Крайний срок соблюдения GDPR: как соблюдать требования на простом английском языке

Опубликовано: 2018-05-15
Рошни Шейх
Приглашенный участник

Только подумайте о том, что заставило такие компании, как Google, LinkedIn, Twitter и им подобные, менять свои условия и политику конфиденциальности одну за другой. Вы, должно быть, уже заметили уведомления.

Да, Facebook уже в центре внимания из-за расхождений в пользовательских данных. Но посмотрите, что происходит со всеми политиками использования файлов cookie. Компании быстро обновляют свои условия.

Что вызывает это безумие? Конечно, это происходит из-за одного закона, который успел всколыхнуть деловой мир — GDPR.

Закон Европейского Союза о GDPR вступает в силу 25 мая 2018 года. Это было в новостях с момента его создания и принятия парламентом ЕС в апреле 2016 года.

Закон коснется предприятий, которые управляют большим объемом данных. Это относится ко всем данным граждан ЕС, независимо от их местонахождения.

Что такое GDPR и почему он внедряется?

Проще говоря, как человека, проживающего в ЕС, мои данные защищены GDPR.

GDPR расшифровывается как Общий регламент по защите данных. Он заменяет старую и устаревшую Директиву о защите данных 1995 года. GDPR более актуален сегодня, так как многое изменилось за два десятилетия.

Быстрый технологический прогресс и обработка/использование данных предприятиями привели к осознанию необходимости принятия такого закона, как GDPR.

Этот новый регламент вводится в действие, чтобы вернуть контроль над личными данными гражданам ЕС. Он введен в действие, чтобы контролировать способность бизнеса использовать публичные личные данные. GDPR развернут, чтобы предоставить гражданам их цифровые права .

Этот закон не требует от национальных правительств принятия какого-либо санкционного законодательства. Это означает, что он, естественно, применим к любому лицу, организации или бизнесу, которые имеют дело с данными граждан ЕС.

Этот закон применяется к вашему бизнесу независимо от того, работает ли ваша компания на уровне бизнеса для бизнеса или на уровне бизнеса для потребителя.

Как GDPR повлияет на ваш бизнес?

О влиянии волны GDPR есть как хорошие, так и плохие новости. Давайте посмотрим, почему.

Некоторые владельцы малого бизнеса паникуют и жалуются на внезапную перегрузку работой. Рассел Сиам, владелец компании по поддержке продуктов, говорит, что для перехода на программные платформы, соответствующие GDPR, предстоит еще многое сделать.

Планирование GDPR эквивалентно пересмотру вашего бизнес-решения. Рассел Сиам

Это говорит о том, что в наибольшей степени страдает малый бизнес.

Джон Хайэм, владелец Azybao, компании по управлению проектами, сказал, что люди отказываются вести дела с европейскими компаниями, потому что боятся попасть впросак.

Изабель Трийт, сотрудник отдела кадров из Германии, говорит:

Мне пришлось модифицировать/изменить/отменить новые политики найма и адаптации сотрудников, чтобы мы оставались в рамках круга, соответствующего требованиям GDPR. Мне также пришлось взять на себя ответственность удалить все старые записи, содержащие данные прошлых интервьюируемых.

Вдобавок к этому владелец бизнеса в Брюсселе перешел на MailChimp из Convertkit, потому что Convertkit не предоставлял возможность выбора данных пользователем. Это означает, что владельцы бизнеса отказываются от поставщиков услуг электронной почты, которые не дают пользователю больше контроля, хотя Convertkit обновил их работу на сегодняшний день.

Это имеет смысл, потому что вы, как бизнес, не должны подвергаться опасности из-за правил, которым не следовал ваш поставщик услуг электронной почты. В конце концов, у ответчика электронной почты могут быть политики, которые не несут ответственности за любые убытки, причиненные вашему бизнесу, верно?

Хотя такой сценарий возникает редко, вы все равно будете нести ответственность за несоблюдение законов, поскольку это вашасписок адресов электронной почты.

С другой стороны, Сидни Беркс, технический директор и соучредитель Ivizone из Франции, говорит:

Новая политика не оказала большого влияния на наш бизнес. Во многом это может быть связано с тем, что французское законодательство уже имело довольно строгие требования в отношении защиты данных и конфиденциальности. GDPR заставил нас сделать конфиденциальность данных основой наших продуктов и думать об этом с нуля, однако, поскольку мы разрабатываем новую версию нашего продукта, мы смогли сделать это чисто и эффективно.

Сидни также добавляет, что GDPR вынудил предприятия привести в порядок свои базы данных. Теперь они добавили дополнительные политики для удаления устаревших и ненужных данных и усилили свои внутренние политики безопасности в отношении хранения данных и доступа к ним. Это означает, что они обеспечивают более высокий уровень безопасности данных для своих клиентов.

Итак, если ваш бизнес или организация обрабатывает и обрабатывает пользовательские данные, вам следует побеспокоиться о безопасности ваших пользовательских данных. В этом случае вы обязаны соблюдать GDPR. Если ваш бизнес не соответствует закону GDPR, вы можете столкнуться с серьезными штрафами.

Самый высокий штраф за самое серьезное отклонение будет стоить вам 4% от вашего глобального оборота или 20 миллионов евро, в зависимости от того, что больше (подробнее о штрафах в следующих разделах).

Закон GDPR применяется к ____?

Существует огромная путаница в отношении того, на кого распространяется закон. Есть несколько источников, которые говорят о гражданах ЕС, и есть другие, которые говорят о резидентах ЕС.

Путаница возникает, поскольку люди с правами GDPR упоминаются как «субъекты данных». Но кто эти субъекты данных?

Субъекты данных, кто они?

Применяется ли GDPR ко всем данным граждан ЕС?

Или это относится только к людям, которые проживают в ЕС?

Субъект данных определяется как физическое лицо, персональные данные которого обрабатываются контролером или процессором. Контролером или обработчиком может быть компания или юридическое лицо, нанятое бизнесом, которое определяет воронку обработки данных.

Термин «субъекты данных» не имеет конкретного определения. На самом деле это коннотация. GDPR требует от компаний защищать конфиденциальность и личную информацию граждан ЕС при любых транзакциях, которые происходят в государствах-членах ЕС. По словам советника по кибербезопасности, любое лицо, находящееся в государствах-членах ЕС в определенный момент, становится субъектом данных.

Какие виды данных подлежат проверке?

GDPR рассматривает любые персональные данные, касающиеся физического лица, как принадлежащие этому лицу. Тип данных может включать:

  • Цифровая информация
  • Биометрические данные
  • Генетические данные
  • Зашифрованные данные
  • Личные данные

Права субъекта данных:

1. Согласно GDPR ЕС, вы можете либо быть субъектом данных, либо нет. Это означает, что вы можете отказаться от обработки ваших данных, тем самым воспользовавшись своим правом не быть субъектом данных.
2. Если вы решите стать субъектом данных, вы имеете право на получение информации о ваших данных. Вы имеете право запрашивать любую обработку информации, связанную с вашей личной информацией.

3. Вам также предоставлены все права и полномочия для изменения ваших личных данных или отзыва ваших данных в любой момент. Это основная причина, по которой компаниям следует предоставлять варианты флажков (обсуждаемые в разделе выше), чтобы дать пользователю больше свободы и возможностей для получения согласия.

4. Субъект данных также может возражать против обработки любых/или всех своих данных, если он/она считает, что обрабатываемые данные неточны или неверны.

5. Субъект данных также может возражать или сопротивляться передаче своих данных от одного поставщика услуг другому. В дополнение к этому, как субъект данных, вы также можете запросить удаление ваших данных из записей. Но это право не может быть получено субъектом данных, если данные обрабатываются в юридических целях, целях общественного здравоохранения, исследовательских целях и т. д.

Короче говоря, это относится ко всем резидентам ЕС, независимо от местонахождения бизнеса, организации или их гражданства. И нарушение прав субъектов данных влечет за собой серьезные штрафы.

Какие факторы определяют наказание?

1. Прошлые нарушения . Если у вас есть история нарушений либо с точки зрения GDPR, либо с точки зрения ранее действовавшей Директивы о защите данных, это будет фактором, определяющим размер штрафа.
2. Причина . Нарушение может быть преднамеренным и с выгодной целью. Или это было бы результатом незначительного шага. В любом случае орган, принимающий решение, устанавливает размер штрафа в зависимости от причины.
3. Тип информации – зависит от классификации используемой информации. Например, компания могла использовать генетические или биометрические данные человека (лиц) в деловых целях. Это может привести к более высокому штрафу, чем информация , такая как информация о занятости. Опять же, наказание устанавливается полностью в рамках усмотрения и границ законов ЕС.
4. Решения и меры . Если вы предприняли шаги по уменьшению ущерба, причиненного лицу или группе лиц, непосредственно затронутых вашим бизнесом, это также станет решающим фактором.
5. Превентивные меры . Перед вступлением в силу и полным введением в действие в мае 2018 года в ЕС был переходный период продолжительностью 2 года. Если ваша компания приняла меры для обеспечения соответствия законам GDPR, но все же произошло нарушение, это будет точка, которую нужно выделить до того, как будет назначен пенальти.
6. Намерение . Если повреждение данных было преднамеренным, это может послужить поводом для штрафа.
7. Сотрудничество и отношения . Если компания обязалась сотрудничать с надзорным органом для возмещения ущерба и, возможно, устранения нарушения, это считается положительным моментом, который может уменьшить размер штрафа.
8. Отчетность – Если о нарушении было заблаговременно сообщено самим нарушившим органом или оно было доведено до сведения вторичным источником.

Обратите внимание, что ни один из вышеперечисленных факторов не гарантирует определенного штрафа, поскольку определение штрафа полностью находится на усмотрении законодательства ЕС.

Для получения дополнительной информации обратитесь к основным принципам, которые приводят к обеспечению соблюдения GDPR , здесь .

Назначение сотрудника по защите данных (DPO)

Данные, обрабатываемые в вашем бизнесе, возможно, должны пройти мониторинг. Если вам нужна помощь в организации вашего бизнеса в соответствии с GDPR, орган ЕС советует обратиться за консультацией к эксперту.

Каждое из государств-членов ЕС может назначить один или несколько независимых государственных органов для контроля за соблюдением законов о данных.

Согласно GDPR, ответственные за защиту данных должны быть назначены, если ваш бизнес работает на следующих уровнях:

1. Организации, выполняющие функции органов государственной власти

2. Компании, которые занимаются крупномасштабной агрегацией и мониторингом данных

3. Компании, которые занимаются крупномасштабной обработкой важной личной информации

5 мифов о GDPR

1. Сильно затронуты американские компании. Все компании (не только американские) с клиентами из ЕС должны соблюдать закон.

2. Владельцам малого бизнеса не нужно беспокоиться о GDPR. Малый или крупный бизнес: если он обрабатывает пользовательские данные, он должен соответствовать GDPR.

3. Согласие пользователя не является обязательным, если пользователь решает ввести свою личную информацию во время подписки. Явное согласие пользователя в форме флажка является обязательным с 25 мая 2018 г.

4. Если вы не ведете бизнес в ЕС, вам не о чем беспокоиться. Если вы ведете бизнес с данными граждан ЕС, независимо от их местонахождения, применяется GDPR.

5. Пользовательские данные — это только данные, предоставленные пользователями. Любые данные, собранные, сгенерированные, измененные, преобразованные или полученные в виде файлов cookie, поведение пользователя по-прежнему являются пользовательскими данными.

Вывод

Если вы представляете бизнес с веб-сайтом, который собирает личную информацию субъектов данных, вы теперь обязаны использовать законные способы получения информации о пользователях. Например, если на вашем веб-сайте есть всплывающее окно или форма подписки, единственный способ убедиться, что вы получаете согласие пользователя, — это:

  • Внедрение метода двойного согласия, который объединяет только заинтересованных участников с их согласия.
  • Предоставление пользователю возможности выбора регулирования своих данных.
  • Предоставление пользователю возможности отказаться от подписки.
  • Обеспечение соответствия всех используемых вами сторонних сервисов GDPR.
  • Контроль процедур сбора данных.
  • Прозрачное информирование о вашей политике конфиденциальности.
  • Назначение сотрудника по защите данных или обучение и подготовка вашего бизнеса, чтобы избежать утечки данных.
  • Обеспечение регулярного аудита данных и доступности.
  • Минимизация данных, которые вы храните и обрабатываете.

Отказ от ответственности: приведенная выше информация предназначена исключительно для справочных и информационных целей. Это не является юридической консультацией. Пожалуйста, обратитесь к юристу за любой дополнительной консультацией.