE poate numi una sau mai multe autorități publice independente pentru a ajuta la monitorizarea respectării legilor privind datele.

Conform GDPR, ofițerii cu protecția datelor ar trebui numiți dacă afacerea dvs. operează la următoarele niveluri:

1. Organizații care acționează ca autorități publice

2. Companii care se ocupă cu agregarea și monitorizarea datelor la scară largă

3. Companii care se ocupă cu prelucrarea pe scară largă a informațiilor personale esențiale

5 mituri despre GDPR

1. Companiile din SUA sunt puternic afectate – Toate companiile (nu doar companiile din SUA) cu clienți din UE ar trebui să respecte legea.

2. Proprietarii de afaceri mici nu trebuie să-și facă griji cu privire la GDPR – O afacere mică sau mare: dacă se ocupă de datele utilizatorilor, ar trebui să respecte GDPR.

3. Consimțământul utilizatorului nu este obligatoriu dacă utilizatorul alege să introducă informațiile sale personale în timpul abonamentului – Consimțământul explicit al utilizatorului sub forma unei casete de selectare este obligatoriu din 25 mai 2018.

4. Dacă nu desfășurați afaceri în interiorul UE, nu ar trebui să vă îngrijorați – Dacă sunteți o companie care se ocupă de datele cetățenilor UE, indiferent de locația cetățenilor, se aplică GDPR.

5. Datele utilizatorului sunt doar datele furnizate de utilizatori – Orice date colectate, generate, modificate, transformate sau dobândite sub formă de cookie-uri, comportamentul utilizatorului este în continuare date de utilizator.

Concluzie

Dacă sunteți o companie cu un site web care colectează informații personale ale persoanelor vizate, acum sunteți obligat să implementați modalități conforme cu legea de a obține informații despre utilizatori. De exemplu, dacă aveți un pop-up sau un formular de abonare pe site-ul dvs. web, singura modalitate de a vă asigura că obțineți consimțământul utilizatorului este:

  • Implementarea metodei de înscriere dublă care reunește numai membrii interesați cu consimțământ.
  • Oferirea utilizatorului de opțiuni de a alege să își regleze datele.
  • Oferă utilizatorului opțiunea de a se dezabona.
  • Asigurați-vă că toate serviciile terțelor pe care le utilizați sunt conforme cu GDPR.
  • Menținerea sub control a procedurilor de achiziție a datelor.
  • Comunicarea politicilor dvs. de confidențialitate într-o manieră transparentă.
  • Desemnarea unui responsabil cu protecția datelor sau educarea și instruirea afacerii dvs. pentru a evita încălcarea datelor.
  • Asigurarea auditurilor periodice și a accesibilității datelor.
  • Minimizarea datelor pe care le dețineți și pe care le procesați.

Declinare a răspunderii: informațiile de mai sus au doar scop de referință și informare. Nu reprezintă un sfat juridic. Vă rugăm să solicitați un consilier juridic pentru orice sfat suplimentar.