Wie wir die GDPR verwalten
Die EU-GDPR ist eine umfassende Datenschutzverordnung, die am 25. Mai 2018 in Kraft trat. Wir haben Aktualisierungen in unsere Technologie integriert, die nicht nur die GDPR-Initiativen verwalten, sondern auch über die EU-Grenzen hinausgehen, um den Datenschutz für alle Nutzer von Zonos zu gewährleisten.
Zonos bietet branchenführende Datenschutztechnologie, um sicherzustellen, dass Käufer und Händler die Kontrolle über ihre Daten und Prozesse haben und den Rahmen der EU-GDPR erfüllen.
Zonos Ziele für Ihr Unternehmen bleiben:
- Ihnen helfen, grenzüberschreitende Geschäfte zu entschlüsseln.
- Ihnen die Kontrolle über die globale Lieferkette zu geben.
- Ein sicheres und fantastisches Erlebnis für Ihre internationalen Käufer zu bieten.
Wichtige GDPR-Richtlinienpunkte
Strafen
Geldstrafen können bis zu 4 % des jährlichen weltweiten Umsatzes oder 20 Millionen Euro für Verstöße gegen die GDPR betragen. Dies ist die maximale Strafe, die für die schwerwiegendsten Verstöße verhängt werden kann, z. B. wenn keine ausreichende Zustimmung der Kunden zur Datenverarbeitung vorliegt oder gegen die Kernkonzepte des „Privacy by Design“ verstoßen wird.
Definition personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die verwendet werden können, um die Person direkt oder indirekt zu identifizieren, wie z. B. ein Name, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf sozialen Netzwerkseiten, medizinische Informationen oder eine IP-Adresse eines Computers.
Einwilligung
Die Einwilligung muss in einer verständlichen und leicht zugänglichen Form mit dem Zweck der Datenverarbeitung, der an diese Einwilligung gebunden ist, erteilt werden. Sie muss eindeutig, leicht erkennbar und in clear und leicht verständlicher Sprache abgefasst sein. Es muss ebenso einfach sein, die Einwilligung zu widerrufen, wie sie zu erteilen. Bei der Verarbeitung sensibler personenbezogener Daten reicht nichts weniger als eine „Opt-in“-Einwilligung aus.
Wenn die betroffene Person unter 16 Jahre alt ist, ist die Zustimmung der Eltern erforderlich, um die personenbezogenen Daten des Kindes zu verarbeiten. Die Mitgliedstaaten können das Alter für die elterliche Zustimmung senken, jedoch nicht unter 13 Jahre.
Datenschutzbeauftragter (DPOs)
DPOs müssen im Falle von (a) öffentlichen Behörden, (b) Organisationen, die groß angelegte oder systematische Überwachung von Big Data betreiben, oder (c) Organisationen, die an der Massenverarbeitung sensibler personenbezogener Daten beteiligt sind, ernannt werden (Art. 37). Wenn Ihre Organisation nicht in eine dieser Kategorien fällt, müssen Sie keinen DPO ernennen.
Rechte der betroffenen Personen
Meldung von Verstößen
Nach der GDPR wird die Meldung von Verstößen in allen Mitgliedstaaten obligatorisch, wenn ein Datenverstoß wahrscheinlich „ein Risiko für die Rechte und Freiheiten von Einzelpersonen“ darstellt. Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes erfolgen. Datenverarbeiter müssen die Verantwortlichen auch „unverzüglich“ nach dem ersten Bekanntwerden eines Datenverstoßes benachrichtigen.
Recht auf Zugang
Die betroffenen Personen haben das Recht, vom Datenverantwortlichen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten, die sie betreffen, verarbeitet wurden, wo und zu welchem Zweck. Der Datenverantwortliche muss eine Kopie der personenbezogenen Daten kostenlos in einem elektronischen Format bereitstellen.
Recht auf Vergessenwerden
Bekannt als Datenlöschung, berechtigt das Recht auf Vergessenwerden die betroffene Person, vom Datenverantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen, die weitere Verbreitung der Daten zu stoppen und möglicherweise Dritte dazu zu bringen, die Verarbeitung der Daten einzustellen. Die Daten dürfen für die ursprünglichen Verarbeitungszwecke nicht mehr relevant sein oder die betroffene Person widerruft ihre Einwilligung. Es sollte auch beachtet werden, dass dieses Recht die Verantwortlichen dazu verpflichtet, die Rechte der betroffenen Person mit „dem öffentlichen Interesse an der Verfügbarkeit der Daten“ zu vergleichen, wenn solche Anfragen berücksichtigt werden.
Datenübertragbarkeit
Die betroffene Person kann die sie betreffenden personenbezogenen Daten, die sie zuvor bereitgestellt hat, in einem „gängigen und maschinenlesbaren Format“ erhalten und hat das Recht, diese Daten an einen anderen Verantwortlichen zu übermitteln.
Privacy by Design
Datenschutz muss im Kern der technologischen Systeme stehen, die die Verantwortlichen und Verarbeiter zur Verwaltung der Informationen der betroffenen Personen verwenden, und nicht nur ein Zusatz sein.
Informationen für betroffene Personen
Die Informationen, die einer betroffenen Person zur Verfügung gestellt werden müssen, wenn Daten erhoben werden, sind genau definiert und umfassen:
- Die Identität und die Kontaktdaten des Verantwortlichen und des DPO
- Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind
- Die Rechtsgrundlage der Verarbeitung
- Gegebenenfalls die berechtigten Interessen, die vom Verantwortlichen oder von einem Dritten verfolgt werden
- Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer
- Das Bestehen des Rechts auf Zugang, Berichtigung oder Löschung der personenbezogenen Daten
- Das Recht auf Datenübertragbarkeit
- Das Recht, die Einwilligung jederzeit zu widerrufen
- Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
Wichtig ist, dass, wenn die Daten nicht direkt von der betroffenen Person erhoben wurden (möglicherweise unter Verwendung einer Drittanbieterliste), die Liste variiert und die Quelle, aus der die personenbezogenen Daten stammen, umfasst:
- Das Bestehen eines Profilings und aussagekräftige Informationen über die dabei verwendete Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
- GDPR stellt ein erhebliches Problem für Vermarkter dar, die Daten aus Drittanbieterdatenbanken beziehen.
Berechtigtes Interesse
Artikel 6 der GDPR-Verordnung besagt, dass ein Datensammler Daten nur dann rechtmäßig verarbeiten darf, wenn er unter anderem ein berechtigtes Interesse oder eine Einwilligung hat. Die Feststellung, ob ein berechtigtes Interesse vorliegt, erfordert eine „sorgfältige Bewertung“ der Erwartungen und des Kontexts der gesammelten Daten.
Es ist verlockend, eine breite Interpretation des berechtigten Interesses zu verwenden, um die Notwendigkeit einer Einwilligung zu umgehen. Wir raten davon ab, eine offene Sichtweise des berechtigten Interesses als Rechtfertigung für die Datenerhebung zu verwenden. GDPR bietet einige Beispiele, wie die Verarbeitung personenbezogener Daten zur Betrugsprävention, für interne Verwaltungszwecke in Bezug auf Mitarbeiter und Kunden, Netzwerksicherheit und die Meldung möglicher krimineller Aktivitäten oder Bedrohungen der öffentlichen Sicherheit.
Es gibt immer noch einen Graubereich rund um das berechtigte Interesse, und die Definition wird im Laufe der Zeit klarer werden. Die kurzfristige Empfehlung ist, sich anzugewöhnen zu fragen: „Kann das gleiche Ziel erreicht werden, ohne personenbezogene Daten zu verarbeiten?“ Wenn die Antwort ja lautet, ist es am besten, sich vom berechtigten Interesse als Grundlage für die Datenverarbeitung zu entfernen; Sie sollten eine Einwilligung einholen.
Empfehlungen
Zonos empfiehlt Folgendes zur Einhaltung der GDPR der EU:
Schritte zur Einhaltung der DSGVO
- Erstellen Sie einen proaktiven Plan für Ihre DSGVO-Compliance.
- Überprüfen Sie Datenschutzhinweise und -richtlinien und stellen Sie sicher, dass sie den DSGVO-Compliance-Standards entsprechen.
- Bereiten Sie einen Plan für den Fall eines Sicherheitsvorfalls vor.
- Überprüfen Sie Ihre Einwilligungen.
- Machen Sie Marketing-Einwilligungen opt-in.
- Überprüfen Sie den legitimen Interessenanteil der Richtlinie mit Ihrem Rechtsbeistand, um sicherzustellen, dass er Ihre Organisation für die Nutzung der Daten des Käufers zur Bearbeitung und Verwaltung dieser Bestellung abdeckt.
- Machen Sie Ihre Einwilligungssprache leicht auffindbar und lesbar in Bezug auf die Nutzung personenbezogener Daten.
- Erstellen Sie einen Aktionsplan für Anfragen von betroffenen Personen an Ihre Organisation zur Nutzung ihrer Daten.
- Übernehmen Sie Verantwortung für Ihre Compliance.
- Schulen Sie Ihre Mitarbeiter.
- Haben Sie clear Prozesse, die schriftlich festgehalten und überprüft werden.
- Ernennen Sie einen Datenschutzbeauftragten, wo erforderlich.
- Stellen Sie sicher, dass Ihre Controller/Verarbeitungspartner konform sind.
Häufig gestellte Fragen
Wen betrifft das?
Die DSGVO gilt für Organisationen, Verantwortliche und Auftragsverarbeiter innerhalb und außerhalb der EU, die Waren oder Dienstleistungen für EU-Datenpersonen anbieten. Die DSGVO gilt auch für Organisationen, wie z.B. Marketingorganisationen oder solche, die Daten bereitstellen oder nutzen, die das Verhalten von EU-Datenpersonen überwachen.
Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?
Ein Verantwortlicher bestimmt die Zwecke, Bedingungen und Mittel für die Verarbeitung personenbezogener Daten, während der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.
EU GDPR
Erfahren Sie, wie Zonos die EU-GDPR-Initiative verwaltet.Datenschutz wird im täglichen Geschäft immer wichtiger. Obwohl die Allgemeine Datenschutzverordnung (GDPR) nicht die erste Datenschutzinitiative auf dem Markt ist, war sie bisher die bedeutendste treibende Kraft beim Verständnis und der Verwaltung von personenbezogenen Daten und deren Rechten.
Um Aufmerksamkeit zu erregen, erlaubt die EU ihren Mitgliedstaaten, Geldstrafen zu verhängen, die eine maximale Strafe von bis zu 4 % des jährlichen weltweiten Umsatzes oder 20 Millionen Euro für Verstöße gegen die GDPR umfassen. Die Richtlinie drückt auch den Wunsch nach Einfachheit und einer „One-Stop-Shop“-Verwaltung aus.