Come gestiamo il GDPR
Il GDPR dell'UE è un regolamento sulla privacy completo che è stato implementato il 25 maggio 2018. Abbiamo inserito aggiornamenti nella nostra tecnologia che non solo gestiscono le iniziative del GDPR, ma andranno anche oltre i confini dell'UE per garantire un focus sulla privacy per tutti coloro che utilizzano Zonos.
Zonos offre una tecnologia di privacy leader del settore per garantire che acquirenti e commercianti abbiano il controllo sui loro dati e processi - rispettando il framework del GDPR dell'UE.
Gli obiettivi di Zonos per la tua azienda continuano a essere:
- Aiutarti a decifrare le transazioni transfrontaliere.
- Darti il controllo sulla catena di approvvigionamento globale.
- Presentare un'esperienza sicura e fantastica per i tuoi acquirenti internazionali.
Elementi chiave della direttiva GDPR
Sanzioni
Le sanzioni possono ammontare al 4% del fatturato globale annuale per violazione del GDPR o €20 milioni. Questa è la sanzione massima che può essere imposta per le violazioni più gravi, ad esempio, non avere un consenso sufficiente da parte del cliente per elaborare i dati o violare il nucleo dei concetti di "Privacy by Design".
Definizione di dati personali
I dati personali sono qualsiasi informazione che può essere utilizzata per identificare direttamente o indirettamente la persona, come un nome, una foto, un indirizzo email, dettagli bancari, post sui social network, informazioni mediche o un indirizzo IP del computer.
Consenso
Il consenso deve essere fornito in una forma intellegibile e facilmente accessibile con lo scopo del trattamento dei dati allegato a quel consenso. Deve essere inequivocabile, facilmente identificabile e utilizzare un linguaggio clear e facilmente comprensibile. Deve anche essere facile ritirare il consenso quanto lo è darlo. Quando si elaborano dati personali sensibili, nulla di meno che un "opt-in" sarà sufficiente.
Se il soggetto dei dati ha meno di 16 anni, sarà necessario il consenso dei genitori per elaborare i dati personali del bambino. Gli stati membri possono abbassare l'età del consenso genitoriale, ma non al di sotto dei 13 anni.
Responsabile della protezione dei dati (DPO)
I DPO devono essere nominati nel caso di (a) autorità pubbliche, (b) organizzazioni che si impegnano in monitoraggio sistematico su larga scala o big data, o (c) organizzazioni che partecipano all'elaborazione di massa di dati personali sensibili (Art. 37). Se la tua organizzazione non rientra in una di queste categorie, non è necessario nominare un DPO.
Diritti dei soggetti dei dati
Notifica di violazione
Ai sensi del GDPR, la notifica di violazione diventerà obbligatoria in tutti gli stati membri in cui una violazione dei dati è probabile che "comporti un rischio per i diritti e le libertà degli individui." La notifica deve avvenire entro 72 ore dal momento in cui si diventa a conoscenza della violazione. I responsabili del trattamento dei dati saranno anche tenuti a notificare i controllori "senza ingiustificato ritardo" dopo essere diventati a conoscenza di una violazione dei dati.
Diritto di accesso
I soggetti dei dati hanno il diritto di ottenere conferma dal controllore dei dati se i dati personali che li riguardano sono stati trattati, dove e per quale scopo. Il controllore dei dati deve fornire una copia dei dati personali, gratuitamente, in un formato elettronico.
Diritto all'oblio
Conosciuto come cancellazione dei dati, il diritto all'oblio consente al soggetto dei dati di far cancellare i propri dati personali dal controllore dei dati, cessare la diffusione dei dati e potenzialmente far fermare il trattamento dei dati da parte di terzi. I dati non devono più essere rilevanti per le finalità originali del trattamento o un soggetto dei dati ritira il consenso. Va anche notato che questo diritto richiede ai controllori di confrontare i diritti del soggetto con "l'interesse pubblico nella disponibilità dei dati" quando si considerano tali richieste.
Portabilità dei dati
Il soggetto dei dati può ricevere i dati personali che lo riguardano, che ha precedentemente fornito in un "formato comunemente usato e leggibile da una macchina" e ha il diritto di trasmettere tali dati a un altro controllore.
Privacy by design
La privacy dei dati deve essere al centro dei sistemi tecnologici che i controllori e i responsabili del trattamento utilizzano per gestire le informazioni dei soggetti dei dati, non solo un'aggiunta.
Informazioni sui soggetti dei dati
Le informazioni che devono essere rese disponibili a un soggetto dei dati quando i dati vengono raccolti sono state definite in modo acuto e includono:
- L'identità e i dettagli di contatto del controllore e del DPO
- Le finalità del trattamento, per le quali i dati personali sono destinati
- La base giuridica del trattamento
- Dove applicabile, gli interessi legittimi perseguiti dal controllore o da un terzo
- Dove applicabile, i destinatari o le categorie di destinatari dei dati personali
- Il periodo per il quale i dati personali saranno conservati, o se ciò non è possibile, i criteri utilizzati per determinare questo periodo
- L'esistenza del diritto di accesso, rettifica o cancellazione dei dati personali
- Il diritto alla portabilità dei dati
- Il diritto di revocare il consenso in qualsiasi momento
- Il diritto di presentare un reclamo a un'autorità di controllo
È importante notare che, quando i dati non sono stati ottenuti direttamente dal soggetto dei dati (forse utilizzando un elenco di terzi), l'elenco varia e include da quale fonte provengono i dati personali:
- L'esistenza di qualsiasi profilazione e informazioni significative sulla logica coinvolta, così come il significato e le conseguenze previste di tale trattamento per il soggetto dei dati.
- Il GDPR rappresenta un problema significativo per i marketer che ottengono dati da elenchi di terzi.
Interesse legittimo
L'articolo 6 del regolamento GDPR stabilisce che un raccoglitore di dati può elaborare i dati legalmente solo se, tra le altre cose, ha un interesse legittimo o consenso. Determinare se hai un interesse legittimo richiede una "valutazione attenta" delle aspettative e del contesto dei dati che stai raccogliendo.
È allettante utilizzare un'interpretazione ampia dell'interesse legittimo per superare la necessità di consenso. Sconsigliamo di utilizzare una visione aperta dell'interesse legittimo come modo per giustificare la raccolta di dati. Il GDPR fornisce alcuni esempi come il trattamento dei dati personali per prevenire frodi, scopi amministrativi interni relativi a dipendenti e clienti, sicurezza della rete e segnalazione di possibili attività criminali o minacce alla sicurezza pubblica.
C'è ancora un'area grigia attorno all'interesse legittimo, e la definizione diventerà più evidente nel tempo. La raccomandazione a breve termine è di abituarsi a chiedere: "può lo stesso obiettivo essere raggiunto senza elaborare dati personali?" Se la risposta è sì, allora la prassi migliore è allontanarsi dall'interesse legittimo come base per il trattamento dei dati; dovresti ottenere il consenso.
Raccomandazioni
Zonos raccomanda quanto segue per la conformità al GDPR dell'UE:
Passi per la conformità al GDPR
- Metti in atto un piano proattivo per la tua conformità al GDPR.
- Rivedi le informative sulla privacy e le politiche, e assicurati che soddisfino i livelli di conformità al GDPR.
- Prepara un piano in caso di violazione della sicurezza.
- Audita i tuoi consensi.
- Rendi i consensi di marketing opt-in.
- Rivedi la parte di interesse legittimo della direttiva con il tuo consulente legale per assicurarti che copra la tua organizzazione per l'uso dei dati dell'acquirente per elaborare e gestire quell'ordine.
- Rendi il linguaggio del tuo consenso facile da trovare e leggere riguardo all'uso dei dati personali.
- Crea un piano d'azione per le richieste dei soggetti interessati alla tua organizzazione per l'uso dei loro dati.
- Diventa responsabile per la tua conformità.
- Forma i tuoi dipendenti.
- Avere processi clear in atto, scritti e auditati.
- Nomina un DPO dove richiesto.
- Assicurati che i tuoi partner di controllo/elaborazione siano conformi.
Domande frequenti
A chi si applica?
Il GDPR si applica alle organizzazioni, ai controllori e ai processori situati all'interno e all'esterno dell'UE, che offrono beni o servizi ai soggetti dei dati dell'UE. Il GDPR si applica anche a organizzazioni, come quelle di marketing o quelle che forniscono o utilizzano dati che monitorano il comportamento dei soggetti dell'UE.
Qual è la differenza tra un controllore e un processore?
Un controllore determina le finalità, le condizioni e i mezzi per il trattamento dei dati personali, mentre il processore elabora i dati personali per conto del controllore.
GDPR dell'UE
Scopri come Zonos gestisce l'iniziativa GDPR dell'UE.La protezione dei dati sta diventando vitale nel business quotidiano. Sebbene l'iniziativa del Regolamento Generale sulla Protezione dei Dati (GDPR) non sia la prima iniziativa di privacy nel mercato, fino ad oggi - è stata la forza trainante più significativa nella comprensione e gestione dei dati degli individui e dei loro diritti sui dati.
Per fare la differenza e attirare l'attenzione, l'UE consente ai suoi stati membri di applicare sanzioni, che includono una pena massima fino al 4% del fatturato globale annuale per violazione del GDPR o €20 milioni. La direttiva esprime anche il desiderio di facilità e di un "sportello unico" per l'amministrazione.