Først og fremst bør du vite betydningen av disse forkortelsene, RGPD, fordi det vil være veldig viktig for utviklingen av din digitale forretningsmodell. Vel, det tilsvarer hva som faktisk er den generelle databeskyttelsesforordningen (RGPD) og som har trådt i kraft veldig nylig. Og hvis du har en handel eller nettbutikk Du må overholde lovgivningen for ikke å overraske noen annen negativ overraskelse.
Må jeg gjøre noe for å tilpasse butikken eller virksomheten min til GDPR? I denne forstand bør du vite at RGPD er en forskrift som er godkjent på EU-nivå, og dens mål er å sikre beskyttelse av personlig informasjon.
Fra nå av må alle selskaper stille en personvernpolicy til rådighet på nettstedet som forklarer hvordan de er behandle dataene som enten har kunder, tilknyttede selskaper, ansatte eller bare er interessert i å motta kommersiell informasjon.
Nye prinsipper inkludert i RGPD
I den gjeldende forskriften om databeskyttelse på europeisk nivå vurderes det nye scenarier for eierne av en digital virksomhet. Og blant disse er følgende aspekter som vi avslører deg nedenfor. Der det også er nødvendig at du tar i betraktning at Europaparlamentet og Rådet endelig har godkjent den generelle databeskyttelsesforordningen (RGPD), som med ambisjon om forene regimer av alle medlemsstatene i saken, trådte i kraft 25. mai 2016, selv om dens samsvar bare vil være obligatorisk etter to år fra denne datoen.
Ansvarsprinsipp. Mekanismer må implementeres for å bevise at alle nødvendige tiltak er vedtatt for å behandle personopplysninger i henhold til normen. Det er et proaktivt ansvar. Organisasjoner må kunne demonstrere at de oppfyller disse kravene, noe som vil kreve utvikling av policyer, prosedyrer, kontroller etc.
Prinsipper for databeskyttelse som standard og etter design. Ved denne anledningen må det iverksettes tiltak for å garantere overholdelse av standarden fra det øyeblikket et selskap, et produkt, en tjeneste eller aktivitet som involverer databehandling er utformet, som regel og fra kilden.
Prinsipp for åpenhet. De juridiske merknadene og personvernreglene bør være enklere og mer forståelige, forenkle deres forståelse, samt mer komplette. Det er til og med tenkt at standardiserte ikoner kan brukes for å informere om behandlingen av dataene.
Nye forpliktelser for digitale selskaper
Noen ganger vil det være obligatorisk å utpeke en databeskyttelsesdelegat (DPO), intern eller ekstern, for å hjelpe organisasjoner i prosessen med normativ etterlevelse. Kompleksiteten til den nye standarden vil imidlertid gjøre dette tallet sterkt anbefalt i de aller fleste organisasjoner.
I visse tilfeller må det foretas konsekvensanalyser for personvern, som til slutt vil bestemme de spesifikke risikoene som er involvert i behandling av visse personopplysninger og forutse tiltak for å redusere eller eliminere nevnte risiko.
Multinasjonale selskaper vil ha som samtalepartner en enkelt nasjonal kontrollmyndighet: den som er enhetens hovedetablering. Det er det som er kjent som et enkelt vindu.
Sikkerhetsbrudd må kommuniseres til kontrollmyndighetene og, i alvorlige tilfeller, til de berørte, så snart de er kjent, og etablere en maksimumsperiode på 72 timer.
Sensitive data: Spesielt beskyttede data utvides, inkludert genetiske og biometriske data. Straffelovbrudd og domfellelser er også inkludert i denne kategorien, men ikke administrative.
Valget av en person som har ansvaret for behandlingen er tøffere, siden det vil være nødvendig å velge en som gir tilstrekkelige garantier for at regelverket overholdes.
Ytterligere garantier for såkalt internasjonal dataoverføring: med etablering av strengere garantier og overvåkingsmekanismer i forhold til internasjonale dataoverføringer utenfor EU.
Forseglinger og sertifiseringer: Det forventes at det opprettes forseglinger og sertifiseringer for samsvar som gjør det mulig å akkreditere ansvarligheten fra organisasjonenes side.
Plikten til å registrere filene forsvinner, som erstattes av en intern kontroll og, i noen tilfeller, en oversikt over databehandlingsoperasjonene som utføres, noe som kan sees på å ha et innhold som ligner det som for øyeblikket finnes i skjemaet i spørsmål.
sanksjoner: mengden sanksjoner for manglende overholdelse av forordningen vokser og når 20 millioner euro eller 4% av den årlige globale omsetningen (ikke ekskludert fra bøtene til offentlige myndigheter, selv om medlemsstatene kan være enige om å gjøre det).
Nye rettigheter gitt ved forskrift
Åpenhet og informasjon. Organisasjoner må, når de behandler personopplysninger, gi mer informasjon og på en mer forståelig, fullstendig og enkel måte som vil favorisere beslutningstaking fra innbyggerne. Spesielt hensyn tas mindreårige på dette tidspunktet.
Samtykke. Samtykke til å kunne behandle personopplysninger må være utvetydig, gratis og tilbakekallbar og må gis ved hjelp av en klar bekreftende handling. Stilltiende samtykke er ikke tillatt.
Rett til å bli glemt. Samtykke gitt for behandling av personopplysninger kan når som helst tilbakekalles, for å kunne kreve sletting og eliminering av dataene i sosiale nettverk eller søkemotorer på internett.
Rett til begrensning av den aktuelle behandlingen. Det tillater innbyggerne å be om midlertidig blokkering av behandlingen av dataene sine når det er kontroverser om lovligheten.
Dataportabilitet. Innbyggeren vil få lov til å be om overføring av personopplysninger fra en internettleverandør til en annen.
Klager. Klager kan inngis gjennom brukerforeninger.
Kompensasjon og straff for manglende overholdelse. Muligheten for å kreve erstatning for skader som oppstår ved ulovlig behandling av personopplysninger er anerkjent.
Personen som er ansvarlig for saksdokumentet kan fastsette et gebyr for å svare på øvelsene med rett til innsyn, med tanke på de administrative kostnadene dette medfører.
Hensyn til korrekt anvendelse
Til tross for det foregående er det fremdeles mange aspekter som fremdeles venter på utvikling og konkretjon som er fastsatt i denne forskriften. I denne forstand bør det bemerkes at medlemsstatene, kontrollmyndighetene, Den europeiske personvernkomiteen og kommisjonen må spesifisere et mangfold av elementer som vises i RGPD som er for tvetydige eller vage.
Uansett er bestemmelsene i forskriften direkte gjeldende i hver av medlemsstatene, uten behov for gjennomføring, og forplikter private selskaper og offentlige institusjoner til å møte en viktig prosess med regulering på nytt.
Imidlertid opphever RGPD ikke automatisk LOPD og dens implementeringsbestemmelser. Det fortrenger ganske enkelt disse i den grad de er uforenlige med det. På de områdene der denne inkompatibiliteten ikke forekommer, vil begge forskriftene eksistere sammen, noe som forutsetter mange praktiske og fortolkende problemer, hvis løsning vil kreve hjelp fra spesialiserte fagpersoner som tilbyr tilstrekkelige garantier. Mens tilpasningsprosessen derimot ikke er teknisk lett, så vil det være viktig for selskaper å ha spesialisert juridisk rådgivning som gir tilstrekkelige garantier.
Få en databeskyttelsestjeneste
En god måte å få tak i en databeskyttelsestjeneste er å be om tilbud fra Association of Data Protection Companies (AEPD.org). I denne forstand har AEPD.org et offisielt skifte blant tilknyttede selskaper. Driften er enkel: Du må be om et budsjett fra AEPD.org, og den samme foreningen distribuerer det blant sine samarbeidspartnere, og prøver å sikre at sluttkunden får gode råd.
Hvis du ikke går til AEPD.org, er den eneste måten å få anslag på å gå en etter en til nettsidene til databeskyttelsesselskaper. Denne prosedyren er tregere, men også effektiv. I løpet av de kommende ukene vil vi lage og publisere en liste over LOPD-selskaper for å gjøre denne operasjonen enklere. For øyeblikket er kanskje det beste alternativet å gå til Association of Data Protection Companies.
Siste konklusjoner
Samtykke må gis gjennom en klar bekreftende handling som gjenspeiler en gratis, spesifikk, informert og utvetydig manifestasjon av den interesserte parten for å godta behandlingen av personopplysninger om ham, for eksempel en skriftlig uttalelse, inkludert elektronisk, eller en muntlig uttalelse .
Dette kan omfatte å merke av i en rute på et nettsted på internett, velge tekniske parametere for bruk av informasjonssamfunnstjenester, eller andre uttalelser eller atferd som tydelig indikerer i denne sammenhengen at den interesserte aksepterer den foreslåtte behandlingen av deres personlige informasjon. Derfor bør stillhet, avmerkede bokser eller passivitet ikke utgjøre samtykke.
Samtykke må gis for alle behandlingsaktiviteter som utføres for samme eller samme formål. Når behandlingen har flere formål, må samtykke gis for dem alle. Hvis den interesserte partens samtykke må gis som et resultat av en forespørsel på elektronisk måte, må forespørselen være tydelig, kortfattet og ikke unødvendig forstyrre bruken av tjenesten den leveres for.