Jak zarządzamy RODO
RODO UE to kompleksowa regulacja dotycząca prywatności, która została wdrożona 25 maja 2018 roku. Wprowadziliśmy aktualizacje w naszej technologii, które nie tylko zarządzają inicjatywami RODO, ale także wykraczają poza granice UE, aby zapewnić skupienie na prywatności dla wszystkich korzystających z Zonos.
Zonos dostarcza wiodącą w branży technologię prywatności, aby zapewnić, że klienci i sprzedawcy mają kontrolę nad swoimi danymi i procesami - spełniając ramy RODO UE.
Cele Zonos dla Twojego biznesu to:
- Pomoc w dekodowaniu transakcji transgranicznych.
- Danie Ci kontroli nad globalnym łańcuchem dostaw.
- Zapewnienie bezpiecznego i fantastycznego doświadczenia dla Twoich międzynarodowych nabywców.
Kluczowe elementy dyrektywy RODO
Kary
Kary mogą wynosić 4% rocznego globalnego obrotu za naruszenie RODO lub 20 milionów euro. To maksymalna kara, która może być nałożona za najcięższe naruszenia, np. brak wystarczającej zgody klientów na przetwarzanie danych lub naruszenie podstawowych zasad koncepcji „Prywatność przez projekt”.
Definicja danych osobowych
Dane osobowe to wszelkie informacje, które mogą być użyte do bezpośredniego lub pośredniego zidentyfikowania osoby, takie jak imię, zdjęcie, adres e-mail, dane bankowe, posty na stronach społecznościowych, informacje medyczne lub adres IP komputera.
Zgoda
Zgoda musi być udzielona w zrozumiałej i łatwo dostępnej formie z dołączonym celem przetwarzania danych. Musi być jednoznaczna, łatwo identyfikowalna i używać clear oraz łatwego do zrozumienia języka. Musi być również tak samo łatwo wycofać zgodę, jak ją udzielić. Przy przetwarzaniu wrażliwych danych osobowych, nic mniej niż „zgoda aktywna” nie będzie wystarczające.
Jeśli osoba, której dane dotyczą, ma mniej niż 16 lat, wymagana będzie zgoda rodziców na przetwarzanie danych osobowych dziecka. Państwa członkowskie mogą obniżyć wiek zgody rodziców, ale nie poniżej 13 roku życia.
Inspektor Ochrony Danych (IOD)
IOD musi być powołany w przypadku (a) organów publicznych, (b) organizacji, które prowadzą monitoring na dużą skalę lub systematyczne przetwarzanie danych, lub (c) organizacji, które uczestniczą w masowym przetwarzaniu wrażliwych danych osobowych (Art. 37). Jeśli Twoja organizacja nie należy do jednej z tych kategorii, nie musisz powoływać IOD.
Prawa osób, których dane dotyczą
Powiadomienie o naruszeniu
Zgodnie z RODO, powiadomienie o naruszeniu stanie się obowiązkowe we wszystkich państwach członkowskich, gdzie naruszenie danych może „prowadzić do ryzyka dla praw i wolności osób”. Powiadomienie musi nastąpić w ciągu 72 godzin od momentu, gdy staniesz się świadomy naruszenia. Przetwarzający dane będą również zobowiązani do powiadomienia administratorów „bez zbędnej zwłoki” po pierwszym uzyskaniu informacji o naruszeniu danych.
Prawo dostępu
Osoby, których dane dotyczą, mają prawo uzyskać potwierdzenie od administratora danych, czy ich dane osobowe były przetwarzane, gdzie i w jakim celu. Administrator danych powinien dostarczyć kopię danych osobowych, bezpłatnie, w formacie elektronicznym.
Prawo do bycia zapomnianym
Znane jako usunięcie danych, prawo do bycia zapomnianym uprawnia osobę, której dane dotyczą, do żądania od administratora danych usunięcia ich danych osobowych, zaprzestania dalszego rozpowszechniania danych oraz potencjalnego zatrzymania przetwarzania danych przez osoby trzecie. Dane muszą być już nieistotne dla pierwotnych celów przetwarzania lub osoba, której dane dotyczą, wycofuje zgodę. Należy również zauważyć, że to prawo wymaga od administratorów porównania praw osoby, której dane dotyczą, z „interesem publicznym w dostępności danych” przy rozpatrywaniu takich wniosków.
Przenoszenie danych
Osoba, której dane dotyczą, może otrzymać dane osobowe, które wcześniej dostarczyła w „powszechnie używanym i czytelnym formacie maszynowym” i ma prawo przesłać te dane do innego administratora.
Prywatność przez projekt
Prywatność danych musi być w centrum systemów technologicznych, które administratorzy i przetwarzający używają do zarządzania informacjami osób, których dane dotyczą, a nie tylko dodatkiem.
Informacje o osobach, których dane dotyczą
Informacje, które muszą być udostępnione osobie, której dane dotyczą, w momencie zbierania danych, zostały dokładnie zdefiniowane i obejmują:
- Tożsamość i dane kontaktowe administratora oraz IOD
- Cele przetwarzania, dla których dane osobowe są przeznaczone
- Podstawy prawne przetwarzania
- W stosownych przypadkach, uzasadnione interesy realizowane przez administratora lub przez osobę trzecią
- W stosownych przypadkach, odbiorcy lub kategorie odbiorców danych osobowych
- Okres, przez który dane osobowe będą przechowywane, lub jeśli to nie jest możliwe, kryteria użyte do określenia tego okresu
- Istnienie prawa do dostępu, sprostowania lub usunięcia danych osobowych
- Prawo do przenoszenia danych
- Prawo do wycofania zgody w dowolnym momencie
- Prawo do złożenia skargi do organu nadzorczego
Co ważne, jeśli dane nie zostały pozyskane bezpośrednio od osoby, której dane dotyczą (może to być przy użyciu listy osób trzecich), lista różni się i obejmuje źródło, z którego pochodzą dane osobowe:
- Istnienie jakiegokolwiek profilowania oraz istotne informacje o logice zaangażowanej w to przetwarzanie, a także znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.
- RODO stanowi poważny problem dla marketerów pozyskujących dane z list osób trzecich.
Uzasadniony interes
Artykuł 6 regulacji RODO stwierdza, że zbierający dane może przetwarzać dane zgodnie z prawem tylko wtedy, gdy, między innymi, ma uzasadniony interes lub zgodę. Określenie, czy masz uzasadniony interes, wymaga „starannej oceny” oczekiwań i kontekstu danych, które zbierasz.
Kuszące jest użycie szerokiej interpretacji uzasadnionego interesu, aby obejść potrzebę uzyskania zgody. Odradzamy stosowanie otwartego podejścia do uzasadnionego interesu jako sposobu na uzasadnienie zbierania danych. RODO podaje kilka przykładów, takich jak przetwarzanie danych osobowych w celu zapobiegania oszustwom, wewnętrzne cele administracyjne związane z pracownikami i klientami, bezpieczeństwo sieci oraz zgłaszanie możliwej działalności przestępczej lub zagrożeń dla bezpieczeństwa publicznego.
Wciąż istnieje szara strefa wokół uzasadnionego interesu, a definicja stanie się bardziej oczywista z czasem. Krótkoterminowa rekomendacja to przyzwyczajenie się do zadawania pytania: „czy ten sam cel można osiągnąć bez przetwarzania danych osobowych?” Jeśli odpowiedź brzmi tak, to najlepszą praktyką jest unikanie uzasadnionego interesu jako podstawy przetwarzania danych; powinieneś uzyskać zgodę.
Rekomendacje
Zonos zaleca następujące działania w celu zapewnienia zgodności z RODO UE:
Kroki w celu zgodności z RODO
- Wprowadź proaktywny plan dotyczący zgodności z RODO.
- Przejrzyj powiadomienia o prywatności i polityki, aby upewnić się, że spełniają poziomy zgodności z RODO.
- Przygotuj plan na wypadek naruszenia bezpieczeństwa.
- Audytuj swoje zgody.
- Uczyń zgody marketingowe opcjonalnymi.
- Przejrzyj część dotyczącą uzasadnionego interesu dyrektywy z prawnikiem, aby upewnić się, że obejmuje twoją organizację w zakresie wykorzystania danych nabywcy do przetwarzania i zarządzania tym zamówieniem.
- Uczyń język zgody łatwym do znalezienia i zrozumienia w kontekście wykorzystania danych osobowych.
- Stwórz plan działania dla żądań osób, których dane dotyczą, dotyczących wykorzystania ich danych przez twoją organizację.
- Weź odpowiedzialność za swoją zgodność.
- Szkol swoich pracowników.
- Miej clear procesy w miejscu, spisane i audytowane.
- Wyznacz inspektora ochrony danych, gdzie to wymagane.
- Upewnij się, że twoi partnerzy kontrolujący/przetwarzający są zgodni.
Najczęściej zadawane pytania
Kogo to dotyczy?
RODO dotyczy organizacji, kontrolerów i przetwarzających znajdujących się w UE i poza nią, którzy oferują towary lub usługi osobom, których dane dotyczą w UE. RODO dotyczy również organizacji, takich jak organizacje marketingowe lub te, które dostarczają lub wykorzystują dane monitorujące zachowanie osób w UE.
Jaka jest różnica między kontrolerem a przetwarzającym?
Kontroler określa cele, warunki i środki przetwarzania danych osobowych, podczas gdy przetwarzający przetwarza dane osobowe w imieniu kontrolera.
RODO UE
Dowiedz się, jak Zonos zarządza inicjatywą RODO UE.Ochrona danych staje się kluczowa w codziennym biznesie. Chociaż inicjatywa Ogólnego rozporządzenia o ochronie danych (RODO) nie jest pierwszą inicjatywą dotyczącą prywatności na rynku, do tej pory - była najważniejszą siłą napędową w zrozumieniu i zarządzaniu danymi osób oraz ich prawami do danych.
Aby przyciągnąć uwagę, UE pozwala swoim państwom członkowskim na nakładanie kar, które obejmują maksymalną karę do 4% rocznego globalnego obrotu za naruszenie RODO lub 20 milionów euro. Dyrektywa wyraża również chęć uproszczenia i stworzenia „jednego punktu kontaktowego” do zarządzania.