Pertama sekali, anda harus mengetahui maksud akronim ini, RGPD, kerana ini akan sangat penting untuk pengembangan model perniagaan digital anda. Baiklah, ini setara dengan apa yang sebenarnya adalah Peraturan Perlindungan Data Umum (RGPD) dan yang mula berlaku baru-baru ini. Dan jika anda mempunyai perdagangan atau kedai dalam talian Anda harus mematuhi perundangan agar tidak mendapat kejutan negatif lain mulai sekarang.
Adakah saya perlu melakukan sesuatu untuk menyesuaikan kedai atau perniagaan saya dengan GDPR? Dalam pengertian ini, anda harus tahu bahawa RGPD adalah peraturan yang diluluskan di peringkat Kesatuan Eropah dan objektifnya adalah untuk memastikan perlindungan maklumat peribadi.
Mulai sekarang, semua syarikat harus menyediakan di laman web mereka Dasar Privasi yang menerangkan bagaimana keadaannya merawat data yang mempunyai, sama ada pelanggan, rakan sekerja, pekerja atau hanya berminat untuk menerima maklumat komersial.
Prinsip baru termasuk dalam RGPD
Dalam peraturan perlindungan data saat ini di Eropah, senario baru dipertimbangkan untuk pemilik perniagaan digital. Dan di antaranya adalah aspek berikut yang kami dedahkan di bawah ini. Sekiranya perlu juga anda mengambil kira bahawa Parlimen Eropah dan Majlis akhirnya telah menyetujui Peraturan Perlindungan Data Umum (RGPD), yang, dengan aspirasi menyatukan rejim dari semua Negara Anggota mengenai perkara itu, telah mula berkuatkuasa pada 25 Mei 2016, walaupun pematuhannya hanya akan wajib dilakukan setelah dua tahun dari tarikh tersebut.
Prinsip tanggungjawab. Mekanisme harus dilaksanakan untuk membuktikan bahawa semua langkah yang diperlukan telah diadopsi untuk memproses data peribadi seperti yang dikehendaki oleh norma. Ini adalah tanggungjawab proaktif. Organisasi mesti dapat menunjukkan bahawa mereka memenuhi syarat ini, yang akan memerlukan pengembangan dasar, prosedur, kawalan, dll.
Prinsip perlindungan data secara lalai dan reka bentuk. Pada kesempatan ini, langkah-langkah harus diambil untuk menjamin kepatuhan terhadap standar dari saat perusahaan, produk, perkhidmatan atau aktiviti yang melibatkan pemrosesan data dirancang, sebagai peraturan dan dari sumbernya.
Prinsip ketelusan. Pemberitahuan undang-undang dan dasar privasi harus lebih sederhana dan lebih difahami, memudahkan pemahaman mereka, dan juga lebih lengkap. Bahkan dapat dilihat bahwa, untuk memberi informasi mengenai perlakuan data, ikon standard dapat digunakan.
Kewajipan baru untuk syarikat digital
Kadang-kadang, adalah wajib menunjuk Pegawai Perlindungan Data (DPO), dalaman atau luaran, untuk membantu organisasi dalam proses pematuhan normatif. Walau bagaimanapun, kerumitan standard baru akan menjadikan angka ini sangat disarankan dalam sebilangan besar organisasi.
Dalam kes tertentu, penilaian impak privasi harus dilakukan, yang pada akhirnya akan menentukan risiko spesifik yang terlibat dalam memproses data peribadi tertentu dan meramalkan langkah-langkah untuk mengurangkan atau menghilangkan risiko tersebut.
Syarikat-syarikat multinasional akan mempunyai satu pihak berkuasa kawalan nasional tunggal: sebagai penubuhan utama entiti. Inilah yang dikenali sebagai satu tetingkap.
Pelanggaran keselamatan mesti disampaikan kepada pihak berkuasa kawalan dan, dalam kes yang serius, kepada mereka yang terkena dampak, setelah diketahui, menetapkan jangka waktu maksimum 72 jam.
Data sensitif: Data yang dilindungi khas diperluas, sekarang termasuk data genetik dan biometrik. Kesalahan dan kesalahan jenayah juga termasuk dalam kategori ini, walaupun bukan kesalahan pentadbiran.
Pemilihan seseorang yang bertanggungjawab terhadap rawatan adalah lebih sukar, kerana perlu memilih seseorang yang memberikan jaminan kepatuhan terhadap peraturan yang mencukupi.
Jaminan tambahan untuk apa yang disebut pemindahan data antarabangsa: dengan adanya jaminan yang lebih ketat dan mekanisme pemantauan berhubung dengan pemindahan data antarabangsa di luar Kesatuan Eropah.
Meterai dan perakuan: diharapkan meterai dan perakuan pematuhan akan dibuat yang memungkinkan pentauliahan Akuntabiliti dari pihak organisasi.
Kewajiban untuk mendaftarkan fail hilang, yang digantikan oleh kontrol internal dan, dalam beberapa kasus, inventaris operasi pemprosesan data yang dilakukan, yang dapat dilihat memiliki konten yang serupa dengan yang saat ini terkandung dalam formulir di soalan.
Sanksi: jumlah sekatan untuk pelanggaran peraturan meningkat, mencapai 20 juta euro atau 4% dari perolehan global tahunan (tidak dikecualikan dari denda kepada Pentadbiran Awam, walaupun Negara-negara Anggota mungkin setuju untuk melakukannya).
Hak baru yang disediakan oleh peraturan
Ketelusan dan maklumat. Organisasi, ketika memproses data peribadi, mesti memberikan lebih banyak maklumat dan dengan cara yang lebih mudah difahami, lengkap dan sederhana, yang akan menggemari pengambilan keputusan oleh warganegara. Pertimbangan khas diberikan kepada kanak-kanak bawah umur ketika ini.
Persetujuan. Persetujuan untuk dapat memproses data peribadi mestilah tegas, bebas dan boleh dicabut dan mesti diberikan melalui tindakan tegas yang jelas. Persetujuan diam-diam tidak dibenarkan.
Betul dilupakan. Persetujuan yang diberikan untuk memproses data peribadi dapat dicabut setiap saat, karena dapat menuntut penghapusan dan penghapusan data di jaringan sosial atau mesin pencari internet.
Hak untuk menghadkan rawatan yang dimaksudkan. Ini memungkinkan warganegara untuk meminta sekatan sementara pemprosesan data mereka ketika ada kontroversi mengenai kesahihannya.
Kemudahalihan data. Warganegara akan dibenarkan untuk meminta pemindahan data peribadi dari satu penyedia perkhidmatan Internet ke yang lain.
Aduan. Aduan boleh diajukan melalui persatuan pengguna.
Pampasan dan denda kerana ketidakpatuhan. Kemungkinan menuntut pampasan untuk ganti rugi yang disebabkan oleh perlakuan data peribadi yang tidak sah diakui.
Orang yang bertanggungjawab untuk fail boleh menetapkan bayaran untuk menjawab pelaksanaan hak akses, dengan mengambil kira kos pentadbiran yang dikenakan.
Pertimbangan mengenai penerapannya yang betul
Meskipun demikian, masih banyak aspek yang masih tertangguh pada pengembangan dan konkrit mereka yang ditetapkan dalam peraturan ini. Dalam pengertian ini, perlu diperhatikan bahawa Negara-negara Anggota, pihak berkuasa kawalan, Jawatankuasa Perlindungan Data Eropah dan Suruhanjaya harus menentukan banyak elemen yang muncul dalam RGPD yang terlalu samar-samar atau kabur.
Bagaimanapun, ketentuan-ketentuan yang terkandung dalam Peraturan tersebut berlaku secara langsung di masing-masing Negara Anggota, tanpa memerlukan transposisi, dan mewajibkan perusahaan swasta dan institusi publik untuk menghadapi proses penting pengaturan ulang.
Walau bagaimanapun, RGPD tidak secara automatik membatalkan LOPD dan peraturan pelaksanaannya. Ia hanya menggantikannya sehingga tidak sesuai dengannya. Di wilayah-wilayah di mana ketidaksesuaian ini tidak berlaku, kedua-dua peraturan akan wujud bersama, yang membuat banyak masalah praktikal dan interpretatif dapat diramalkan, penyelesaiannya akan memerlukan bantuan profesional khusus yang menawarkan jaminan yang mencukupi. Sebaliknya, proses latihan semula tidak mudah dari segi teknikal, jadi penting bagi syarikat untuk mempunyai nasihat undang-undang khusus yang menawarkan jaminan yang mencukupi.
Dapatkan perkhidmatan perlindungan data
Cara yang baik untuk mendapatkan perkhidmatan perlindungan data adalah dengan meminta sebut harga dari Persatuan Syarikat Perlindungan Data (AEPD.org). Dalam pengertian ini, AEPD.org mempunyai pergeseran rasmi di antara syarikat bersekutu. Pengoperasiannya mudah: Anda harus meminta anggaran dari AEPD.org dan persatuan yang sama ini mengagihkannya di kalangan rakan sekerjanya, berusaha memastikan bahawa pelanggan akhir mendapat nasihat yang baik.
Sekiranya anda tidak pergi ke AEPD.org, satu-satunya cara untuk mendapatkan sebut harga adalah pergi satu per satu ke laman web syarikat perlindungan data. Prosedur ini lebih perlahan, tetapi juga berkesan. Dalam beberapa minggu akan datang kami akan membuat dan menerbitkan senarai syarikat LOPD, untuk memudahkan operasi ini. Buat masa ini, mungkin pilihan terbaik adalah pergi ke Persatuan Syarikat Perlindungan Data.
Kesimpulan terakhir
Persetujuan harus diberikan melalui tindakan afirmatif yang jelas yang mencerminkan manifestasi bebas, spesifik, diberitahu, dan tegas dari pihak yang berminat untuk menerima pemprosesan data peribadi yang berkaitan dengannya, seperti pernyataan bertulis, termasuk dengan cara elektronik, atau pernyataan lisan .
Ini termasuk mencentang kotak di laman web di internet, memilih parameter teknikal untuk penggunaan perkhidmatan masyarakat maklumat, atau pernyataan atau tingkah laku lain yang secara jelas menunjukkan dalam konteks ini bahawa pihak yang berminat menerima cadangan rawatan maklumat peribadi mereka. Oleh itu, kesunyian, kotak centang atau kelewatan tidak boleh menjadi persetujuan.
Persetujuan mesti diberikan untuk semua aktiviti pemprosesan yang dijalankan untuk tujuan yang sama atau sama. Apabila rawatan mempunyai beberapa tujuan, persetujuan mesti diberikan untuk mereka semua. Sekiranya persetujuan pihak yang berkepentingan harus diberikan sebagai hasil permintaan dengan cara elektronik, permintaan itu harus jelas, ringkas dan tidak perlu mengganggu penggunaan layanan yang disediakan.