Przede wszystkim powinieneś znać znaczenie tych akronimów, RGPD, ponieważ będą one bardzo ważne dla rozwoju Twojego cyfrowego modelu biznesowego. Cóż, jest to odpowiednik tego, co w rzeczywistości jest ogólnym rozporządzeniem o ochronie danych (RGPD) i które weszło w życie bardzo niedawno. A jeśli masz handel lub sklep internetowy Będziesz musiał dostosować się do przepisów, aby od tej pory nie zaskakiwać innych negatywnie.
Czy muszę coś zrobić, aby dostosować mój sklep lub firmę do RODO? W tym sensie powinieneś wiedzieć, że RGPD jest rozporządzeniem zatwierdzonym na poziomie Unii Europejskiej, a jego celem jest zapewnienie ochrony danych osobowych.
Od teraz wszystkie firmy będą musiały udostępniać na swojej stronie internetowej Politykę Prywatności, która wyjaśnia, jakimi są przetwarzanie danych które mają klientów, współpracowników, pracowników lub po prostu są zainteresowane otrzymywaniem informacji handlowych.
Nowe zasady zawarte w RGPD
W obecnym rozporządzeniu o ochronie danych w Europie rozważane są nowe scenariusze dla właścicieli cyfrowego biznesu. A wśród których są następujące aspekty, które przedstawiamy poniżej. Tam, gdzie konieczne jest również wzięcie pod uwagę, że Parlament Europejski i Rada ostatecznie zatwierdziły ogólne rozporządzenie o ochronie danych (RGPD), które, dążąc do ujednolicić reżimy wszystkich państw członkowskich w tej sprawie weszła w życie 25 maja 2016 r., chociaż jej przestrzeganie będzie obowiązkowe dopiero po dwóch latach od tej daty.
Zasada odpowiedzialności. Trzeba będzie wdrożyć mechanizmy, które pozwolą udowodnić, że podjęto wszelkie niezbędne kroki w celu przetwarzania danych osobowych zgodnie z wymogami normy. Jest to proaktywna odpowiedzialność. Organizacje muszą być w stanie wykazać, że spełniają te wymagania, co będzie wymagało opracowania zasad, procedur, kontroli itp.
Zasady ochrony danych domyślnie i zgodnie z projektem. W tym przypadku należy podjąć środki gwarantujące zgodność ze standardem od momentu zaprojektowania firmy, produktu, usługi lub działalności, która wiąże się z przetwarzaniem danych, co do zasady i od źródła.
Zasada przejrzystości. Informacje prawne i polityka prywatności powinny być prostsze i bardziej zrozumiałe, ułatwiając ich zrozumienie, a także pełniejsze. Przewiduje się nawet, że w celu informowania o przetwarzaniu danych można zastosować znormalizowane ikony.
Nowe obowiązki dla firm cyfrowych
Czasami konieczne będzie wyznaczenie inspektora ochrony danych (IOD), wewnętrznego lub zewnętrznego, w celu pomocy organizacjom w procesie zgodność z normami. Jednak złożoność nowego standardu sprawi, że liczba ta będzie wysoce zalecana w zdecydowanej większości organizacji.
W niektórych przypadkach należy przeprowadzić ocenę wpływu na prywatność, która ostatecznie określi konkretne zagrożenia związane z przetwarzaniem niektórych danych osobowych i przewiduje środki mające na celu złagodzenie lub wyeliminowanie tych zagrożeń.
Przedsiębiorstwa międzynarodowe będą miały jako rozmówcę jeden krajowy organ kontrolny: główny organ jednostki organizacyjnej. Jest to tak zwane pojedyncze okno.
Informacje o naruszeniach bezpieczeństwa należy zgłaszać organom kontrolnym, aw poważnych przypadkach osobom poszkodowanym, gdy tylko się o nich dowiedzą, ustalając maksymalny okres 72 godzin.
Wrażliwe dane: Rozszerzono zakres danych specjalnie chronionych, teraz obejmujących dane genetyczne i biometryczne. Do tej kategorii zalicza się również przestępstwa i wyroki skazujące, chociaż nie są to przestępstwa administracyjne.
Wybór osoby odpowiedzialnej za leczenie jest trudniejszy, ponieważ konieczne będzie wybranie takiej, która zapewni wystarczające gwarancje zgodności z przepisami.
Dodatkowe gwarancje dla tzw. Międzynarodowych transferów danych: wraz z ustanowieniem bardziej rygorystycznych gwarancji i mechanizmów monitorowania w odniesieniu do międzynarodowych transferów danych poza Unię Europejską.
Pieczęcie i certyfikaty: oczekuje się, że zostaną utworzone pieczęcie i certyfikaty zgodności, które umożliwią akredytację Odpowiedzialności przez organizacje.
Znika obowiązek rejestracji plików, który zostaje zastąpiony przez kontrolę wewnętrzną oraz, w niektórych przypadkach, inwentaryzację przeprowadzonych operacji przetwarzania danych, które można uznać za mające podobną zawartość do tej zawartej obecnie w formularzu w pytanie.
Sankcje: kwoty sankcji za złamanie zasady rosną, osiągając 20 mln euro lub 4% rocznego światowego obrotu (nie są wyłączone z kar nakładanych na administrację publiczną, chociaż państwa członkowskie mogą się na to zgodzić).
Nowe prawa wynikające z rozporządzenia
Przejrzystość i informacja. Organizacje, przetwarzając dane osobowe, muszą przekazywać więcej informacji w sposób bardziej zrozumiały, kompletny i prosty, co będzie sprzyjało podejmowaniu decyzji przez obywatela. W tym miejscu szczególną uwagę zwraca się na nieletnich.
Zgoda. Zgoda na przetwarzanie danych osobowych musi być jednoznaczna, bezpłatna i odwołalna oraz musi być wyrażona w drodze jednoznacznego aktu potwierdzającego. Milcząca zgoda nie jest dozwolona.
Prawo do bycia zapomnianym. Wyrażoną zgodę na przetwarzanie danych osobowych można w każdej chwili cofnąć, mając możliwość żądania usunięcia i usunięcia danych w sieciach społecznościowych lub wyszukiwarkach internetowych.
Prawo do ograniczenia przedmiotowego leczenia. Pozwala obywatelowi zażądać czasowego zablokowania przetwarzania jego danych, gdy istnieją kontrowersje co do ich legalności.
Przenoszenie danych. Obywatel będzie mógł zażądać przeniesienia danych osobowych od jednego dostawcy usług internetowych do drugiego.
Uskarżanie się. Reklamacje można składać za pośrednictwem stowarzyszeń użytkowników.
Odszkodowanie i kary za nieprzestrzeganie. Uznaje się, że istnieje możliwość żądania odszkodowania za szkody wynikające z nielegalnego przetwarzania danych osobowych.
Osoba odpowiedzialna za akta może ustalić opłatę za skorzystanie z prawa dostępu, uwzględniając związane z tym koszty administracyjne.
Rozważania dotyczące jego prawidłowego stosowania
Niezależnie od powyższego, nadal istnieje wiele aspektów, które wciąż oczekują na ich rozwój i konkrecję, które są określone w tym rozporządzeniu. W tym sensie należy zauważyć, że państwa członkowskie, organy kontrolne, Europejski Komitet Ochrony Danych i Komisja muszą określić wiele elementów, które pojawiają się w RGPD, które są zbyt niejednoznaczne lub niejasne.
W każdym razie przepisy zawarte w rozporządzeniach mają bezpośrednie zastosowanie w każdym z państw członkowskich, bez konieczności transpozycji, i zobowiązują firmy prywatne i instytucje publiczne do podjęcia ważnego procesu dostosowań regulacyjnych.
Jednak RGPD nie uchyla automatycznie LOPD i jej rozporządzeń wykonawczych. Po prostu przesuwa je w takim stopniu, w jakim są z nim niekompatybilne. W tych obszarach, w których taka niezgodność nie występuje, obie regulacje będą współistnieć, co przewiduje wiele problemów praktycznych i interpretacyjnych, których rozwiązanie będzie wymagało pomocy wyspecjalizowanych fachowców, dających wystarczające gwarancje. Z drugiej strony proces readaptacji nie jest technicznie łatwy, dlatego ważne będzie, aby firmy miały specjalistyczne porady prawne, które dają wystarczające gwarancje.
Skorzystaj z usługi ochrony danych
Dobrym sposobem na skorzystanie z usługi ochrony danych jest poproszenie o wycenę z witryny Stowarzyszenie Firm Ochrony Danych (AEPD.org). W tym sensie AEPD.org dokonuje oficjalnej zmiany wśród powiązanych z nią firm. Jego działanie jest proste: musisz poprosić o budżet AEPD.org i to samo stowarzyszenie rozdziela go między swoich współpracowników, starając się zapewnić klientowi końcowemu dobrą radę.
Jeśli nie wejdziesz na AEPD.org, jedynym sposobem na uzyskanie wyceny jest wchodzenie pojedynczo na strony internetowe firm zajmujących się ochroną danych. Ta procedura jest wolniejsza, ale także skuteczna. W najbliższych tygodniach sporządzimy i opublikujemy listę firm LOPD, aby ułatwić tę operację. Na razie chyba najlepszą opcją jest udanie się do Stowarzyszenia Firm Ochrony Danych.
Ostatnie wnioski
Zgoda musi być wyrażona w postaci wyraźnego, potwierdzającego działania, które odzwierciedla dobrowolne, konkretne, świadome i jednoznaczne wyrażenie zgody na przetwarzanie dotyczących jej danych osobowych, takie jak pisemne oświadczenie, w tym drogą elektroniczną, lub oświadczenie słowne.
Może to obejmować zaznaczenie pola wyboru na stronie internetowej w Internecie, wybór parametrów technicznych korzystania z usług społeczeństwa informacyjnego lub jakiekolwiek inne oświadczenie lub zachowanie, które wyraźnie wskazuje w tym kontekście, że zainteresowana strona akceptuje proponowane traktowanie jej danych osobowych. Dlatego milczenie, zaznaczone pola lub brak działania nie powinny stanowić zgody.
Zgoda musi być wyrażona na wszystkie czynności przetwarzania wykonywane w tych samych lub tych samych celach. Gdy leczenie ma kilka celów, należy wyrazić zgodę na wszystkie z nich. Jeżeli zgoda zainteresowanej strony musi być wyrażona w wyniku żądania przesłanego drogą elektroniczną, żądanie musi być jasne, zwięzłe i nie może niepotrzebnie zakłócać korzystania z usługi, dla której jest świadczone.