Hvordan vi håndterer GDPR
EU GDPR er en omfattende personvernsregulering som ble implementert 25. mai 2018. Vi har lagt inn oppdateringer i vår teknologi som ikke bare håndterer GDPR-initiativer, men som også går utover EUs grenser for å sikre et personvernsfokus for alle som bruker Zonos.
Zonos leverer bransjeledende personvernteknologi for å sikre at både kjøpere og selgere har kontroll over sine data og prosesser - i samsvar med rammene for EU GDPR.
Zonos sine mål for din virksomhet fortsetter å være:
- Hjelpe deg med å dekode grenseoverskridende handel.
- Gi deg kontroll over den globale forsyningskjeden.
- Presentere en sikker og fantastisk opplevelse for dine internasjonale kjøpere.
Nøkkelpunkt i GDPR-direktivet
Straff
Bøter kan utgjøre 4% av årlig global omsetning for brudd på GDPR eller €20 millioner. Dette er den maksimale bøten som kan ilegges for de mest alvorlige overtredelsene, f.eks. å ikke ha tilstrekkelig kundesamtykke for å behandle data eller å bryte kjernen i "Privacy by Design"-konsepter.
Definisjon av personopplysninger
Personopplysninger er enhver informasjon som kan brukes til å direkte eller indirekte identifisere en person, som navn, bilde, e-postadresse, bankdetaljer, innlegg på sosiale nettverk, medisinsk informasjon eller en datamaskinens IP-adresse.
Samtykke
Samtykke må gis i en forståelig og lett tilgjengelig form med formålet for databehandlingen knyttet til dette samtykket. Det må være entydig, lett identifiserbart, og bruke clear og lett forståelig språk. Det må også være like enkelt å trekke tilbake samtykke som å gi det. Når man behandler sensitive personopplysninger, vil ingenting mindre enn "opt-in" være tilstrekkelig.
Hvis den registrerte er under 16 år, vil foreldresamtykke være nødvendig for å behandle barnets personopplysninger. Medlemsland kan senke alderen for foreldresamtykke, men ikke lavere enn 13 år.
Databeskyttelsesansvarlig (DPO)
DPO-er må utnevnes i tilfelle (a) offentlige myndigheter, (b) organisasjoner som driver med storskala eller systematisk overvåking av store data, eller (c) organisasjoner som deltar i massebehandling av sensitive personopplysninger (Art. 37). Hvis din organisasjon ikke faller inn under en av disse kategoriene, trenger du ikke å utnevne en DPO.
Rettigheter for registrerte
Bruddvarsling
I henhold til GDPR vil bruddvarsling bli obligatorisk i alle medlemsland der et databrudd sannsynligvis vil "føre til en risiko for rettighetene og frihetene til enkeltpersoner." Varsling må skje innen 72 timer etter at man blir klar over bruddet. Databehandlere vil også bli pålagt å varsle kontrollørene "uten unødig forsinkelse" etter først å ha blitt klar over et databrudd.
Rett til innsyn
De registrerte har rett til å få bekreftelse fra datakontrolleren om hvorvidt personopplysninger om dem ble behandlet, hvor, og til hvilket formål. Datakontrolleren skal gi en kopi av personopplysningene, gratis, i et elektronisk format.
Rett til å bli glemt
Kjent som datakansellering, gir retten til å bli glemt den registrerte rett til å få datakontrolleren til å slette sine personopplysninger, stoppe videre distribusjon av dataene, og potensielt få tredjeparter til å stoppe behandlingen av dataene. Dataene må ikke lenger være relevante for de opprinnelige formålene for behandling eller den registrerte trekker tilbake samtykke. Det bør også bemerkes at denne retten krever at kontrollørene sammenligner den registrertes rettigheter med "den offentlige interessen i tilgjengeligheten av dataene" når de vurderer slike forespørsel.
Dataportabilitet
Den registrerte kan motta personopplysningene som gjelder dem, som de tidligere har gitt i et "vanlig brukt og maskinlesbart format" og har rett til å overføre disse dataene til en annen kontroller.
Personvern ved design
Dataprivacy må være kjernen i teknologisystemene som kontrollørene og behandlerne bruker for å håndtere informasjonen til de registrerte, ikke bare et tillegg.
Informasjon om registrerte
Informasjonen som må gjøres tilgjengelig for en registrert når data samles inn, har blitt presist definert og inkluderer:
- Identiteten og kontaktinformasjonen til kontrolløren og DPO
- Formålene med behandlingen, som de personopplysningene er ment for
- Det juridiske grunnlaget for behandlingen
- Hvor det er aktuelt, de legitime interessene som forfølges av kontrolløren eller av en tredjepart
- Hvor det er aktuelt, mottakerne eller kategoriene av mottakere av personopplysningene
- Perioden som personopplysningene vil bli lagret, eller hvis dette ikke er mulig, kriteriene som brukes for å bestemme denne perioden
- Eksistensen av retten til innsyn, retting eller sletting av personopplysningene
- Retten til dataportabilitet
- Retten til å trekke tilbake samtykke når som helst
- Retten til å klage til en tilsynsmyndighet
Det er viktig å merke seg at der dataene ikke har blitt innhentet direkte fra den registrerte (kanskje ved å bruke en tredjeparts liste), varierer listen og inkluderer fra hvilken kilde personopplysningene stammer:
- Eksistensen av eventuell profilering og meningsfull informasjon om logikken involvert samt betydningen og de forventede konsekvensene av slik behandling for den registrerte.
- GDPR representerer et betydelig problem for markedsførere som får data fra tredjeparts lister.
Legitime interesser
Artikkel 6 i GDPR-reguleringen sier at en datainnsamler kun kan behandle data lovlig hvis, blant annet, det har legitime interesser eller samtykke. Å avgjøre om du har en legitim interesse krever en "nøye vurdering" av forventningene og konteksten til dataene du samler inn.
Det er fristende å bruke en bred tolkning av legitime interesser for å overvinne behovet for samtykke. Vi fraråder å bruke en åpen-ended tilnærming til legitime interesser som en måte å rettferdiggjøre innsamling av data. GDPR gir noen eksempler som behandling av personopplysninger for å forhindre svindel, interne administrative formål relatert til ansatte og kunder, nettverkssikkerhet, og rapportering av mulig kriminell aktivitet eller trusler mot offentlig sikkerhet.
Det er fortsatt et grått område rundt legitime interesser, og definisjonen vil bli mer tydelig over tid. Den kortsiktige anbefalingen er å bli vant til å spørre: "kan det samme målet oppnås uten å behandle personopplysninger?" Hvis svaret er ja, er den beste praksisen å bevege seg bort fra legitime interesser som grunnlag for databehandling; du bør innhente samtykke.
Anbefalinger
Zonos anbefaler følgende for overholdelse av EUs GDPR:
Trinn for overholdelse av GDPR
- Sett i gang en proaktiv plan for din GDPR-overholdelse.
- Gå gjennom personvernerklæringer og -politikker, og sørg for at de oppfyller GDPR-overholdelsesnivåene.
- Forbered en plan i tilfelle et sikkerhetsbrudd.
- Revider dine samtykker.
- Gjør markedsføringssamtykker til opt-in.
- Gå gjennom den legitime interesse-delen av direktivet med din juridiske rådgiver for å sikre at det dekker din organisasjon for bruken av kjøperens data for å behandle og administrere den bestillingen.
- Gjør samtykkespråket ditt lett å finne og lese om bruken av personopplysninger.
- Lag en handlingsplan for forespørsel om dataemner til din organisasjon for bruken av deres data.
- Bli ansvarlig for din overholdelse.
- Tren dine ansatte.
- Ha clear prosesser på plass, skriftlige og reviderte.
- Utnevn en DPO der det er nødvendig.
- Sørg for at dine kontrollører/behandlingspartnere er i samsvar.
Ofte stilte spørsmål
Hvem påvirker dette?
GDPR gjelder for organisasjoner, kontrollører og behandlere som er lokalisert innenfor og utenfor EU, som tilbyr varer eller tjenester til EU-dataemner. GDPR gjelder også for organisasjoner, som markedsføringsorganisasjoner eller de som leverer eller bruker data som overvåker atferden til EU-subjekter.
Hva er forskjellen mellom en kontrollør og en behandler?
En kontrollør bestemmer formålene, betingelsene og midlene for behandlingen av personopplysninger, mens behandleren behandler personopplysningene på vegne av kontrolløren.
EU GDPR
Lær hvordan Zonos håndterer EU GDPR-initiativet.Databeskyttelse blir stadig viktigere i daglig drift. Selv om den generelle databeskyttelsesforordningen (GDPR) ikke er det første personvernsinitiativet i markedet, har det til dags dato vært den mest betydningsfulle drivkraften i forståelsen og håndteringen av enkeltpersoners data og deres datarettigheter.
For å få oppmerksomhet og flytte nålen, tillater EU sine medlemsland å ilegge bøter, som inkluderer en maksimal straff på opptil 4% av årlig global omsetning for brudd på GDPR eller €20 millioner. Direktivet uttrykker også ønsket om enkelhet og en "one-stop-shop" for administrasjon.