Comment nous gérons le RGPD
Le RGPD de l'UE est une réglementation complète sur la confidentialité qui a été mise en œuvre le 25 mai 2018. Nous avons intégré des mises à jour dans notre technologie qui non seulement gèrent les initiatives du RGPD, mais vont également au-delà des frontières de l'UE pour garantir un accent sur la confidentialité pour tous les utilisateurs de Zonos.
Zonos fournit une technologie de confidentialité de pointe pour garantir que les acheteurs et les commerçants ont le contrôle de leurs données et de leurs processus - respectant le cadre du RGPD de l'UE.
Les objectifs de Zonos pour votre entreprise continuent d'être :
- Vous aider à déchiffrer les frontières.
- Vous donner le contrôle sur la chaîne d'approvisionnement mondiale.
- Offrir une expérience sécurisée et fantastique pour vos acheteurs internationaux.
Pénalités
Les amendes peuvent atteindre 4 % du chiffre d'affaires mondial annuel en cas de violation du RGPD ou 20 millions d'euros. C'est l'amende maximale qui peut être imposée pour les infractions les plus graves, par exemple, ne pas avoir obtenu le consentement suffisant des clients pour traiter les données ou violer le cœur des concepts de "Protection de la vie privée dès la conception".
Définition des données personnelles
Les données personnelles sont toute information qui peut être utilisée pour identifier directement ou indirectement une personne, comme un nom, une photo, une adresse e-mail, des coordonnées bancaires, des publications sur des réseaux sociaux, des informations médicales ou une adresse IP d'ordinateur.
Consentement
Le consentement doit être donné sous une forme intelligible et facilement accessible, avec le but du traitement des données attaché à ce consentement. Il doit être sans ambiguïté, facilement identifiable, et utiliser un langage clear et facilement compréhensible. Il doit également être aussi facile de retirer le consentement que de le donner. Lors du traitement de données personnelles sensibles, rien de moins que "l'opt-in" ne suffira.
Si la personne concernée a moins de 16 ans, le consentement parental sera requis pour traiter les données personnelles de l'enfant. Les États membres peuvent abaisser l'âge du consentement parental, mais pas en dessous de 13 ans.
Délégués à la protection des données (DPD)
Les DPD doivent être nommés dans le cas de (a) autorités publiques, (b) organisations qui s'engagent dans une surveillance systématique à grande échelle ou de big data, ou (c) organisations qui participent au traitement massif de données personnelles sensibles (Art. 37). Si votre organisation ne relève pas de l'une de ces catégories, vous n'avez pas besoin de nommer un DPD.
Droits des personnes concernées
Notification de violation
En vertu du RGPD, la notification de violation deviendra obligatoire dans tous les États membres où une violation de données est susceptible de "résulter en un risque pour les droits et libertés des individus." La notification doit avoir lieu dans les 72 heures suivant la prise de connaissance de la violation. Les sous-traitants de données devront également notifier les responsables "sans délai injustifié" après avoir pris connaissance d'une violation de données.
Droit d'accès
Les personnes concernées ont le droit d'obtenir confirmation du responsable du traitement quant à savoir si des données personnelles les concernant ont été traitées, où et dans quel but. Le responsable du traitement doit fournir une copie des données personnelles, gratuitement, dans un format électronique.
Droit à l'oubli
Connu sous le nom d'effacement des données, le droit à l'oubli permet à la personne concernée de demander au responsable du traitement d'effacer ses données personnelles, de cesser toute diffusion ultérieure des données, et potentiellement d'amener des tiers à arrêter le traitement des données. Les données ne doivent plus être pertinentes aux fins de traitement d'origine ou la personne concernée retire son consentement. Il convient également de noter que ce droit exige que les responsables comparent les droits de la personne concernée à "l'intérêt public dans la disponibilité des données" lors de l'examen de telles demandes.
Portabilité des données
La personne concernée peut recevoir les données personnelles la concernant, qu'elle a précédemment fournies dans un "format couramment utilisé et lisible par machine" et a le droit de transmettre ces données à un autre responsable.
Protection de la vie privée dès la conception
La confidentialité des données doit être au cœur des systèmes technologiques que les responsables et les sous-traitants utilisent pour gérer les informations des personnes concernées, et non pas seulement un ajout.
Informations sur les personnes concernées
Les informations qui doivent être mises à la disposition d'une personne concernée lors de la collecte de données ont été définies de manière précise et incluent :
- L'identité et les coordonnées du responsable et du DPD
- Les finalités du traitement, pour lesquelles les données personnelles sont destinées
- La base légale du traitement
- Le cas échéant, les intérêts légitimes poursuivis par le responsable ou par un tiers
- Le cas échéant, les destinataires ou catégories de destinataires des données personnelles
- La durée pendant laquelle les données personnelles seront conservées, ou si cela n'est pas possible, les critères utilisés pour déterminer cette durée
- L'existence du droit d'accès, de rectification ou d'effacement des données personnelles
- Le droit à la portabilité des données
- Le droit de retirer son consentement à tout moment
- Le droit de déposer une plainte auprès d'une autorité de contrôle
Il est important de noter que lorsque les données n'ont pas été obtenues directement de la personne concernée (peut-être en utilisant une liste de tiers), la liste varie et inclut la source d'origine des données personnelles :
- L'existence de tout profilage et des informations significatives sur la logique impliquée ainsi que la signification et les conséquences envisagées d'un tel traitement pour la personne concernée.
- Le RGPD représente un problème significatif pour les marketeurs obtenant des données à partir de listes de tiers.
Intérêt légitime
L'article 6 du règlement RGPD stipule qu'un collecteur de données ne peut traiter des données légalement que si, entre autres, il a un intérêt légitime ou un consentement. Déterminer si vous avez un intérêt légitime nécessite une "évaluation minutieuse" des attentes et du contexte des données que vous collectez.
Il est tentant d'utiliser une interprétation large de l'intérêt légitime pour contourner le besoin de consentement. Nous déconseillons d'utiliser une vision ouverte de l'intérêt légitime comme moyen de justifier la collecte de données. Le RGPD fournit quelques exemples tels que le traitement de données personnelles pour prévenir la fraude, des fins administratives internes concernant les employés et les clients, la sécurité des réseaux, et le signalement d'activités criminelles possibles ou de menaces à la sécurité publique.
Il existe encore une zone grise autour de l'intérêt légitime, et la définition deviendra plus évidente avec le temps. La recommandation à court terme est de prendre l'habitude de demander : "l'objectif peut-il être atteint sans traiter des données personnelles ?" Si la réponse est oui, alors la meilleure pratique est de s'éloigner de l'intérêt légitime comme base de traitement des données ; vous devriez obtenir le consentement.
Recommandations
Zonos recommande ce qui suit pour se conformer au RGPD de l'UE :
Étapes pour la conformité au RGPD
- Mettez en place un plan proactif pour votre conformité au RGPD.
- Révisez les avis et politiques de confidentialité, et assurez-vous qu'ils respectent les niveaux de conformité au RGPD.
- Préparez un plan en cas de violation de sécurité.
- Auditez vos consentements.
- Rendez les consentements marketing opt-in.
- Passez en revue la partie sur l'intérêt légitime de la directive avec votre conseiller juridique pour vous assurer qu'elle couvre votre organisation pour l'utilisation des données de l'acheteur afin de traiter et gérer cette commande.
- Rendez votre langage de consentement facile à trouver et à comprendre sur l'utilisation des données personnelles.
- Créez un plan d'action pour les demandes des sujets de données à votre organisation pour l'utilisation de leurs données.
- Soyez responsable de votre conformité.
- Formez vos employés.
- Ayez des processus clear en place, rédigés et audités.
- Nommez un DPO si nécessaire.
- Assurez-vous que vos partenaires de contrôle/traitement sont conformes.
Qui est concerné par cela?
Le RGPD s'applique aux organisations, contrôleurs et processeurs situés à l'intérieur et à l'extérieur de l'UE, qui proposent des biens ou des services aux sujets de données de l'UE. Le RGPD s'applique également aux organisations, telles que les organisations marketing ou celles qui fournissent ou utilisent des données qui surveillent le comportement des sujets de l'UE.
Quelle est la différence entre un contrôleur et un processeur?
Un contrôleur détermine les finalités, les conditions et les moyens du traitement des données personnelles, tandis que le processeur traite les données personnelles pour le compte du contrôleur.
RGPD de l'UE
Découvrez comment Zonos gère l'initiative RGPD de l'UE.La protection des données devient vitale dans les affaires quotidiennes. Bien que l'initiative du Règlement Général sur la Protection des Données (RGPD) ne soit pas la première initiative de confidentialité sur le marché, jusqu'à présent - elle a été la force motrice la plus significative dans la compréhension et la gestion des données des individus et de leurs droits en matière de données.
Pour faire bouger les choses et attirer l'attention, l'UE permet à ses États membres d'appliquer des amendes, qui incluent une pénalité maximale allant jusqu'à 4 % du chiffre d'affaires mondial annuel en cas de violation du RGPD ou 20 millions d'euros. La directive exprime également le souhait d'une facilité et d'un "guichet unique" pour l'administration.