Прежде всего, вы должны знать значение этих сокращений, RGPD, потому что это будет очень важно для развития вашей цифровой бизнес-модели. Что ж, это эквивалентно тому, что на самом деле является Общим регламентом защиты данных (RGPD), который вступил в силу совсем недавно. И если у вас есть коммерция или интернет-магазин Придется соблюдать законодательство, чтобы отныне не ждать еще каких-то неприятных сюрпризов.
Нужно ли мне что-то делать, чтобы адаптировать мой магазин или бизнес к GDPR? В этом смысле вы должны знать, что RGPD - это нормативный акт, утвержденный на уровне Европейского Союза, и его цель - обеспечить защиту личной информации.
Отныне все компании должны будут разместить на своих веб-сайтах Политику конфиденциальности, в которой объясняется, как они работают. обработка данных которые имеют клиентов, партнеров, сотрудников или просто заинтересованы в получении коммерческой информации.
Новые принципы включены в RGPD
В действующих правилах защиты данных в Европе предусмотрены новые сценарии для владельцев цифрового бизнеса. И среди которых есть следующие аспекты, которые мы раскрываем вам ниже. Там, где также необходимо, чтобы вы приняли во внимание, что Европейский парламент и Совет окончательно утвердили Общий регламент защиты данных (RGPD), который, с целью унифицировать режимы всех государств-членов по этому вопросу вступил в силу 25 мая 2016 г., хотя его соблюдение станет обязательным только через два года с этой даты.
Принцип ответственности. Необходимо будет внедрить механизмы, чтобы доказать, что были приняты все необходимые меры для обработки персональных данных в соответствии с требованиями нормы. Это проактивная ответственность. Организации должны иметь возможность продемонстрировать, что они соответствуют этим требованиям, что потребует разработки политик, процедур, средств контроля и т. Д.
Принципы защиты данных по умолчанию и преднамеренно. В этом случае должны быть приняты меры, гарантирующие соответствие стандарту с момента создания компании, продукта, услуги или деятельности, которые связаны с обработкой данных, как правило, и из источника.
Принцип прозрачности. Юридические уведомления и политика конфиденциальности должны быть более простыми и понятными, облегчая их понимание, а также более полными. Предполагается даже, что для информирования об обработке данных могут использоваться стандартные значки.
Новые обязательства для цифровых компаний
В некоторых случаях необходимо будет назначить сотрудника по защите данных (DPO), внутреннего или внешнего, для оказания помощи организациям в процессе нормативное соответствие. Однако из-за сложности нового стандарта эта цифра настоятельно рекомендуется для подавляющего большинства организаций.
В определенных случаях необходимо провести оценку воздействия на конфиденциальность, которая в конечном итоге определит конкретные риски, связанные с обработкой определенных персональных данных, и предвидит меры по снижению или устранению указанных рисков.
У транснациональных компаний в качестве собеседника будет единый национальный контрольный орган: орган основного учреждения. Это так называемое «единое окно».
О нарушениях безопасности необходимо сообщать контролирующим органам и, в серьезных случаях, пострадавшим, как только они становятся известны, с установлением максимального периода в 72 часа.
Конфиденциальные данные: Особо защищенные данные расширены, теперь они включают генетические и биометрические данные. В эту категорию также входят уголовные преступления и обвинительные приговоры, но не административные.
Выбор лица, ответственного за лечение, является более сложным, поскольку необходимо будет выбрать того, кто обеспечивает достаточные гарантии соблюдения нормативных требований.
Дополнительные гарантии для так называемой международной передачи данных: с установлением более строгих гарантий и механизмов мониторинга в отношении международной передачи данных за пределы Европейского Союза.
Печати и сертификаты: предполагается, что будут созданы печати и сертификаты соответствия, которые позволят аккредитовать Подотчетность со стороны организаций.
Обязательство регистрировать файлы исчезает, что заменяется внутренним контролем и, в некоторых случаях, инвентаризацией выполняемых операций обработки данных, которые можно рассматривать как имеющие содержание, подобное тому, которое в настоящее время содержится в форме в вопрос.
санкции: суммы санкций за нарушение правила растут, достигая 20 миллионов евро или 4% годового глобального оборота (не исключены штрафы для государственных администраций, хотя государства-члены могут согласиться на это).
Новые права, предусмотренные постановлением
Прозрачность и информация. При обработке персональных данных организации должны предоставлять больше информации в более понятной, полной и простой форме, которая будет способствовать принятию решений гражданами. Особое внимание здесь уделяется несовершеннолетним.
Согласие. Согласие на обработку персональных данных должно быть недвусмысленным, бесплатным и отзывным и должно быть дано посредством четкого утвердительного действия. Молчаливое согласие недопустимо.
Право на забвение. Согласие, данное на обработку персональных данных, может быть отозвано в любое время, при этом вы можете потребовать удаления и удаления данных в социальных сетях или поисковых системах Интернета.
Право на ограничение рассматриваемого лечения. Это позволяет гражданину запросить временную блокировку обработки его данных, когда есть разногласия по поводу его законности.
Переносимость данных. Гражданину будет разрешено запрашивать передачу личных данных от одного интернет-провайдера к другому.
Жалобы. Жалобы могут подаваться через ассоциации пользователей.
Компенсация и штрафы за несоблюдение. Признается возможность требования компенсации за ущерб, причиненный незаконной обработкой персональных данных.
Лицо, ответственное за файл, может установить плату за осуществление права доступа с учетом административных расходов, которые это влечет за собой.
Соображения по правильному применению
Несмотря на вышеизложенное, есть еще много аспектов, которые еще не решены для их разработки и конкретизации, которые предусмотрены в этом постановлении. В этом смысле следует отметить, что государства-члены, контролирующие органы, Европейский комитет по защите данных и Комиссия должны указать множество элементов, которые появляются в RGPD, которые являются слишком двусмысленными или расплывчатыми.
В любом случае положения, содержащиеся в Регламенте, напрямую применяются в каждом из государств-членов без необходимости транспонирования и обязывают частные компании и государственные учреждения сталкиваться с важным процессом корректировки нормативных требований.
Однако RGPD не отменяет автоматически LOPD и подзаконные акты. Он просто вытесняет их до такой степени, что они несовместимы с ним. В тех областях, в которых такой несовместимости не возникает, оба правила будут сосуществовать, что позволяет предвидеть множество практических и интерпретационных проблем, решение которых потребует помощи специализированных профессионалов, предлагающих достаточные гарантии. С другой стороны, процесс реадаптации технически непрост, поэтому компаниям будет важно иметь специализированные юридические консультации, предлагающие достаточные гарантии.
Получите услугу защиты данных
Хороший способ получить услугу защиты данных - запросить цитаты у Ассоциация компаний по защите данных (AEPD.org). В этом смысле у AEPD.org есть официальная смена среди связанных с ним компаний. Его работа проста: вы должны запросить бюджет у AEPD.org, и эта же ассоциация распределяет его среди своих партнеров, пытаясь гарантировать, что конечный покупатель получит хороший совет.
Если вы не заходите на AEPD.org, единственный способ получить оценки - это перейти по одному на веб-сайты компаний, занимающихся защитой данных. Эта процедура более медленная, но также эффективная. В ближайшие недели мы составим и опубликуем список компаний LOPD, чтобы упростить эту операцию. На данный момент, пожалуй, лучший вариант - обратиться в Ассоциацию компаний по защите данных.
Последние выводы
Согласие должно быть дано посредством четкого позитивного действия, которое отражает свободное, конкретное, информированное и недвусмысленное проявление заинтересованной стороны в согласии с обработкой его персональных данных, таких как письменное заявление, в том числе с помощью электронных средств, или устное заявление. .
Это может включать в себя установку флажка на веб-сайте в Интернете, выбор технических параметров для использования услуг информационного общества или любое другое заявление или поведение, которые четко указывают в этом контексте, что заинтересованная сторона принимает предлагаемое обращение со своей личной информацией. Следовательно, молчание, флажки или бездействие не должны составлять согласие.
Согласие должно быть дано для всех операций по обработке, выполняемых для одних и тех же или тех же целей. Если лечение преследует несколько целей, согласие должно быть дано на все из них. Если согласие заинтересованной стороны должно быть дано в результате запроса с помощью электронных средств, запрос должен быть четким, кратким и не должен излишне мешать использованию услуги, для которой он предоставляется.