首先,您应该知道这些缩写RGPD的含义,因为它对于数字业务模型的开发非常重要。 好吧,它等同于实际上是通用数据保护条例(RGPD),并且已经于最近生效。 如果你有一个 商业或在线商店 从现在开始,您将必须遵守法律,以免受到其他负面影响。
我是否需要做一些事情来使我的商店或业务适应GDPR? 从这个意义上讲,您应该知道RGPD是欧盟一级批准的法规,其目的是确保对个人信息的保护。
从现在开始,所有公司都必须在其网站上提供隐私政策,以说明他们如何 处理数据 对客户,员工,员工或仅对接收商业信息感兴趣的用户。
RGPD中包含的新原则
在欧洲目前有关数据保护的现行法规中,考虑了针对数字业务所有者的新方案。 以下是我们向您介绍的以下几个方面。 您还需要考虑到欧洲议会和理事会最终批准了《通用数据保护条例》(RGPD),该条例的目的是 统一制度 此问题上的所有成员国中,已于25年2016月XNUMX日生效,尽管只有从该日起两年后才必须遵守。
责任原则。 必须建立机制以证明已按照规范要求采取了所有必要措施来处理个人数据。 这是一种积极主动的责任。 组织必须能够证明它们满足这些要求,这将要求制定政策,程序,控制措施等。
默认情况下和设计上的数据保护原则。 在这种情况下,从设计涉及数据处理的公司,产品,服务或活动之时起,通常必须从源头开始采取措施,以确保符合标准。
透明性原则。 法律声明和隐私政策应更简单,更易理解,以促进理解和完善。 甚至可以设想,为了告知有关数据的处理,可以使用标准化的图标。
数字公司的新义务
有时,必须指定内部或外部的数据保护代表(DPO),以协助组织进行以下工作: 规范合规。 但是,新标准的复杂性将使这一数字在绝大多数组织中得到强烈推荐。
在某些情况下,必须进行隐私影响评估,这将最终确定处理某些个人数据所涉及的特定风险,并预见减轻或消除所述风险的措施。
跨国公司将拥有一个单一的国家控制权作为对话者:实体的主要机构。 这就是所谓的单个窗口。
必须将安全漏洞告知控制当局,在严重的情况下,应尽快告知受影响的人员,并确定最长72小时的期限。
敏感数据:扩展了受特殊保护的数据,现在包括遗传和生物统计数据。 刑事犯罪和定罪也包括在该类别中,尽管不包括行政犯罪。
选择负责治疗的人比较困难,因为有必要选择能够提供足够保证合规的人。
所谓国际数据传输的附加保证:建立与欧盟以外的国际数据传输有关的更严格的保证和监督机制。
印章和证明:预计将创建印章和证明符合性,以允许组织对问责制进行认证。
文件注册的义务消失了,由内部控制代替,在某些情况下,还包括所执行的数据处理操作的清单,该清单可以被视为具有与当前表格中包含的内容相似的内容。问题。
制裁措施:违反规则的制裁金额不断增长,达到20万欧元,占全球年营业额的4%(不排除对公共管理部门的罚款,尽管成员国可能同意这样做)。
法规规定的新权利
透明度和信息。 组织在处理个人数据时必须以更易懂,完整和简单的方式提供更多信息,这将有利于公民的决策。 此时,将特别考虑未成年人。
同意。 能够处理个人数据的同意必须明确,自由且可撤销,并且必须通过明确的肯定性行为给予同意。 不允许默许。
被遗忘的权利。 处理个人数据的同意可以随时被撤销,能够要求在社交网络或互联网搜索引擎中删除和删除数据。
限制有关治疗的权利。 当存在关于其合法性的争议时,它允许公民请求临时阻止其数据处理。
数据可移植性。 公民将被允许请求将个人数据从一个Internet服务提供商转移到另一个Internet服务提供商。
投诉投诉可以通过用户协会提出。
违规行为的赔偿和处罚。 人们已经认识到有可能要求赔偿因非法处理个人数据而造成的损害。
考虑到这带来的管理费用,负责文件的人可以收取一定费用来回答行使访问权的问题。
正确使用时的注意事项
尽管有上述规定,但本法规中仍规定了许多尚待完善和发展的方面。 从这个意义上讲,应该指出,成员国,控制当局,欧洲数据保护委员会和委员会必须指明RGPD中出现的过于模糊或含糊的要素。
无论如何,《条例》所载规定直接适用于每个成员国,而无需进行调换,并使私营公司和公共机构有义务面对重要的监管调整过程。
但是,RGPD不会自动废除LOPD及其实施法规。 它只是将它们替换到与它们不兼容的程度。 在不发生这种不兼容的地区,这两个法规将并存,这预见了许多实际和解释性问题,要解决这些问题将需要提供足够保证的专业专业人员的协助。 另一方面,再培训过程在技术上并不容易,因此对于公司而言,提供能够提供足够保证的专业法律建议也很重要。
获得数据保护服务
获得数据保护服务的一种好方法是向 数据保护公司协会 (AEPD.org)。 从这个意义上讲,AEPD.org在其关联公司之间有了正式的转变。 它的操作很简单:您必须向AEPD.org申请预算,并且该协会将预算分配给其同事,以确保最终客户获得良好的建议。
如果您不访问AEPD.org,则获取估算值的唯一方法是一个一个地访问数据保护公司的网站。 此过程较慢,但也有效。 在接下来的几周中,我们将制作并发布一份LOPD公司名单,以简化此操作。 目前,最好的选择是去数据保护公司协会。
最后结论
必须通过明确的肯定性行为表示同意,该行为应反映出利害关系方的自由,明确,知情和明确的表示,以接受处理与他有关的个人数据,例如书面声明(包括通过电子手段)或口头陈述。
这可能包括选中互联网上一个网站上的复选框,选择使用信息社会服务的技术参数,或在此情况下清楚表明利益相关方接受其个人信息的建议处理方式的任何其他声明或行为。 因此,沉默,勾选或不采取行动不应构成同意。
对于出于相同或相同目的而进行的所有处理活动,必须获得同意。 如果治疗具有多种目的,则必须同意所有这些目的。 如果必须通过电子方式提出要求,则必须征得利害关系方的同意,则该请求必须清楚,简明,并且不会不必要地打扰所提供服务的使用。