ראשית כל עליכם לדעת את משמעות ראשי התיבות הללו, RGPD, מכיוון שזה יהיה חשוב מאוד לפיתוח המודל העסקי הדיגיטלי שלכם. ובכן, זה שווה ערך למה שהוא למעשה התקנה להגנת נתונים כללית (RGPD) ואשר נכנסה לתוקף ממש לאחרונה. ואם יש לך מסחר או חנות מקוונת יהיה עליך לציית לחקיקה כדי לא להפתיע מעתה הפתעה שלילית אחרת.
האם אני צריך לעשות משהו כדי להתאים את החנות או את העסק שלי ל- GDPR? במובן זה, עליכם לדעת כי ה- RGPD הוא תקנה שאושרה ברמת האיחוד האירופי ומטרתה להבטיח את ההגנה על המידע האישי.
מעתה, כל החברות יצטרכו להעמיד לרשותן באתר מדיניות פרטיות המסבירה את שלומם טיפול בנתונים שיש להם לקוחות, מקורבים, עובדים או פשוט מעוניינים לקבל מידע מסחרי.
עקרונות חדשים הכלולים ב- RGPD
בתקנה הנוכחית בנושא הגנת נתונים ברמה האירופית, מתרחשים תרחישים חדשים לבעלים של עסק דיגיטלי. וביניהם ההיבטים הבאים שאנו חושפים אותך להלן. כאשר יש צורך לקחת בחשבון כי הפרלמנט האירופי והמועצה אישרו סופית את התקנה הכללית להגנת נתונים (RGPD), אשר, בשאיפה של לאחד משטרים של כל המדינות החברות בנושא, נכנס לתוקף ב- 25 במאי 2016, אם כי עמידתו תהיה חובה רק לאחר שנתיים מאותו מועד.
עקרון אחריות. יש ליישם מנגנונים כדי להוכיח כי כל האמצעים הדרושים אומצו לעיבוד נתונים אישיים כנדרש על ידי הנורמה. זו אחריות יזומה. על הארגונים להיות מסוגלים להוכיח שהם עומדים בדרישות אלה, מה שיחייב פיתוח מדיניות, נהלים, בקרות וכו '.
עקרונות הגנת נתונים כברירת מחדל ועל פי תכנון. בהזדמנות זו יש לנקוט באמצעים להבטחת עמידה בתקן מרגע שתכנון החברה, המוצר, השירות או הפעילות הכרוכים בעיבוד נתונים, ככלל וממקור.
עקרון השקיפות. ההודעות המשפטיות ומדיניות הפרטיות צריכות להיות פשוטות ומובנות יותר, כדי להקל על הבנתן, כמו גם להשלים יותר. אף צפוי כי על מנת ליידע אודות עיבוד הנתונים, ניתן להשתמש באייקונים סטנדרטיים.
חובות חדשות לחברות דיגיטליות
במקרים מסוימים, יהיה חובה להעמיד קצין הגנת נתונים (DPO), פנימי או חיצוני, שיסייע לארגונים בתהליך של תאימות נורמטיבית. עם זאת, המורכבות של התקן החדש תהפוך את הנתון הזה למומלץ ביותר ברוב המכריע של הארגונים.
במקרים מסוימים, יש לבצע הערכות השפעה על פרטיות, אשר בסופו של דבר יקבעו את הסיכונים הספציפיים הכרוכים בעיבוד נתונים אישיים מסוימים ונקבעו צעדים למיתון או ביטול הסיכונים האמורים.
חברות רב לאומיות יהיו כבן שיח רשות פיקוח לאומית אחת: זו של הקמתה העיקרית של הישות. זה מה שמכונה חלון יחיד.
יש להעביר את הפרות האבטחה לרשויות הבקרה, ובמקרים חמורים, לנפגעים, ברגע שהן ידועות, לקבוע פרק זמן מקסימלי של 72 שעות.
מידע רגיש: נתונים מוגנים במיוחד מורחבים, כולל כעת נתונים גנטיים וביומטריים. עבירות פליליות והרשעות כלולות גם בקטגוריה זו, אם כי אינן מנהליות.
הבחירה באחראי על הטיפול קשה יותר מכיוון שיהיה צורך לבחור באחד שמספק ערבויות מספקות לעמידה ברגולציה.
ערבויות נוספות למה שמכונה העברות נתונים בינלאומיות: עם הקמת התחייבויות ומנגנוני פיקוח מחמירים ביחס להעברת נתונים בינלאומית מחוץ לאיחוד האירופי.
חותמות ואישורים: צפוי שייווצרו חותמות ואישורי תאימות המאפשרים הסמכת האחריות מצד הארגונים.
חובת רישום הקבצים נעלמת, אשר מוחלפת בבקרה פנימית ובמקרים מסוימים במלאי של פעולות עיבוד הנתונים המתבצעות, אשר ניתן לראות בהן תוכן הדומה לזה הקיים כיום בטופס הנדון. .
סנקציות: סכומי הסנקציות בגין הפרת הכלל גדלים ומגיעים ל -20 מיליון יורו או 4% מהמחזור העולמי השנתי (לא נכללים בקנסות למינהל ציבורי, אם כי המדינות החברות עשויות להסכים לכך).
זכויות חדשות הניתנות בתקנה
שקיפות ומידע. ארגונים, בעת עיבודם של נתונים אישיים, חייבים לספק מידע נוסף ובאופן מובן יותר, מלא ופשוט יותר, שיעדיף את קבלת ההחלטות על ידי האזרח. התחשבות מיוחדת ניתנת לקטינים בשלב זה.
הַסכָּמָה. ההסכמה ליכולת לעבד נתונים אישיים חייבת להיות חד משמעית, חופשית וניתנת לביטול ויש לתת אותה באמצעות מעשה חיובי ברור. אסור להסכים בשתיקה.
זכות להישכח. ההסכמה שניתנה לעיבוד נתונים אישיים עשויה להתבטל בכל עת, תוך אפשרות לדרוש מחיקה וסילוק הנתונים ברשתות החברתיות או במנועי חיפוש באינטרנט.
זכות להגבלת הטיפול הנדון. זה מאפשר לאזרח לבקש חסימה זמנית של עיבוד הנתונים שלהם כאשר יש מחלוקות לגבי חוקיותם.
ניידות נתונים. האזרח רשאי לבקש העברת נתונים אישיים מספק שירותי אינטרנט אחד למשנהו.
תלונות. ניתן להגיש תלונות באמצעות עמותות משתמשים.
פיצויים וקנסות בגין אי ציות. מוכרת האפשרות לדרוש פיצויים בגין נזקים הנגזרים מהטיפול הבלתי חוקי בנתונים אישיים.
האחראי לתיק רשאי לקבוע שכר טרחה למענה על תרגילי זכות הגישה, תוך התחשבות בעלויות הניהול הכרוכות בכך.
שיקולים לגבי יישומה הנכון
על אף האמור לעיל, ישנם עדיין היבטים רבים שעומדים ועומדים על התפתחותם ועל התווספותם הקבועים בתקנה זו. במובן זה יש לציין כי על המדינות החברות, רשויות הבקרה, הוועדה האירופית להגנת נתונים והנציבות לציין מספר רב של אלמנטים המופיעים ב- RGPD מעורפלים או מעורפלים מדי.
בכל מקרה, ההוראות הכלולות בתקנות חלות ישירות בכל אחת מהמדינות החברות, ללא צורך בהטמעה, ומחייבות חברות פרטיות ומוסדות ציבור להתמודד עם תהליך חשוב של התאמה מחדש של הרגולציה.
עם זאת, ה- RGPD אינו מבטל אוטומטית את ה- LOPD ואת תקנות היישום שלו. זה פשוט עוקר את אלה במידה שהם אינם תואמים את זה. באותם תחומים שבהם אי-התאמה כזו אינה מתרחשת, שתי התקנות יתקיימו במקביל, מה שמצפה בעיות מעשיות ופרשניות רבות, שפתרונן ידרוש סיוע של אנשי מקצוע מיוחדים המציעים ערבויות מספקות. לעומת זאת, תהליך ההכשרה מחדש אינו קל מבחינה טכנית, ולכן יהיה חשוב לחברות לקבל ייעוץ משפטי מיוחד המציע ערבויות מספקות.
קבל שירות הגנה על נתונים
דרך טובה להשיג שירות הגנת נתונים היא לבקש הצעות מחיר מה- איגוד חברות הגנת נתונים (AEPD.org). במובן זה, ל- AEPD.org יש שינוי רשמי בקרב החברות הקשורות אליו. פעולתו פשוטה: עליכם לבקש תקציב מ- AEPD.org ואותה העמותה מחלקת אותו בין שותפיה ומנסה להבטיח שהלקוח הסופי יקבל ייעוץ טוב.
אם אינך עובר ל- AEPD.org, הדרך היחידה להשיג אומדנים היא ללכת בזה אחר זה לאתרים של חברות הגנת נתונים. הליך זה איטי יותר, אך גם יעיל. בשבועות הקרובים נכין ונפרסם רשימה של חברות LOPD כדי להקל על הפעולה הזו. כרגע, אולי האופציה הטובה ביותר היא ללכת לאיגוד חברות הגנת הנתונים.
מסקנות אחרונות
יש לתת הסכמה באמצעות מעשה חיובי ברור המשקף ביטוי חופשי, ספציפי, מושכל וחד-משמעי של הצד המעוניין לקבל את עיבוד הנתונים האישיים הנוגעים אליו, כהצהרה בכתב, לרבות באמצעים אלקטרוניים, או כמילולית. הַצהָרָה.
זה יכול לכלול סימון תיבה באתר אינטרנט, בחירת פרמטרים טכניים לשימוש בשירותי חברת המידע, או כל הצהרה או התנהלות אחרת שמעידה בבירור בהקשר זה כי הצד המעוניין מקבל את הטיפול המוצע במידע האישי שלהם. לכן, שתיקה, תיבות מסומנות או חוסר מעש לא אמורות להוות הסכמה.
יש לתת הסכמה לכל פעילויות העיבוד המתבצעות למטרות זהות או לאותן מטרות. כאשר לטיפול יש כמה מטרות, יש לתת הסכמה לכולן. אם יש לתת את הסכמת הצד המעוניין כתוצאה מבקשה באמצעים אלקטרוניים, על הבקשה להיות ברורה, תמציתית ולא להפריע שלא לצורך בשימוש בשירות שלשמה היא ניתנת.