DOCS

Eu gdpr

/

ЕС GDPR

Узнайте, как Zonos управляет инициативой ЕС GDPR.

Защита данных становится жизненно важной в повседневном бизнесе. Хотя инициатива Общего Регламента о Защите Данных (GDPR) не является первой инициативой по конфиденциальности на рынке, на сегодняшний день она была самой значительной движущей силой в понимании и управлении данными отдельных лиц и их правами на данные.

Чтобы привлечь внимание, ЕС позволяет своим государствам-членам применять штрафы, которые включают максимальное наказание до 4% от годового мирового оборота за нарушение GDPR или €20 миллионов. Директива также выражает желание о простоте и «одном окне» для администрирования.

Как мы управляем GDPR 

ЕС GDPR является всеобъемлющим регламентом по конфиденциальности, который был внедрен 25 мая 2018 года. Мы внесли обновления в нашу технологию, которые не только управляют инициативами GDPR, но и выходят за пределы ЕС, чтобы обеспечить фокус на конфиденциальности для всех пользователей Zonos.

Zonos предоставляет передовые технологии конфиденциальности, чтобы обеспечить контроль покупателей и продавцов над их данными и процессами - соответствуя рамкам ЕС GDPR.

Цели Zonos для вашего бизнеса продолжают быть:

  • Помогать вам расшифровывать трансакции через границы.
  • Давать вам контроль над глобальной цепочкой поставок.
  • Обеспечивать безопасный и отличный опыт для ваших международных покупателей.

Основные пункты директивы GDPR 

Штрафы

Штрафы могут составлять 4% от годового мирового оборота за нарушение GDPR или €20 миллионов. Это максимальный штраф, который может быть наложен за самые серьезные нарушения, например, отсутствие достаточного согласия клиента на обработку данных или нарушение основополагающих концепций «Конфиденциальности по дизайну».

Определение персональных данных

Персональные данные - это любая информация, которая может быть использована для прямой или косвенной идентификации человека, такая как имя, фотография, адрес электронной почты, банковские реквизиты, публикации в социальных сетях, медицинская информация или IP-адрес компьютера.

Согласие

Согласие должно быть дано в понятной и легко доступной форме с целью обработки данных, прикрепленной к этому согласию. Оно должно быть недвусмысленным, легко идентифицируемым и использовать clear и легко понимаемый язык. Также должно быть так же легко отозвать согласие, как и дать его. При обработке чувствительных персональных данных ничего, кроме «опта», не будет достаточным.

Если субъект данных младше 16 лет, потребуется согласие родителей для обработки персональных данных ребенка. Государства-члены могут снизить возраст родительского согласия, но не ниже 13 лет.

Офицеры по защите данных (DPO)

DPO должны быть назначены в случае (a) государственных органов, (b) организаций, которые занимаются систематическим мониторингом больших объемов данных, или (c) организаций, которые участвуют в массовой обработке чувствительных персональных данных (ст. 37). Если ваша организация не попадает в одну из этих категорий, то вам не нужно назначать DPO.

Права субъектов данных

Уведомление о нарушении

В соответствии с GDPR уведомление о нарушении станет обязательным во всех государствах-членах, где нарушение данных может «повлечь риск для прав и свобод отдельных лиц». Уведомление должно происходить в течение 72 часов после того, как стало известно о нарушении. Обработчики данных также будут обязаны уведомить контроллеров «без неоправданной задержки» после того, как впервые узнали о нарушении данных.

Право на доступ

Субъекты данных имеют право получить подтверждение от контроллера данных о том, обрабатывались ли их персональные данные, где и с какой целью. Контроллер данных должен предоставить копию персональных данных бесплатно в электронном формате.

Право на забвение

Известное как удаление данных, право на забвение дает субъекту данных право требовать от контроллера данных удалить их персональные данные, прекратить дальнейшее распространение данных и потенциально заставить третьих лиц прекратить обработку данных. Данные больше не должны быть актуальными для первоначальных целей обработки или субъект данных отозвал согласие. Также следует отметить, что это право требует от контроллеров сопоставить права субъекта с «общественными интересами в доступности данных» при рассмотрении таких запросов.

Портативность данных

Субъект данных может получить персональные данные, касающиеся его, которые он ранее предоставил в «общепринятом и машиночитаемом формате», и имеет право передать эти данные другому контроллеру.

Конфиденциальность по дизайну

Конфиденциальность данных должна быть в центре технологических систем, которые контроллеры и обработчики используют для управления информацией субъектов данных, а не просто дополнением.

Информация о субъекте данных

Информация, которая должна быть предоставлена субъекту данных при сборе данных, была четко определена и включает:

  • Личность и контактные данные контроллера и DPO
  • Цели обработки, для которых предназначены персональные данные
  • Правовая основа обработки
  • При необходимости, законные интересы, преследуемые контроллером или третьей стороной
  • При необходимости, получатели или категории получателей персональных данных
  • Период, в течение которого персональные данные будут храниться, или, если это невозможно, критерии, используемые для определения этого периода
  • Наличие права на доступ, исправление или удаление персональных данных
  • Право на портативность данных
  • Право в любой момент отозвать согласие
  • Право подать жалобу в надзорный орган

Важно, что если данные не были получены непосредственно от субъекта данных (возможно, с использованием списка третьей стороны), список варьируется и включает источник, из которого происходят персональные данные:

  • Наличие любого профилирования и значимая информация о логике, вовлеченной в это, а также значимость и предполагаемые последствия такой обработки для субъекта данных.
  • GDPR представляет собой значительную проблему для маркетологов, получающих данные из списков третьих сторон.

Законный интерес

Статья 6 регламента GDPR гласит, что сборщик данных может обрабатывать данные законно только в том случае, если, среди прочего, у него есть законный интерес или согласие. Определение того, есть ли у вас законный интерес, требует «внимательной оценки» ожиданий и контекста данных, которые вы собираете.

Соблазнительно использовать широкую интерпретацию законного интереса, чтобы обойти необходимость в согласии. Мы не рекомендуем использовать открытое понимание законного интереса как способ оправдать сбор данных. GDPR предоставляет некоторые примеры, такие как обработка персональных данных для предотвращения мошенничества, внутренние административные цели, касающиеся сотрудников и клиентов, безопасность сети и сообщение о возможной преступной деятельности или угрозах общественной безопасности.

Существует еще серый участок вокруг законного интереса, и определение станет более очевидным со временем. Краткосрочная рекомендация - привыкнуть задавать вопрос: «можно ли достичь той же цели без обработки персональных данных?» Если ответ «да», то лучшей практикой будет отказаться от законного интереса как основы для обработки данных; вам следует получить согласие.

Рекомендации 

Zonos рекомендует следующее для соблюдения GDPR ЕС:

Шаги для соблюдения GDPR

  1. Разработайте проактивный план для соблюдения GDPR.
  2. Проверьте уведомления о конфиденциальности и политики, и убедитесь, что они соответствуют уровням соблюдения GDPR.
  3. Подготовьте план на случай нарушения безопасности.
  4. Проведите аудит ваших согласий.
  5. Сделайте согласия на маркетинг по принципу "опт-ин".
  6. Пересмотрите часть директивы о законных интересах с вашим юридическим консультантом, чтобы убедиться, что она охватывает вашу организацию для использования данных покупателя для обработки и управления этим заказом.
  7. Сделайте язык вашего согласия легким для поиска и чтения о использовании личных данных.
  8. Создайте план действий для запросов субъектов данных к вашей организации на использование их данных.
  9. Станьте ответственными за ваше соблюдение.
  10. Обучите своих сотрудников.
  11. Иметь clear процессы на месте, задокументированные и проверенные.
  12. Назначьте DPO, если это требуется.
  13. Убедитесь, что ваши партнеры по контролю/обработке соблюдают требования.

Часто задаваемые вопросы 

На кого это влияет?

GDPR применяется к организациям, контроллерам и процессорам, расположенным как внутри, так и за пределами ЕС, которые предлагают товары или услуги субъектам данных ЕС. GDPR также применяется к организациям, таким как маркетинговые организации или те, кто поставляет или использует данные, которые отслеживают поведение субъектов ЕС.

В чем разница между контроллером и процессором?

Контроллер определяет цели, условия и средства обработки личных данных, в то время как процессор обрабатывает личные данные от имени контроллера.

Была ли эта страница полезной?