DOCS

Eu gdpr

/

EU GDPR

Lær hvordan Zonos håndterer EU GDPR-initiativet.

Databeskyttelse bliver stadig vigtigere i den daglige forretning. Selvom den Generelle Databeskyttelsesforordning (GDPR) ikke er den første privatlivsinitiativ på markedet, har den indtil nu været den mest betydningsfulde drivkraft i forståelsen og håndteringen af individers data og deres dat rettigheder.

For at flytte nålen og få opmærksomhed tillader EU sine medlemsstater at pålægge bøder, som inkluderer en maksimal straf på op til 4% af den årlige globale omsætning for overtrædelse af GDPR eller €20 millioner. Direktivet udtrykker også ønsket om lethed og en "one-stop-shop" til administration.

Hvordan vi håndterer GDPR 

EU GDPR er en omfattende privatlivsregulering, der blev implementeret den 25. maj 2018. Vi har indført opdateringer i vores teknologi, der ikke kun håndterer GDPR-initiativet, men også vil gå ud over EU-grænserne for at sikre et fokus på privatliv for alle, der bruger Zonos.

Zonos leverer brancheførende privatlivsteknologi for at sikre, at shoppere og handlende har kontrol over deres data og processer - i overensstemmelse med rammerne for EU GDPR.

Zonos mål for din virksomhed fortsætter med at være:

  • Hjælpe dig med at afkode grænseoverskridende handel.
  • Give dig kontrol over den globale forsyningskæde.
  • Præsentere en sikker og fantastisk oplevelse for dine internationale købere.

Nøglepunkter i GDPR-direktivet 

Bøder

Bøder kan beløbe sig til 4% af den årlige globale omsætning for overtrædelse af GDPR eller €20 millioner. Dette er den maksimale bøde, der kan pålægges for de mest alvorlige overtrædelser, f.eks. ikke at have tilstrækkeligt kundesamtykke til at behandle data eller krænke kernen i "Privacy by Design"-begreberne.

Definition af personoplysninger

Personoplysninger er enhver information, der kan bruges til direkte eller indirekte at identificere en person, såsom et navn, et foto, en e-mailadresse, bankoplysninger, indlæg på sociale netværk, medicinske oplysninger eller en computer-IP-adresse.

Samtykke

Samtykke skal gives i en forståelig og let tilgængelig form med formålet med databehandlingen knyttet til dette samtykke. Det skal være entydigt, let identificerbart og bruge clear og let forståeligt sprog. Det skal også være lige så nemt at trække samtykke tilbage, som det er at give det. Når der behandles følsomme personoplysninger, vil intet mindre end "opt-in" være tilstrækkeligt.

Hvis den registrerede er under 16 år, kræves der forældresamtykke for at behandle barnets personoplysninger. Medlemsstaterne kan sænke alderen for forældresamtykke, men ikke lavere end 13 år.

Databeskyttelsesansvarlige (DPO'er)

DPO'er skal udnævnes i tilfælde af (a) offentlige myndigheder, (b) organisationer, der engagerer sig i storskala eller big data systematisk overvågning, eller (c) organisationer, der deltager i massebehandling af følsomme personoplysninger (Art. 37). Hvis din organisation ikke falder ind under en af disse kategorier, behøver du ikke at udnævne en DPO.

Rettigheder for registrerede

Underretning om brud

I henhold til GDPR vil underretning om brud blive obligatorisk i alle medlemsstater, hvor et databrud sandsynligvis vil "resultere i en risiko for rettighederne og frihederne for enkeltpersoner." Underretning skal ske inden for 72 timer efter at være blevet opmærksom på bruddet. Databehandlere vil også være forpligtet til at underrette kontrolinstanserne "uden unødig forsinkelse" efter først at være blevet opmærksom på et databrud.

Ret til adgang

De registrerede har ret til at få bekræftelse fra datakontrolleren om, hvorvidt personoplysninger vedrørende dem blev behandlet, hvor og med hvilket formål. Datakontrolleren skal give en kopi af personoplysningerne, gratis, i et elektronisk format.

Ret til at blive glemt

Kendt som dataudryddelse, giver retten til at blive glemt den registrerede ret til at få datakontrolleren til at slette deres personoplysninger, stoppe yderligere udbredelse af dataene og potentielt få tredjeparter til at stoppe behandlingen af dataene. Dataene må ikke længere være relevante for de oprindelige formål med behandlingen, eller den registrerede trækker samtykke tilbage. Det skal også bemærkes, at denne ret kræver, at kontrolinstanserne sammenligner den registreredes rettigheder med "den offentlige interesse i tilgængeligheden af dataene", når de overvejer sådanne anmodninger.

Dataportabilitet

Den registrerede kan modtage de personoplysninger, der vedrører dem, som de tidligere har givet i et "almindeligt anvendt og maskinlæsbart format" og har ret til at overføre disse data til en anden kontrolinstans.

Privatliv ved design

Databeskyttelse skal være i centrum af de teknologiske systemer, som kontrolinstanserne og databehandlerne bruger til at håndtere de registreredes oplysninger, ikke blot en tilføjelse.

Oplysninger om registrerede

De oplysninger, der skal stilles til rådighed for en registreret, når data indsamles, er blevet skarpt defineret og inkluderer:

  • Identiteten og kontaktoplysningerne for kontrolinstansen og DPO
  • Formålene med behandlingen, som de personoplysninger er beregnet til
  • Det juridiske grundlag for behandlingen
  • Hvor det er relevant, de legitime interesser, der forfølges af kontrolinstansen eller en tredje part
  • Hvor det er relevant, modtagerne eller kategorierne af modtagere af de personoplysninger
  • Den periode, hvor de personoplysninger vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at bestemme denne periode
  • Eksistensen af retten til at få adgang til, rette eller slette de personoplysninger
  • Retten til dataportabilitet
  • Retten til at trække samtykke tilbage til enhver tid
  • Retten til at indgive en klage til en tilsynsmyndighed

Vigtigt er, at hvor dataene ikke er blevet indhentet direkte fra den registrerede (måske ved at bruge en tredjepartsliste), varierer listen og inkluderer, hvilken kilde de personoplysninger stammer fra:

  • Eksistensen af enhver profilering og meningsfulde oplysninger om den involverede logik samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
  • GDPR repræsenterer et betydeligt problem for marketingfolk, der får data fra tredjepartslister.

Legitime interesser

Artikel 6 i GDPR-forordningen angiver, at en datainsamler kun lovligt kan behandle data, hvis den blandt andet har legitime interesser eller samtykke. At bestemme, om du har en legitim interesse, kræver en "omhyggelig vurdering" af forventningerne og konteksten for de data, du indsamler.

Det er fristende at bruge en bred fortolkning af legitime interesser for at overvinde behovet for samtykke. Vi fraråder at bruge en åben fortolkning af legitime interesser som en måde at retfærdiggøre indsamling af data. GDPR giver nogle eksempler, såsom behandling af personoplysninger for at forhindre svindel, interne administrative formål vedrørende medarbejdere og kunder, netværkssikkerhed og rapportering af mulig kriminel aktivitet eller trusler mod offentlig sikkerhed.

Der er stadig et grå område omkring legitime interesser, og definitionen vil blive mere tydelig over tid. Den kortsigtede anbefaling er at vænne sig til at spørge: "kan det samme mål opnås uden at behandle personoplysninger?" Hvis svaret er ja, så er den bedste praksis at bevæge sig væk fra legitime interesser som grundlag for databehandling; du bør indhente samtykke.

Anbefalinger 

Zonos anbefaler følgende for overholdelse af EU's GDPR:

Skridt til overholdelse af GDPR

  1. Sæt en proaktiv plan i værk for din GDPR-overholdelse.
  2. Gennemgå privatlivsmeddelelser og politikker, og sørg for, at de opfylder GDPR-overholdelsesniveauer.
  3. Forbered en plan i tilfælde af et sikkerhedsbrud.
  4. Revider dine samtykker.
  5. Gør markedsføringssamtykker til opt-in.
  6. Gennemgå den legitime interesse del af direktivet med din juridiske rådgiver for at sikre, at det dækker din organisation for brugen af køberens data til at behandle og administrere den ordre.
  7. Gør dit samtykkesprog let at finde og læse om brugen af personlige data.
  8. Opret en handlingsplan for anmodninger fra registrerede til din organisation om brugen af deres data.
  9. Bliv ansvarlig for din overholdelse.
  10. Uddan dine medarbejdere.
  11. Hav clear processer på plads, skriftlige og reviderede.
  12. Udnævn en DPO, hvor det er nødvendigt.
  13. Sørg for, at dine controller-/behandlingspartnere er compliant.

Ofte stillede spørgsmål 

Hvem påvirker dette?

GDPR gælder for organisationer, controllere og behandlere, der er placeret inden for og uden for EU, som tilbyder varer eller tjenester til EU-dataemner. GDPR gælder også for organisationer, såsom marketingorganisationer eller dem, der leverer eller bruger data, der overvåger adfærden hos EU-emner.

Hvad er forskellen mellem en controller og en processor?

En controller bestemmer formålene, betingelserne og midlerne til behandling af personlige data, mens processoren behandler de personlige data på vegne af controllere.

Var denne side nyttig?