Como gerenciamos o GDPR
O GDPR da UE é uma regulamentação abrangente de privacidade que foi implementada em 25 de maio de 2018. Incluímos atualizações em nossa tecnologia que não apenas gerenciam as iniciativas do GDPR, mas também vão além das fronteiras da UE para garantir um foco em privacidade para todos que usam o Zonos.
O Zonos oferece tecnologia líder do setor em privacidade para garantir que compradores e comerciantes tenham controle sobre seus dados e processos - atendendo ao framework do GDPR da UE.
Os objetivos do Zonos para o seu negócio continuam sendo:
- Ajudá-lo a decodificar o comércio transfronteiriço.
- Dar-lhe controle sobre a cadeia de suprimentos global.
- Apresentar uma experiência segura e fantástica para seus compradores internacionais.
Principais itens da diretiva GDPR
Penalidades
As multas podem chegar a 4% do faturamento global anual por violação do GDPR ou €20 milhões. Esta é a multa máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de "Privacidade por Design".
Definição de dados pessoais
Dados pessoais são quaisquer informações que possam ser usadas para identificar diretamente ou indiretamente a pessoa, como nome, foto, endereço de e-mail, detalhes bancários, postagens em redes sociais, informações médicas ou um endereço IP de computador.
Consentimento
O consentimento deve ser dado de forma inteligível e facilmente acessível, com o propósito do processamento de dados anexado a esse consentimento. Deve ser inequívoco, prontamente identificável e usar uma linguagem clear e facilmente compreensível. Também deve ser tão fácil retirar o consentimento quanto é dar. Ao processar dados pessoais sensíveis, nada menos que "opt-in" será suficiente.
Se o titular dos dados tiver menos de 16 anos, será necessário o consentimento dos pais para processar os dados pessoais da criança. Os estados membros podem reduzir a idade de consentimento dos pais, mas não inferior a 13 anos.
Encarregado de Proteção de Dados (DPOs)
Os DPOs devem ser designados no caso de (a) autoridades públicas, (b) organizações que se envolvem em monitoramento sistemático em grande escala ou big data, ou (c) organizações que participam do processamento em massa de dados pessoais sensíveis (Art. 37). Se sua organização não se encaixa em uma dessas categorias, então você não precisa designar um DPO.
Direitos dos titulares de dados
Notificação de violação
Sob o GDPR, a notificação de violação se tornará obrigatória em todos os estados membros onde uma violação de dados provavelmente resultará em um risco para os direitos e liberdades das pessoas. A notificação deve ocorrer dentro de 72 horas após a tomada de conhecimento da violação. Os processadores de dados também serão obrigados a notificar os controladores "sem demora" após tomarem conhecimento de uma violação de dados.
Direito de acesso
Os titulares de dados têm direito a obter confirmação do controlador de dados se os dados pessoais relativos a eles foram processados, onde e para que finalidade. O controlador de dados deve fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico.
Direito ao esquecimento
Conhecido como apagamento de dados, o direito ao esquecimento permite que o titular de dados faça com que o controlador de dados apague seus dados pessoais, cesse a disseminação adicional dos dados e possivelmente faça com que terceiros interrompam o processamento dos dados. Os dados não devem mais ser relevantes para os propósitos originais de processamento ou um titular de dados retire o consentimento. Também deve ser observado que esse direito exige que os controladores comparem os direitos do sujeito com "o interesse público na disponibilidade dos dados" ao considerar tais solicitações.
Portabilidade de dados
O titular de dados pode receber os dados pessoais relativos a eles, que foram fornecidos anteriormente em um formato "comum e legível por máquina" e tem o direito de transmitir esses dados para outro controlador.
Privacidade por design
A privacidade de dados deve estar no cerne dos sistemas tecnológicos que os controladores e processadores usam para gerenciar as informações dos titulares de dados, não apenas um complemento.
Informações do titular de dados
As informações que devem ser disponibilizadas a um titular de dados quando os dados são coletados foram definidas de forma aguda e incluem:
- A identidade e os detalhes de contato do controlador e do DPO
- Os propósitos do processamento, para os quais os dados pessoais são destinados
- A base legal do processamento
- Quando aplicável, os interesses legítimos perseguidos pelo controlador ou por um terceiro
- Quando aplicável, os destinatários ou categorias de destinatários dos dados pessoais
- O período pelo qual os dados pessoais serão armazenados, ou se isso não for possível, os critérios usados para determinar esse período
- A existência do direito de acesso, retificação ou exclusão dos dados pessoais
- O direito à portabilidade dos dados
- O direito de retirar o consentimento a qualquer momento
- O direito de apresentar uma reclamação a uma autoridade supervisora
Importante, quando os dados não foram obtidos diretamente do titular dos dados (talvez usando uma lista de terceiros), a lista varia e inclui de qual fonte os dados pessoais se originam:
- A existência de qualquer perfil e informações significativas sobre a lógica envolvida, bem como a importância e as consequências previstas de tal processamento para o titular de dados.
- O GDPR representa um problema significativo para os profissionais de marketing que obtêm dados de listas de terceiros.
Interesse legítimo
O Artigo 6 do regulamento GDPR afirma que um coletor de dados só pode processar dados legalmente se, entre outras coisas, tiver interesse legítimo ou consentimento. Determinar se você tem um interesse legítimo requer uma "avaliação cuidadosa" das expectativas e do contexto dos dados que você está coletando.
É tentador usar uma interpretação ampla de interesse legítimo para superar a necessidade de consentimento. Desencorajamos o uso de uma visão aberta de interesse legítimo como uma maneira de justificar a coleta de dados. O GDPR fornece alguns exemplos, como processar dados pessoais para prevenir fraudes, fins administrativos internos relacionados a funcionários e clientes, segurança de rede e relato de possíveis atividades criminosas ou ameaças à segurança pública.
Ainda há uma área cinzenta em torno do interesse legítimo, e a definição se tornará mais evidente com o tempo. A recomendação a curto prazo é adotar o hábito de perguntar: "o mesmo objetivo pode ser alcançado sem processar dados pessoais?" Se a resposta for sim, então a melhor prática é afastar-se do interesse legítimo como base para o processamento de dados; você deve obter consentimento.
Recomendações
O Zonos recomenda o seguinte para estar em conformidade com o GDPR da UE:
Etapas para conformidade com o GDPR
- Coloque um plano proativo em prática para a conformidade com o GDPR.
- Revise avisos e políticas de privacidade e certifique-se de que atendam aos níveis de conformidade do GDPR.
- Prepare um plano em caso de violação de segurança.
- Audite seus consentimentos.
- Torne os consentimentos de marketing opt-in.
- Revise a parte de interesse legítimo da diretiva com seu conselheiro jurídico para garantir que cubra sua organização para o uso dos dados do comprador para processar e gerenciar o pedido.
- Torne sua linguagem de consentimento fácil de encontrar e ler sobre o uso de dados pessoais.
- Crie um plano de ação para solicitações de titulares de dados à sua organização para o uso de seus dados.
- Torne-se responsável por sua conformidade.
- Treine seus funcionários.
- Tenha processos clear estabelecidos, por escrito e auditados.
- Nomeie um DPO quando necessário.
- Certifique-se de que seus parceiros controladores/processadores estejam em conformidade.
Perguntas frequentes
Quem é afetado por isso?
O GDPR se aplica a organizações, controladores e processadores localizados dentro e fora da UE, que oferecem bens ou serviços a titulares de dados da UE. O GDPR também se aplica a organizações, como organizações de marketing ou aquelas que fornecem ou usam dados que monitoram o comportamento de sujeitos da UE.
Qual é a diferença entre um controlador e um processador?
Um controlador determina os propósitos, condições e meios para o processamento de dados pessoais, enquanto o processador processa os dados pessoais em nome do controlador.
GDPR da UE
Saiba como o Zonos gerencia a iniciativa GDPR da UE.A proteção de dados está se tornando vital nos negócios do dia a dia. Embora a iniciativa do Regulamento Geral de Proteção de Dados (GDPR) não seja a primeira iniciativa de privacidade no mercado, até o momento - tem sido a força motriz mais significativa na compreensão e gerenciamento dos dados individuais e seus direitos.
Para chamar a atenção e obter resultados, a UE permite que seus estados membros apliquem multas, que incluem uma penalidade máxima de até 4% do faturamento global anual por violação do GDPR ou €20 milhões. A diretiva também expressa o desejo de facilidade e um "balcão único" para administrar.