Перш за все, ви повинні знати значення цих абревіатур, RGPD, тому що це буде дуже важливо для розвитку вашої цифрової бізнес-моделі. Ну, це еквівалентно тому, що насправді є Загальним регламентом захисту даних (RGPD) і який набув чинності зовсім недавно. І якщо у вас є комерції або інтернет-магазину вам доведеться дотримуватись законодавства, щоб відтепер не чекати якийсь інший негативний сюрприз.
Чи потрібно мені щось робити, щоб адаптувати свій магазин або бізнес до GDPR? У цьому сенсі вам слід знати, що RGPD – це нормативний акт, затверджений на рівні Європейського Союзу, і його метою є забезпечення захисту персональної інформації.
Відтепер усі компанії повинні будуть розміщувати на своєму веб-сайті Політику конфіденційності, яка пояснює, як вони обробка даних які мають клієнтів, партнерів, співробітників або просто зацікавлені в отриманні комерційної інформації.
Нові принципи, включені в РГПД
У чинних правилах захисту даних в Європі передбачаються нові сценарії для власників цифрового бізнесу. Серед них є наступні аспекти, які ми розкриваємо нижче. Там, де також необхідно, щоб ви врахували, що Європейський парламент і Рада нарешті схвалили Загальний регламент захисту даних (RGPD), який, з метою уніфікувати режими усіх держав-членів з цього питання, набув чинності 25 травня 2016 року, хоча його дотримання буде обов’язковим лише через два роки з цієї дати.
Принцип відповідальності. Треба буде запровадити механізми, щоб довести, що вжито всіх необхідних заходів для обробки персональних даних, як того вимагає норма. Це активна відповідальність. Організації повинні мати можливість продемонструвати, що вони відповідають цим вимогам, що вимагатиме розробки політики, процедур, засобів контролю тощо.
Принципи захисту даних за замовчуванням і за проектом. У зв’язку з цим необхідно вжити заходів, щоб гарантувати відповідність стандарту з моменту розробки компанії, продукту, послуги чи діяльності, що передбачає обробку даних, як правило, і з джерела.
Принцип прозорості. Юридичні повідомлення та політика конфіденційності мають бути простішими та більш зрозумілими, полегшуючи їх розуміння, а також повнішими. Передбачається навіть, що для інформування про обробку даних можуть використовуватися стандартизовані значки.
Нові зобов’язання для цифрових компаній
Іноді буде обов’язковим призначити представника із захисту даних (DPO), внутрішнього чи зовнішнього, щоб допомогти організаціям у процесі нормативна відповідність. Однак через складність нового стандарту цей показник буде дуже рекомендованим у переважній більшості організацій.
У певних випадках необхідно провести оцінку впливу на конфіденційність, яка в кінцевому підсумку визначить конкретні ризики, пов’язані з обробкою певних персональних даних, і передбачить заходи для пом’якшення або усунення зазначених ризиків.
Багатонаціональні компанії матимуть у якості співрозмовника єдиний національний контрольний орган: орган основного представництва підприємства. Це те, що відомо як єдине вікно.
Про порушення безпеки необхідно повідомляти контролюючі органи, а у серйозних випадках – постраждалих, як тільки вони стануть відомі, встановлюючи максимальний період у 72 години.
Конфіденційні дані: спеціально захищені дані розширено, тепер включають генетичні та біометричні дані. До цієї категорії належать також кримінальні правопорушення та засудження, але не адміністративні.
Вибір відповідального за лікування є більш жорстким, оскільки необхідно буде вибрати таку, яка забезпечує достатні гарантії відповідності нормативним вимогам.
Додаткові гарантії для так званої міжнародної передачі даних: із встановленням суворіших гарантій та механізмів моніторингу щодо міжнародної передачі даних за межі Європейського Союзу.
Печатки та сертифікати: передбачається створення печаток та сертифікатів відповідності, які дозволять акредитувати Підзвітність з боку організацій.
Зникає обов’язок реєструвати файли, який замінюється внутрішнім контролем і, в деяких випадках, інвентаризацією операцій з обробки даних, які виконуються, які можуть розглядатися як такі, що мають вміст, подібний до того, що зараз у формі в питання.
Санкції: розміри санкцій за недотримання правила зростають, досягаючи 20 мільйонів євро або 4% річного світового обороту (не виключається зі штрафів державним адміністраціям, хоча країни-члени можуть погодитися на це).
Нові права, передбачені нормативними актами
Прозорість та інформація. Організації при обробці персональних даних повинні надавати більше інформації в більш зрозумілий, повний і простий спосіб, що сприятиме прийняттю рішень громадянами. Особлива увага тут приділяється неповнолітнім.
Згода. Згода на обробку персональних даних має бути однозначною, безкоштовною та відкликаною та надаватися шляхом чіткого позитивного акту. Мовчазна згода не допускається.
Право бути забутим. Згода, надана на обробку персональних даних, може бути відкликана в будь-який час, маючи можливість вимагати видалення та видалення даних у соціальних мережах або пошукових системах Інтернету.
Право на обмеження такого лікування. Це дозволяє громадянину вимагати тимчасового блокування обробки своїх даних, коли виникають суперечки щодо її законності.
Переносність даних. Громадянину буде дозволено вимагати передачу персональних даних від одного інтернет-провайдера іншому.
Скарги. Скарги можна подавати через асоціації користувачів.
Компенсації та штрафи за невиконання. Визнається можливість вимагати відшкодування збитків, завданих незаконним поводженням з персональними даними.
Особа, відповідальна за справу, може встановити плату за відповіді на здійснення права доступу з урахуванням адміністративних витрат, які це тягне.
Міркування щодо його правильного застосування
Незважаючи на викладене, є ще багато аспектів, які ще не розробляються та уточнюються, які передбачені цим Положенням. У цьому сенсі слід зазначити, що держави-члени, контролюючі органи, Європейський комітет із захисту даних і Комісія повинні вказати безліч елементів, які з’являються в RGPD, які є занадто неоднозначними або нечіткими.
У будь-якому випадку, положення, що містяться в Регламенті, безпосередньо застосовуються в кожній із держав-членів, без необхідності транспонування, і зобов’язують приватні компанії та державні установи зіткнутися з важливим процесом регуляторної перебудови.
Однак RGPD автоматично не скасовує LOPD та його імплементаційні положення. Він просто витісняє їх до такої міри, що вони з нею несумісні. У тих сферах, в яких ця несумісність не виникає, обидва нормативні акти будуть співіснувати, що дозволяє передбачити багато практичних та інтерпретаційних проблем, вирішення яких потребуватиме допомоги спеціалізованих спеціалістів, які надають достатні гарантії. Хоча, з іншого боку, процес перепідготовки технічно не простий, тому компаніям буде важливо мати спеціалізовану юридичну консультацію, яка надає достатні гарантії.
Отримайте послугу захисту даних
Хорошим способом отримати послугу захисту даних є запит на пропозиції від Асоціація компаній із захисту даних (AEPD.org). У цьому сенсі AEPD.org має офіційні зміни серед асоційованих компаній. Його робота проста: ви повинні запитати бюджет у AEPD.org, і ця сама асоціація розподіляє його між своїми партнерами, намагаючись забезпечити, щоб кінцевий клієнт отримав хорошу пораду.
Якщо ви не заходите на AEPD.org, єдиний спосіб отримати цитати – це переходити одну за одною на веб-сайти компаній із захисту даних. Ця процедура більш повільна, але також ефективна. Найближчими тижнями ми створимо та опублікуємо список компаній LOPD, щоб спростити цю операцію. На даний момент, мабуть, найкращий варіант — звернутися до Асоціації компаній із захисту даних.
Останні висновки
Згода має бути надана через чіткий позитивний акт, який відображає вільне, конкретне, поінформоване та недвозначне прояв зацікавленої сторони щодо погодження на обробку персональних даних, що стосуються її, наприклад, письмову заяву, у тому числі за допомогою електронних засобів, або усну заяву .
Це може включати встановлення прапорця на веб-сайті в Інтернеті, вибір технічних параметрів для використання послуг інформаційного суспільства або будь-яку іншу заяву чи поведінку, які чітко вказують у цьому контексті на те, що зацікавлена сторона погоджується на запропоновану обробку її особистої інформації. Тому мовчання, прапорці чи бездіяльність не повинні вважатися згодою.
Необхідно надати згоду на всі дії з обробки, що здійснюються для тих самих або тих самих цілей. Якщо лікування має кілька цілей, згоду потрібно дати на всі з них. Якщо згода зацікавленої сторони має бути надана в результаті запиту в електронному вигляді, запит має бути чітким, стислим і не заважати без потреби використання послуги, для якої він надається.