Först och främst bör du känna till innebörden av dessa akronymer, GDPR, eftersom det kommer att vara mycket viktigt för utvecklingen av din digitala affärsmodell. Jo, det motsvarar vad som faktiskt är General Data Protection Regulation (RGPD) och som har trätt i kraft alldeles nyligen. Och om du har en butik eller webbutik Du kommer att behöva följa lagstiftningen för att inte få den udda negativa överraskningen från och med nu.
Måste jag göra något för att anpassa min butik eller verksamhet till GDPR? I denna mening bör du veta att GDPR är en förordning godkänd på EU-nivå och dess mål är att säkerställa skyddet av personlig information.
Från och med nu måste alla företag göra en integritetspolicy tillgänglig på sin webbplats som förklarar hur de ligger till behandlar uppgifterna som de har, oavsett om de är kunder, medarbetare, anställda eller helt enkelt intresserade av att få kommersiell information.
Nya principer inkluderade i GDPR
I de nuvarande reglerna om dataskydd på europeisk nivå övervägs nya scenarier för ägarna av digital handel. Och bland vilka är följande aspekter som vi presenterar nedan. Där det också är nödvändigt att du tar hänsyn till att Europaparlamentet och rådet slutligen har godkänt den allmänna dataskyddsförordningen (RGPD), som, med strävan att förena regimer av alla medlemsstater i frågan, har trätt i kraft den 25 maj 2016, även om dess efterlevnad endast kommer att vara obligatorisk två år efter detta datum
Ansvarsprincipen. Mekanismer kommer att behöva implementeras för att bevisa att alla nödvändiga åtgärder har vidtagits för att behandla personuppgifter enligt lag. Det är ett proaktivt ansvar. Organisationer måste kunna visa att de uppfyller dessa krav, vilket kommer att tvinga fram utvecklingen av policyer, procedurer, kontroller etc.
Dataskyddsprinciper som standard och genom design. Vid detta tillfälle måste åtgärder vidtas för att garantera efterlevnad av standarden från det ögonblick ett företag, produkt, tjänst eller verksamhet utformas som innefattar databehandling, som regel och från ursprunget.
Principen om transparens. De juridiska meddelandena och integritetspolicyerna måste vara enklare och mer begripliga, underlätta deras förståelse och vara mer kompletta. Det är till och med förutsett att standardiserade ikoner kan användas för att informera om behandlingen av uppgifterna.
Nya skyldigheter för digitala företag
Ibland kommer det att vara obligatoriskt att utse en dataskyddsombud (DPO), intern eller extern, som hjälper organisationer i processen att normativ efterlevnad. Komplexiteten i den nya standarden kommer dock att göra denna siffra starkt att rekommendera i de allra flesta organisationer.
I vissa fall måste integritetskonsekvensbedömningar utföras och dessa kommer i slutändan att avgöra de specifika riskerna som är involverade i behandlingen av vissa personuppgifter och tillhandahålla åtgärder för att mildra eller eliminera dessa risker.
Multinationella företag kommer som samtalspartner att ha en enda nationell kontrollmyndighet: den för enhetens huvudsakliga etablering. Detta är känt som ett enda fönster.
Säkerhetsbrott ska meddelas till kontrollmyndigheterna och i allvarliga fall till de som drabbas så snart de är kända, med en maximal period på 72 timmar.
Känslig data: Speciellt skyddad data utökas, nu inkluderar genetiska och biometriska data. Brottsbrott och fällande domar ingår också i denna kategori, dock inte administrativa.
Valet av en person som är ansvarig för behandlingen är hårdare, eftersom det kommer att vara nödvändigt att välja en som ger tillräckliga garantier för regelefterlevnad.
Ytterligare garantier för så kallade internationella dataöverföringar: med införande av strängare garantier och övervakningsmekanismer i förhållande till internationella dataöverföringar utanför Europeiska unionen.
Sigill och certifieringar: det förväntas att sigill och efterlevnadscertifieringar kommer att skapas som gör det möjligt för organisationer att certifiera Accountability.
Skyldigheten att registrera filerna försvinner, vilket ersätts av en intern kontroll och i vissa fall en inventering av de databehandlingsoperationer som utförs, som är avsett att ha ett innehåll som liknar det som för närvarande finns i den aktuella blanketten. .
påföljder: beloppen för sanktionerna för bristande efterlevnad av normen ökar och kan nå 20 miljoner euro eller 4 % av den årliga globala omsättningen (det är inte undantaget från böterna till de offentliga förvaltningarna, även om medlemsstaterna kan komma överens om det ) .
Nya rättigheter som förordningen ger
Transparens och information. Organisationer måste, när de behandlar personuppgifter, tillhandahålla mer information och på ett mer begripligt, fullständigt och enkelt sätt, vilket gynnar medborgarnas beslutsfattande. Särskild hänsyn tas till minderåriga vid denna tidpunkt.
Samtycke. Samtycket för att få behandla personuppgifter ska vara otvetydigt, fritt och återkallbart och ska ges genom en tydlig bekräftande handling. Implicit samtycke är inte tillåtet.
Rätt att bli bortglömd. Det samtycke som ges för behandling av personuppgifter kan återkallas när som helst, med möjlighet att kräva radering och eliminering av uppgifterna på sociala nätverk eller sökmotorer på internet.
Rätt att begränsa den aktuella behandlingen. Det tillåter medborgaren att begära tillfällig blockering av behandlingen av sina uppgifter när det finns tvister om dess laglighet.
Dataportabilitet. Medborgaren kommer att få begära överföring av personuppgifter från en internetleverantör till en annan.
Klagomål. Klagomål kan lämnas via användarföreningar.
Ersättningar och påföljder för bristande efterlevnad. Möjligheten att kräva ersättning för skador som härrör från olaglig behandling av personuppgifter erkänns.
Den aktansvarige får fastställa en avgift för att svara på utövande av insynsrätten med beaktande av de administrativa kostnader som detta medför.
Överväganden om dess korrekta tillämpning
Trots det föregående finns det fortfarande många aspekter som fortfarande är oavgjorda på deras utveckling och konkretisering som föreskrivs i denna förordning. I denna mening bör det noteras att medlemsstaterna, kontrollmyndigheterna, Europeiska kommittén för dataskydd och kommissionen måste specificera en mängd element som förekommer i RGPD som är alltför tvetydiga eller oprecisa.
I vilket fall som helst är bestämmelserna i förordningen direkt tillämpliga i var och en av medlemsstaterna, utan behov av införlivande och tvingar privata företag och offentliga institutioner att stå inför en viktig process för omarbetning av lagstiftningen.
GDPR upphäver dock inte automatiskt LOPD och dess tillämpningsföreskrifter. Det förskjuter helt enkelt dessa i den mån de är oförenliga med det. På de områden där nämnda oförenlighet inte förekommer kommer båda förordningarna att existera samtidigt, vilket tyder på många praktiska och tolkningsproblem, vars lösning kommer att kräva hjälp av specialiserade yrkesmän som erbjuder tillräckliga garantier. Å andra sidan är omanpassningsprocessen inte tekniskt enkel, så det kommer att vara viktigt för företag att ha specialiserad juridisk rådgivning som ger tillräckliga garantier.
Skaffa en dataskyddstjänst
Ett bra sätt att få en dataskyddstjänst är att begära offerter från Föreningen av dataskyddsföretag (AEPD.org). I denna mening har AEPD.org ett ex officio-skifte bland sina associerade företag. Dess funktion är enkel: Du måste begära en budget från AEPD.org och samma förening distribuerar den bland sina medarbetare och försöker se till att slutkunden får goda råd.
Om du inte går in på AEPD.org är det enda sättet att få offerter att gå en efter en till dataskyddsföretagens webbplatser. Denna procedur är långsammare, men också effektiv. Under de kommande veckorna kommer vi att göra och publicera en lista över LOPD-företag, för att göra denna operation enklare. För tillfället är kanske det bästa alternativet att gå till Dataskyddsföretagens förening.
Sista slutsatser
Samtycke måste ges genom en tydlig bekräftande handling som återspeglar ett fritt, specifikt, informerat och otvetydigt uttryck av vilja från den berörda parten att acceptera behandlingen av personuppgifter som rör honom, såsom ett skriftligt uttalande, inklusive på elektronisk väg , eller ett muntligt uttalande.
Detta kan inkludera att kryssa i en ruta på en webbsida, välja tekniska parametrar för användningen av informationssamhällets tjänster eller något annat uttalande eller beteende som tydligt anger i detta sammanhang att den berörda parten accepterar den föreslagna behandlingen av deras personuppgifter. Därför bör tystnad, redan markerade rutor eller passivitet inte utgöra samtycke.
Samtycke måste ges för all behandling som utförs för samma ändamål. När behandlingen har flera syften ska samtycke lämnas för alla. Om samtycke från den berörda parten ska ges till följd av en begäran på elektronisk väg ska begäran vara tydlig, kortfattad och inte i onödan störa användningen av tjänsten den tillhandahålls för.