Hvem påvirker GDPR?
EU GDPR gjelder ikke bare for organisasjoner i Europa, men for enhver organisasjon som vil behandle og oppbevare personopplysninger for enkeltpersoner i Den europeiske union samt EU-borgere som bor i utlandet. Med andre ord, hvis du planlegger å ha kunder fra Europa, må du være oppmerksom.
Hva skjer hvis du ikke overholder?
GDPR vil bli håndhevet fra 25. mai 2018. Straff for manglende overholdelse er betydelige.
- Bøter kan ilegges opptil 4% av årlig global omsetning eller 20 millioner euro, avhengig av hva som er høyest.
- Enkeltpersoner vil ha rett til å søke erstatning for skader, inkludert tap av kontroll over personopplysninger eller begrensning av rettigheter, diskriminering, økonomisk tap, skade på omdømme, eller tap av konfidensialitet av personopplysninger beskyttet av profesjonell taushetsplikt.
- Enkeltpersoner kan velge å søke handling mot enten datakontrolleren, prosessoren, eller begge, og muligens hvem som helst i forsyningskjeden.
Hva er alternativene dine?
Hvis du eier eller driver en netthandelsvirksomhet, er alternativene dine utilstrekkelige. Det er egentlig bare to alternativer.
Alternativ 1 - Omfavn det (God idé!)
En venn sa en gang til meg: “hvis du ikke vet hvilken retning du går, er du allerede tapt.” Jeg tror dette er spesielt sant med EU GDPR. Det er mye å lære og enda mer som må avklares. Men å oppnå EU GDPR-berettigelse begynner med en beslutning om å overholde. Vurder situasjonen din og identifiser områder der du ikke er i samsvar. Du kan deretter etablere en strategi for å minimere ansvaret ditt.
Alternativ 2 - Ikke selg til Europa eller deres borgere (Dårlig idé!)
Hvis du ikke ønsker å overholde EU GDPR, anbefaler vi sterkt at du ikke planlegger å gjøre forretninger med noen fra Europa. Husk at disse europeiske enkeltpersonene kan bo i utlandet. Å begrense netthandelsvirksomheten din til amerikanske grenser sikrer ikke overholdelse. Risikoen for manglende overholdelse er betydelig og kan beskrives som “ved straff av straff.” Manglende overholdelse er et alternativ, men det anbefales ikke.
5 nøkkelområder i forordningen
EU GDPR-berettigelse innebærer å bli kjent med fem nøkkelområder i forordningen - samtykke, individuelle rettigheter, retningslinjer, og ansvarlighet.
1. Legitime interesser
Artikkel 6 i GDPR-forordningen sier at en datainnsamler kun kan behandle data lovlig hvis, blant annet, det har legitime interesser eller samtykke. Å avgjøre om du har legitime interesser krever en “nøye vurdering” av forventningene og konteksten til dataene du samler inn.
Det er fristende å bruke en bred tolkning av legitime interesser for å omgå behovet for samtykke. Vi fraråder å bruke en åpen-ended tilnærming til legitime interesser som en måte å rettferdiggjøre innsamling av data. GDPR gir noen eksempler som behandling av personopplysninger for å forhindre svindel, interne administrative formål relatert til ansatte og kunder, sikre nettverkssikkerhet, og rapportere mulige kriminelle handlinger eller trusler mot offentlig sikkerhet.
Det er fortsatt et grått område rundt legitime interesser, og definisjonen vil bli mer tydelig over tid. Den kortsiktige anbefalingen er å bli vant til å spørre: “kan det samme målet oppnås uten å behandle personopplysninger?” Hvis svaret er ja, er den beste praksisen å bevege seg bort fra legitime interesser som grunnlag for databehandling; du bør innhente samtykke.
2. Samtykke
Det finnes ikke lenger noe passivt samtykke. Du må oppgi hva du skal bruke dataene til. Her er to eksempler på hvordan du kan be om samtykke.
3. Individuelle rettigheter
Under GDPR har enkeltpersonen rett til å bli glemt. For eksempel, hvis de har samtykket til bruken av dataene til markedsføringsformål, har de rett til å be deg om å “glemme dem”. Nye rettigheter har blitt innført rundt tilgang til data, motsette seg behandling, dataportabilitet, og motsette seg profilering, blant annet.
4. Retningslinjer
Artikkel 13 i forordningen gir 12 nøkkelområder som du må informere forbrukeren din om i clear språk, ikke juridisk språk. Utvikle en standard personvernerklæring som informerer kundene dine om hvordan du håndterer dataene deres.
Det er påkrevd å ha en utpekt kontaktperson samt kontaktinformasjon for organisasjonen din i personvernerklæringen.
5. Ansvarlighet
Utdann dine ansatte og gi verktøyene som hjelper til med å drive ansvarlighet gjennom hele selskapet, ikke bare for denne forordningen, men for alle personopplysninger du mottar. Databeskyttelse er ansvaret til hele organisasjonen. Alle som kommer i kontakt med data må være klar over konsekvensene og straffene for manglende overholdelse.
Zonos, lederen innen teknologi for grenseoverskridende netthandel, vil fortsette å lede og veilede handelsmenn gjennom utfordringen med å selge produktene sine til verden. Vi vil fortsette å tilby ofte stilte spørsmål og dokumenteksempler som viser interne personvernpolicyer og prosesser som du kan adoptere. Vi vil dele interne treningsdokumenter for deg å bruke med teamet ditt. Zonos tar dataprivacy på alvor og er forpliktet til EU GDPR-berettigelse. Flere detaljer vil komme regelmessig.
Hvorfor bør du bry deg om GDPR?
Overalt hvor du ser i netthandel, vil du se noen diskutere EU GDPR eller EUs generelle databeskyttelsesforordning. Det finnes en rekke informasjon, fra tekniske artikler til spekulasjoner på sosiale medier. Vi ønsker alle å vite hvordan det vil påvirke oss. Hvilke endringer, om noen, må jeg gjøre? Hva betyr det egentlig?
I denne artikkelen vil vi ta en rask titt på EU GDPR - hva det er, hvordan vi kan forberede oss, og hvordan det kan påvirke en nettvirksomhet.