На първо място, трябва да знаете значението на тези съкращения, RGPD, защото това ще бъде много важно за развитието на вашия цифров бизнес модел. Е, това е еквивалентно на това, което всъщност е Общият регламент за защита на данните (RGPD) и който влезе в сила съвсем наскоро. И ако имате търговия или онлайн магазин Ще трябва да спазвате законодателството, за да не правите друга негативна изненада оттук нататък.
Трябва ли да направя нещо, за да адаптирам магазина или бизнеса си към GDPR? В този смисъл трябва да знаете, че RGPD е регламент, одобрен на ниво Европейски съюз и целта му е да осигури защитата на личната информация.
Отсега нататък всички компании ще трябва да предоставят на своя уебсайт Политика за поверителност, която обяснява как са обработка на данните които имат клиенти, сътрудници, служители или просто се интересуват от получаване на търговска информация.
Нови принципи, включени в RGPD
В сегашните разпоредби за защита на данните в Европа се предвиждат нови сценарии за собствениците на дигитален бизнес. И сред които са следните аспекти, които ви излагаме по-долу. Където е необходимо също така да вземете предвид, че Европейският парламент и Съветът най-накрая са одобрили Общия регламент за защита на данните (RGPD), който с устрема на обединяват режимите на всички държави-членки по въпроса, влезе в сила на 25 май 2016 г., въпреки че спазването му ще бъде задължително само след две години от тази дата.
Принцип на отговорност. Ще трябва да бъдат приложени механизми, за да се докаже, че са взети всички необходими мерки за обработка на лични данни, както се изисква от нормата. Това е проактивна отговорност. Организациите трябва да могат да докажат, че отговарят на тези изисквания, което ще изисква разработване на политики, процедури, контрол и т.н.
Принципи за защита на данните по подразбиране и по дизайн. По този повод трябва да бъдат приети мерки, за да се гарантира спазването на стандарта от момента, в който фирма, продукт, услуга или дейност, включваща обработка на данни, е проектирана, като правило и от източника.
Принцип на прозрачност. Правните съобщения и политиките за поверителност трябва да бъдат по-опростени и разбираеми, улесняващи разбирането им, както и по-пълни. Дори се предвижда, че за да се информира за обработката на данните, могат да се използват стандартизирани икони.
Нови задължения за дигиталните компании
Понякога ще бъде задължително да се назначи служител по защита на данните (DPO), вътрешен или външен, който да подпомага организациите в процеса на нормативно съответствие. Сложността на новия стандарт обаче ще направи тази цифра силно препоръчителна в по-голямата част от организациите.
В определени случаи трябва да се извършат оценки на въздействието върху неприкосновеността на личния живот, които в крайна сметка ще определят специфичните рискове, свързани с обработката на определени лични данни, и ще предвидят мерки за смекчаване или премахване на споменатите рискове.
Многонационалните компании ще имат за събеседник един национален контролен орган: този на основното учреждение на предприятието. Това е това, което е известно като единичен прозорец.
Нарушенията на сигурността трябва да бъдат съобщени на контролните органи и, в сериозни случаи, на засегнатите, веднага след като са известни, като се установи максимален период от 72 часа.
Чувствителни данни: Специално защитените данни се разширяват, като сега включват генетични и биометрични данни. Престъпленията и присъдите също са включени в тази категория, макар и не административни.
Изборът на лице, което да отговаря за лечението, е по-строг, тъй като ще е необходимо да се избере такъв, който предоставя достатъчни гаранции за спазване на нормативните изисквания.
Допълнителни гаранции за така наречените международни трансфери на данни: с установяването на по-строги гаранции и механизми за наблюдение във връзка с международните трансфери на данни извън Европейския съюз.
Печати и сертификати: предвижда се да бъдат създадени пломби и сертификати за съответствие, които позволяват акредитация на отчетността от страна на организациите.
Задължението за регистриране на файловете изчезва, което се заменя с вътрешен контрол и в някои случаи списък на извършваните операции по обработка на данни, който се интуитира от съдържание, подобно на това в момента във въпросната форма.
санкции: сумите на санкциите за нарушаване на правилото нарастват, достигайки 20 милиона евро или 4% от годишния глобален оборот (не са изключени от глобите към публичните администрации, въпреки че държавите-членки могат да се съгласят да го направят).
Нови права, предвидени в регламент
Прозрачност и информация. Когато обработват лични данни, организациите трябва да предоставят повече информация и по по-разбираем, пълен и прост начин, което ще благоприятства вземането на решения от гражданина. На този етап се обръща специално внимание на непълнолетните.
Съгласие. Съгласието за обработване на лични данни трябва да бъде недвусмислено, безплатно и отменяемо и трябва да бъде дадено чрез ясен утвърдителен акт. Не се допуска мълчаливо съгласие.
Право да бъдеш забравен. Даденото съгласие за обработване на лични данни може да бъде оттеглено по всяко време, като може да се изисква изтриване и премахване на данните в социалните мрежи или интернет търсачките.
Право на ограничение на въпросното лечение. Той позволява на гражданина да поиска временно блокиране на обработката на техните данни, когато има противоречия относно неговата законосъобразност.
Преносимост на данните. Гражданинът ще може да поиска прехвърляне на лични данни от един доставчик на интернет услуги към друг.
Оплаквания. Жалбите могат да се подават чрез потребителски асоциации.
Обезщетение и неустойки за неспазване. Признава се възможността да се изисква обезщетение за вреди, произтичащи от незаконно третиране на лични данни.
Лицето, отговорно за преписката, може да установи такса, за да отговори на упражняването на правото на достъп, като вземе предвид административните разходи, които това води до това.
Съображения относно правилното му прилагане
Независимо от гореизложеното, все още има много аспекти, които все още очакват тяхното развитие и конкретизация, които са предвидени в този регламент. В този смисъл трябва да се отбележи, че държавите-членки, контролните органи, Европейският комитет за защита на данните и Комисията трябва да посочат множество елементи, които се появяват в RGPD, които са твърде двусмислени или неясни.
Във всеки случай, разпоредбите, съдържащи се в регламентите, са пряко приложими във всяка държава-членка, без да е необходимо транспониране, и задължават частните компании и публичните институции да се изправят пред важен процес на пренастройка на регулаторите.
RGPD обаче не отменя автоматично LOPD и разпоредбите за прилагането му. Той просто ги измества до такава степен, че те са несъвместими с него. В онези области, в които тази несъвместимост не се проявява, и двата регламента ще съществуват едновременно, което прави предвиждане на много практически и тълкувателни проблеми, чието разрешаване ще изисква съдействието на специализирани специалисти, които предлагат достатъчни гаранции. Докато от друга страна, процесът на преквалификация не е технически лесен, така че за компаниите ще е важно да имат специализирани правни съвети, които предлагат достатъчни гаранции.
Вземете услуга за защита на данните
Един добър начин да получите услуга за защита на данните е да поискате оферти от Асоциация на компаниите за защита на данните (AEPD.org). В този смисъл AEPD.org има официална промяна сред свързаните с него компании. Работата му е проста: Трябва да поискате бюджет от AEPD.org и същата асоциация го разпределя между своите сътрудници, опитвайки се да гарантира, че крайният клиент получава добри съвети.
Ако не посетите AEPD.org, единственият начин да получите оферти е да отидете един по един на уебсайтовете на компаниите за защита на данните. Тази процедура е по-бавна, но и ефективна. През следващите седмици ще направим и публикуваме списък на компаниите LOPD, за да улесним тази операция. За момента може би най-добрият вариант е да отидете в Асоциацията на компаниите за защита на данните.
Последни заключения
Съгласието трябва да бъде дадено чрез ясен утвърдителен акт, който отразява безплатна, конкретна, информирана и недвусмислена проява на заинтересованата страна да приеме обработването на лични данни, свързани с нея, като писмено изявление, включително по електронен път, или устно изявление .
Това може да включва поставяне на отметка в квадратче на уебсайт в интернет, избор на технически параметри за използване на услугите на информационното общество или друго изявление или поведение, което ясно показва в този контекст, че заинтересованата страна приема предложеното третиране на личната им информация. Следователно мълчанието, отметките или бездействието не трябва да представляват съгласие.
Трябва да се даде съгласие за всички дейности по обработка, извършвани за същите или за същите цели. Когато лечението има няколко цели, трябва да се даде съгласие за всички тях. Ако съгласието на заинтересованата страна трябва да бъде дадено в резултат на искане по електронен път, искането трябва да бъде ясно, кратко и да не нарушава ненужно използването на услугата, за която се предоставя.