Hur vi hanterar GDPR
EU:s GDPR är en omfattande integritetsreglering som trädde i kraft den 25 maj 2018. Vi har implementerat uppdateringar inom vår teknik som inte bara hanterar GDPR-initiativet utan också går bortom EU:s gränser för att säkerställa ett integritetsfokus för alla som använder Zonos.
Zonos levererar branschledande integritetsteknik för att säkerställa att shoppare och handlare har kontroll över sina data och processer - vilket uppfyller ramen för EU:s GDPR.
Zonos mål för ditt företag fortsätter att vara:
- Hjälpa dig att avkoda gränsöverskridande handel.
- Ge dig kontroll över den globala leveranskedjan.
- Erbjuda en säker och fantastisk upplevelse för dina internationella köpare.
Viktiga punkter i GDPR-direktivet
Böter
Böter kan uppgå till 4% av den årliga globala omsättningen för brott mot GDPR eller €20 miljoner. Detta är den maximala böter som kan åläggas för de mest allvarliga överträdelserna, t.ex. att inte ha tillräckligt med kundsamtycke för att behandla data eller att bryta mot kärnan i "Privacy by Design"-koncepten.
Definition av personuppgifter
Personuppgifter är all information som kan användas för att direkt eller indirekt identifiera en person, såsom namn, foto, e-postadress, bankuppgifter, inlägg på sociala nätverkswebbplatser, medicinsk information eller en datorns IP-adress.
Samtycke
Samtycke måste ges i en begriplig och lättillgänglig form med syftet för databehandlingen kopplat till det samtycket. Det måste vara entydigt, lätt identifierbart och använda clear och lättförståelig språk. Det måste också vara lika enkelt att återkalla samtycke som att ge det. Vid behandling av känsliga personuppgifter kommer inget mindre än "opt-in" att vara tillräckligt.
Om den registrerade är under 16 år krävs förälders samtycke för att behandla barnets personuppgifter. Medlemsstater kan sänka åldern för förälders samtycke, men inte lägre än 13 år.
Dataskyddsombud (DPO)
DPO måste utses i fall av (a) offentliga myndigheter, (b) organisationer som bedriver storskalig eller systematisk övervakning av stora datamängder, eller (c) organisationer som deltar i massbehandling av känsliga personuppgifter (Art. 37). Om din organisation inte faller inom en av dessa kategorier behöver du inte utse en DPO.
Rättigheter för registrerade
Anmälan om överträdelse
Enligt GDPR kommer anmälan om överträdelse att bli obligatorisk i alla medlemsstater där en dataintrång sannolikt kommer att "resultera i en risk för rättigheterna och friheterna för individer." Anmälan måste ske inom 72 timmar efter att man blivit medveten om överträdelsen. Databehandlare kommer också att behöva informera kontrollerna "utan onödigt dröjsmål" efter att de först blivit medvetna om en dataintrång.
Rätt till tillgång
De registrerade har rätt att få bekräftelse från datakontrollanten om huruvida personuppgifter som rör dem har behandlats, var och i vilket syfte. Datakontrollanten ska tillhandahålla en kopia av personuppgifterna, kostnadsfritt, i ett elektroniskt format.
Rätt att bli glömd
Känd som dataradering, ger rätten att bli glömd den registrerade rätten att få datakontrollanten att radera deras personuppgifter, upphöra med vidare spridning av uppgifterna och potentiellt få tredje parter att stoppa behandlingen av uppgifterna. Uppgifterna får inte längre vara relevanta för de ursprungliga syftena för behandlingen eller en registrerad återkallar sitt samtycke. Det bör också noteras att denna rättighet kräver att kontrollerna jämför den registrerades rättigheter med "det allmänna intresset av tillgången till uppgifterna" när sådana begärningar övervägs.
Dataportabilitet
Den registrerade kan ta emot de personuppgifter som rör dem, som de tidigare har tillhandahållit i ett "vanligt använt och maskinläsbart format" och har rätt att överföra dessa uppgifter till en annan kontrollant.
Integritet genom design
Dataskydd måste vara i kärnan av de teknologiska system som kontrollerna och behandlarna använder för att hantera de registrerades information, inte bara en tilläggsfunktion.
Information till registrerade
Den information som måste göras tillgänglig för en registrerad när data samlas in har definierats noggrant och inkluderar:
- Identiteten och kontaktuppgifterna för kontrollanten och DPO
- Syftena med behandlingen, för vilka personuppgifterna är avsedda
- Den rättsliga grunden för behandlingen
- Om tillämpligt, de legitima intressen som eftersträvas av kontrollanten eller av en tredje part
- Om tillämpligt, mottagarna eller kategorier av mottagare av personuppgifterna
- Den period under vilken personuppgifterna kommer att lagras, eller om detta inte är möjligt, kriterierna som används för att bestämma denna period
- Förekomsten av rätten att få tillgång till, rätta eller radera personuppgifterna
- Rätten till dataportabilitet
- Rätten att återkalla samtycke när som helst
- Rätten att lämna in ett klagomål till en tillsynsmyndighet
Viktigt är att där data inte har erhållits direkt från den registrerade (kanske genom att använda en tredjepartslista), varierar listan och inkluderar från vilken källa personuppgifterna härstammar:
- Förekomsten av eventuell profilering och meningsfull information om logiken som är involverad samt betydelsen och de avsedda konsekvenserna av sådan behandling för den registrerade.
- GDPR utgör ett betydande problem för marknadsförare som får data från tredjepartslistor.
Legitima intressen
Artikel 6 i GDPR-förordningen anger att en datainsamlare endast får behandla data lagligt om, bland annat, den har legitima intressen eller samtycke. Att avgöra om du har ett legitimt intresse kräver en "noggrann bedömning" av förväntningarna och kontexten för de data du samlar in.
Det är frestande att använda en bred tolkning av legitima intressen för att övervinna behovet av samtycke. Vi avråder från att använda en öppen tolkning av legitima intressen som ett sätt att rättfärdiga insamling av data. GDPR ger några exempel, såsom behandling av personuppgifter för att förhindra bedrägeri, interna administrativa syften relaterade till anställda och kunder, nätverkssäkerhet och rapportering av möjliga brottsliga aktiviteter eller hot mot den offentliga säkerheten.
Det finns fortfarande ett grått område kring legitima intressen, och definitionen kommer att bli tydligare över tid. Den kortsiktiga rekommendationen är att vänja sig vid att fråga: "kan samma mål uppnås utan att behandla personuppgifter?" Om svaret är ja, är den bästa metoden att avstå från legitima intressen som grund för databehandling; du bör erhålla samtycke.
Rekommendationer
Zonos rekommenderar följande för att följa EU:s GDPR:
Steg för att följa GDPR
- Sätt en proaktiv plan för din GDPR-efterlevnad.
- Granska sekretessmeddelanden och policyer, och se till att de uppfyller GDPR-efterlevnadsnivåer.
- Förbered en plan för fall av säkerhetsbrott.
- Granska dina samtycken.
- Gör marknadsföringssamtycken opt-in.
- Granska den legitima intresse-delen av direktivet med din juridiska rådgivare för att säkerställa att det täcker din organisation för användningen av köparens data för att behandla och hantera den beställningen.
- Gör ditt samtyckesspråk lätt att hitta och läsa om användningen av personuppgifter.
- Skapa en handlingsplan för registrerade begärningar till din organisation för användningen av deras data.
- Bli ansvarig för din efterlevnad.
- Utbilda dina anställda.
- Ha clear processer på plats, skrivna och granskade.
- Utse en DPO där det krävs.
- Se till att dina kontrollanter/hanteringspartners är efterlevande.
Vanliga frågor
Vem påverkas av detta?
GDPR gäller för organisationer, kontrollanter och processorer som är belägna inom och utanför EU, som erbjuder varor eller tjänster till EU:s registrerade. GDPR gäller också för organisationer, såsom marknadsföringsorganisationer eller de som tillhandahåller eller använder data som övervakar beteendet hos EU:s registrerade.
Vad är skillnaden mellan en kontrollant och en processor?
En kontrollant bestämmer syftena, villkoren och medlen för behandlingen av personuppgifter, medan processorn behandlar personuppgifterna på uppdrag av kontrollanten.
EU GDPR
Lär dig hur Zonos hanterar EU:s GDPR-initiativ.Dataskydd blir allt viktigare i den dagliga verksamheten. Även om den allmänna dataskyddsförordningen (GDPR) inte är den första integritetsinitiativet på marknaden, har den hittills varit den mest betydande drivkraften för förståelsen och hanteringen av individers data och deras datarättigheter.
För att få uppmärksamhet och förändra situationen tillåter EU sina medlemsstater att tillämpa böter, som inkluderar en maximal straffavgift på upp till 4% av den årliga globala omsättningen för brott mot GDPR eller €20 miljoner. Direktivet uttrycker också en önskan om enkelhet och en "one-stop-shop" för administration.