DOCS

Eu gdpr

/

EU AVG

Leer hoe Zonos het EU AVG-initiatief beheert.

Gegevensbescherming wordt steeds vitaler in het dagelijkse bedrijfsleven. Hoewel de Algemene Verordening Gegevensbescherming (AVG) niet het eerste privacy-initiatief op de markt is, is het tot nu toe de meest significante drijfveer geweest in het begrijpen en beheren van de gegevens van individuen en hun gegevensrechten.

Om de aandacht te trekken, staat de EU haar lidstaten toe om boetes op te leggen, die een maximale straf van tot 4% van de jaarlijkse wereldwijde omzet voor het schenden van de AVG of €20 miljoen omvatten. De richtlijn drukt ook de wens uit voor eenvoud en een “one-stop-shop” voor administratie.

Hoe wij de AVG beheren 

De EU AVG is een uitgebreide privacyregelgeving die op 25 mei 2018 is ingevoerd. We hebben updates binnen onze technologie geplaatst die niet alleen de AVG-initiatieven beheert, maar ook verder dan de EU-grenzen gaat om een privacyfocus voor iedereen die Zonos gebruikt te waarborgen.

Zonos levert toonaangevende privacytechnologie om ervoor te zorgen dat shoppers en handelaren controle hebben over hun gegevens en processen - in overeenstemming met het kader van de EU AVG.

De doelen van Zonos voor uw bedrijf blijven:

  • U helpen om grensoverschrijdend te ontcijferen.
  • U controle geven over de wereldwijde toeleveringsketen.
  • Een veilige en fantastische ervaring bieden voor uw internationale kopers.

Belangrijke AVG-richtlijnitems 

Boetes

Boetes kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet voor het schenden van de AVG of €20 miljoen. Dit is de maximale boete die kan worden opgelegd voor de ernstigste inbreuken, bijvoorbeeld het ontbreken van voldoende klanttoestemming om gegevens te verwerken of het schenden van de kern van de concepten “Privacy by Design”.

Definitie van persoonsgegevens

Persoonsgegevens zijn alle informatie die kan worden gebruikt om de persoon direct of indirect te identificeren, zoals een naam, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of een computer-IP-adres.

Toestemming

Toestemming moet worden gegeven in een begrijpelijke en gemakkelijk toegankelijke vorm met het doel van de gegevensverwerking dat aan die toestemming is gekoppeld. Het moet ondubbelzinnig, gemakkelijk identificeerbaar zijn en clear en gemakkelijk begrijpelijke taal gebruiken. Het moet ook net zo eenvoudig zijn om toestemming in te trekken als het is om deze te geven. Bij de verwerking van gevoelige persoonsgegevens is niets minder dan “opt-in” voldoende.

Als de betrokkene jonger is dan 16 jaar, is ouderlijke toestemming vereist om de persoonsgegevens van het kind te verwerken. Lidstaten kunnen de leeftijd voor ouderlijke toestemming verlagen, maar niet lager dan 13 jaar.

Functionaris voor gegevensbescherming (FG's)

FG's moeten worden aangesteld in het geval van (a) openbare autoriteiten, (b) organisaties die op grote schaal of systematisch gegevens monitoren, of (c) organisaties die deelnemen aan de massale verwerking van gevoelige persoonsgegevens (Art. 37). Als uw organisatie niet in een van deze categorieën valt, hoeft u geen FG aan te stellen.

Rechten van betrokkenen

Meldingsplicht bij inbreuk

Onder de AVG wordt het melden van inbreuken verplicht in alle lidstaten waar een gegevensinbreuk waarschijnlijk “een risico voor de rechten en vrijheden van individuen” met zich meebrengt. Meldingen moeten binnen 72 uur na het bewust worden van de inbreuk plaatsvinden. Gegevensverwerkers zijn ook verplicht om de verwerkingsverantwoordelijken “zonder onredelijke vertraging” te informeren nadat zij voor het eerst op de hoogte zijn geworden van een gegevensinbreuk.

Recht op toegang

Betrokkenen hebben het recht om bevestiging te verkrijgen van de verwerkingsverantwoordelijke of persoonsgegevens over hen zijn verwerkt, waar en met welk doel. De verwerkingsverantwoordelijke moet een kopie van de persoonsgegevens kosteloos in een elektronisch formaat verstrekken.

Recht om vergeten te worden

Bekend als gegevenswissing, geeft het recht om vergeten te worden de betrokkene het recht om de verwerkingsverantwoordelijke te verzoeken hun persoonsgegevens te wissen, verdere verspreiding van de gegevens te stoppen en mogelijk derden te verzoeken de verwerking van de gegevens te staken. De gegevens moeten niet langer relevant zijn voor de oorspronkelijke doeleinden van verwerking of de betrokkene trekt de toestemming in. Het moet ook worden opgemerkt dat dit recht vereist dat verwerkingsverantwoordelijken de rechten van de betrokkene vergelijken met “het publieke belang in de beschikbaarheid van de gegevens” bij het overwegen van dergelijke verzoeken.

Gegevensoverdraagbaarheid

De betrokkene kan de persoonsgegevens die hij of zij eerder heeft verstrekt, ontvangen in een “algemeen gebruikt en machineleesbaar formaat” en heeft het recht om die gegevens naar een andere verwerkingsverantwoordelijke over te dragen.

Privacy by design

Gegevensprivacy moet centraal staan in de technologie systemen die de verwerkingsverantwoordelijken en verwerkers gebruiken om de informatie van de betrokkenen te beheren, niet slechts een aanvulling.

Informatie over de betrokkene

De informatie die beschikbaar moet worden gesteld aan een betrokkene wanneer gegevens worden verzameld, is nauwkeurig gedefinieerd en omvat:

  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en FG
  • De doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd
  • De juridische basis van de verwerking
  • Waar van toepassing, de legitieme belangen die door de verwerkingsverantwoordelijke of door een derde partij worden nagestreefd
  • Waar van toepassing, de ontvangers of categorieën van ontvangers van de persoonsgegevens
  • De periode waarvoor de persoonsgegevens zullen worden opgeslagen, of als dit niet mogelijk is, de criteria die zijn gebruikt om deze periode te bepalen
  • Het bestaan van het recht op toegang, rectificatie of wissing van de persoonsgegevens
  • Het recht op gegevensoverdraagbaarheid
  • Het recht om op elk moment toestemming in te trekken
  • Het recht om een klacht in te dienen bij een toezichthoudende autoriteit

Belangrijk is dat, wanneer de gegevens niet rechtstreeks van de betrokkene zijn verkregen (misschien met behulp van een derde partij lijst), de lijst varieert en omvat uit welke bron de persoonsgegevens afkomstig zijn:

  • Het bestaan van enige profilering en betekenisvolle informatie over de logica die betrokken is, evenals de betekenis en de verwachte gevolgen van een dergelijke verwerking voor de betrokkene.
  • De AVG vertegenwoordigt een aanzienlijk probleem voor marketeers die gegevens van derde partijen verkrijgen.

Legitiem belang

Artikel 6 van de AVG-regelgeving stelt dat een gegevensverzamelaar gegevens alleen rechtmatig mag verwerken als, naast andere dingen, er een legitiem belang of toestemming is. Bepalen of u een legitiem belang heeft, vereist een “zorgvuldige beoordeling” van de verwachtingen en context van de gegevens die u verzamelt.

Het is verleidelijk om een brede interpretatie van legitiem belang te gebruiken om de noodzaak van toestemming te omzeilen. We ontmoedigen het gebruik van een open interpretatie van legitiem belang als een manier om het verzamelen van gegevens te rechtvaardigen. De AVG biedt enkele voorbeelden, zoals het verwerken van persoonsgegevens om fraude te voorkomen, interne administratieve doeleinden met betrekking tot werknemers en klanten, netwerkbeveiliging en het melden van mogelijke criminele activiteiten of bedreigingen voor de openbare veiligheid.

Er blijft een grijs gebied rond legitiem belang, en de definitie zal in de loop van de tijd duidelijker worden. De kortetermijnaanbeveling is om de gewoonte te ontwikkelen om te vragen: “kan hetzelfde doel worden bereikt zonder persoonsgegevens te verwerken?” Als het antwoord ja is, dan is de beste praktijk om weg te blijven van legitiem belang als basis voor gegevensverwerking; u moet toestemming verkrijgen.

Aanbevelingen 

Zonos beveelt het volgende aan voor naleving van de AVG van de EU:

Stappen voor naleving van de GDPR

  1. Zet een proactief plan op voor uw naleving van de GDPR.
  2. Beoordeel privacyverklaringen en -beleid, en zorg ervoor dat ze voldoen aan de nalevingsniveaus van de GDPR.
  3. Bereid een plan voor in geval van een beveiligingsinbreuk.
  4. Controleer uw toestemmingen.
  5. Maak marketingtoestemmingen opt-in.
  6. Beoordeel het gedeelte over legitieme belangen van de richtlijn met uw juridische adviseur om ervoor te zorgen dat het uw organisatie dekt voor het gebruik van de gegevens van de koper om die bestelling te verwerken en te beheren.
  7. Maak uw toestemmingsformuleringen gemakkelijk te vinden en te lezen over het gebruik van persoonlijke gegevens.
  8. Creëer een actieplan voor verzoeken van betrokkenen aan uw organisatie voor het gebruik van hun gegevens.
  9. Word verantwoordelijk voor uw naleving.
  10. Train uw medewerkers.
  11. Heb clear processen op orde, schriftelijk vastgelegd en gecontroleerd.
  12. Wijs een DPO aan waar nodig.
  13. Zorg ervoor dat uw controller/verwerkende partners compliant zijn.

Veelgestelde vragen 

Wie heeft hier last van?

De GDPR is van toepassing op organisaties, controllers en verwerkers die zich binnen en buiten de EU bevinden en die goederen of diensten aanbieden aan EU-gegevenssubjecten. De GDPR is ook van toepassing op organisaties, zoals marketingorganisaties of diegenen die gegevens verstrekken of gebruiken die het gedrag van EU-onderwerpen monitoren.

Wat is het verschil tussen een controller en een processor?

Een controller bepaalt de doeleinden, voorwaarden en middelen voor de verwerking van persoonlijke gegevens, terwijl de processor de persoonlijke gegevens verwerkt namens de controller.

Was deze pagina nuttig?