Se apropie GDPR: Cum să vă pregătiți

Notă: Acest lucru are doar scop informativ general și nu este destinat să constituie analiză juridică sau consultanță juridică. Ar trebui să contactați un avocat pentru a afla mai multe despre obligațiile dvs. particulare conform GDPR.

Dacă faceți parte dintr-o organizație care face afaceri cu cetățeni ai Uniunii Europene, atunci este posibil să fi auzit de modificările viitoare care implică Regulamentul general privind protecția datelor (GDPR). GDPR este o lege a Uniunii Europene menită să consolideze și să unifice regulile și drepturile de protecție a datelor în beneficiul cetățenilor UE. GDPR se aplică organizațiilor din UE și organizațiilor din afara UE (de orice dimensiune) care furnizează bunuri și servicii UE sau care utilizează tehnologii de urmărire (cum ar fi module cookie sau pixeli de urmărire) pentru a monitoriza comportamentul utilizatorilor din UE.

GDPR va fi aplicat începând cu 25 mai 2018.

În acel moment, orice organizație care nu se conformează poate fi supusă amenzilor și altor sancțiuni de reglementare. Pentru o prezentare generală a GDPR, acest articol este un loc minunat de început.

Principiile cheie ale GDPR

Rețineți următoarele principii în timp ce dvs. și echipa dvs. vă pregătiți pentru viitorul GDPR:

• Datele cu caracter personal colectate trebuie prelucrate într-un mod corect, legal și transparent. Nu ar trebui să fie folosit în niciun fel la care o persoană nu s-ar aștepta în mod rezonabil.
• Datele cu caracter personal trebuie colectate numai pentru a îndeplini un anumit scop și nu trebuie utilizate în continuare într-o manieră incompatibilă cu acele scopuri. Organizațiile trebuie să specifice de ce au nevoie de datele personale atunci când le colectează.
• Datele personale deținute trebuie păstrate la zi și exacte. Ar trebui să fie ținută nu mai mult decât este necesar pentru a-și îndeplini scopul.
• Cetăţenii UE au dreptul de a accesa propriile date personale. De asemenea, pot solicita o copie a datelor lor și ca datele lor să fie actualizate, șterse, restricționate sau mutate într-o altă organizație fără obstacole.
• Toate datele personale trebuie păstrate în siguranță, iar companiile care desfășoară anumite tipuri de activități sunt acum obligate să numească un responsabil cu protecția datelor.

Ce sunt datele personale?

Definiția GDPR a datelor cu caracter personal include ceea ce considerăm în mod obișnuit informații de identificare personală (PII) - nume, număr de pașaport, data nașterii etc. - dar include și date pe care le-am putea considera a fi non-PII, cum ar fi adrese IP sau dispozitiv ID-uri.

Datele cu caracter personal pot include chiar și date despre o persoană care au fost hashing sau criptate.

Pentru o listă cuprinzătoare a ceea ce GDPR consideră date personale, vă rugăm să citiți articolul 4 alineatul (1) din GDPR.

În plus, în definiția datelor cu caracter personal este inclus un subset de date cunoscut sub numele de „categorii speciale de date cu caracter personal”. Categorii speciale de date cu caracter personal este o listă specifică de date, stabilită în mod expres în GDPR, și include lucruri precum rasa, religia, opiniile politice, datele de sănătate etc.

Pași pentru pregătirea pentru GDPR

Maparea datelor – Determinați (și documentați) următoarele:

• Ce date personale dețineți sau colectați?
• În ce scopuri sunt folosite datele personale?
• De unde au venit aceste date și cu ce părți au fost partajate?
• Unde se află în prezent aceste date?
• Cât timp sunt stocate datele?
• Cum vor fi șterse sau modificate aceste date dacă o persoană vizată depune o solicitare?

Drepturi – Verificați procedurile actuale pentru a vă asigura că vă puteți conforma drepturilor persoanelor vizate. Cetăţenii UE au dreptul de a accesa propriile date personale. De asemenea, pot solicita o copie a datelor lor și ca datele lor să fie actualizate, șterse, restricționate sau mutate într-o altă organizație fără obstacole, în anumite circumstanțe.

Consimțământ – Când vă bazați pe consimțământ ca temei pentru prelucrarea datelor cu caracter personal, abordați modul în care urmăriți, obțineți și documentați consimțământul. Pentru anumite (dar nu pentru toate) tipuri de activități, consimțământul ar trebui, în general, să fie obținut de la o persoană pentru a-și folosi datele – de exemplu, atunci când se prelucrează categorii speciale de date cu caracter personal. GDPR prevede că consimțământul ar trebui să fie dat printr-un act afirmativ clar – tăcerea, căsuțele pre-bifate sau inactivitatea nu vor constitui de obicei consimțământ. Consimțământul ar trebui, de asemenea, informat.

Organizațiile vor trebui să furnizeze informații despre motivul pentru care colectează datele personale și pentru ce vor fi utilizate.

De asemenea, vi se va cere să păstrați o evidență a tuturor consimțământului obținut, inclusiv cine și-a dat consimțământul, când și ce declarații specifice sunt de acord. Persoanele din UE vor avea dreptul de a-și retrage consimțământul în orice moment.

Politici de confidențialitate – Examinați politica de confidențialitate actuală și determinați dacă sunt necesare actualizări.

Design de produs – Ar trebui să construiți confidențialitatea prin proiectare în proiecte și să luați în considerare modul în care puteți minimiza impactul asupra confidențialității produselor dvs. Încercați să utilizați pseudonimizarea, anonimizarea și criptarea acolo unde este cazul sau necesar. Informații mai detaliate despre confidențialitatea prin design pot fi găsite în articolul 25 din GDPR.

Proceduri de încălcare a datelor – Asigurați-vă că aveți proceduri în vigoare pentru a detecta, raporta și investiga orice încălcare a datelor. GDPR impune organizațiilor să raporteze o încălcare autorităților de protecție a datelor, în general, în termen de 72 de ore de la detectare, cu excepția cazului în care este puțin probabil ca încălcarea să aibă ca rezultat un risc pentru drepturile de confidențialitate ale persoanelor.

Responsabil cu protecția datelor – Stabiliți dacă ar trebui să numiți un responsabil cu protecția datelor (DPO). GDPR prevede că un DPO trebuie desemnat atunci când activitățile de bază ale organizației implică „monitorizarea regulată și sistematică a persoanelor vizate la scară largă” sau în cazul în care organizația efectuează o prelucrare pe scară largă a „categorii speciale de date cu caracter personal”. DPO este responsabil pentru supravegherea conformității cu cerințele GDPR și servește drept punct de contact între organizație și autoritățile de supraveghere.

Furnizori terți – Faceți o listă cu toate soluțiile terțe pe care le utilizați în prezent (inclusiv cookie-uri de urmărire a site-urilor web) care au acces la sau prelucrează datele personale ale persoanelor vizate. Ar trebui să vă revizuiți toate contractele cu furnizori terți. Includeți în contractele dvs. clauze de confidențialitate și confidențialitate a datelor care, acolo unde este necesar, sunt conforme cu GDPR. Întrebați furnizorii terți despre care ați stabilit că sunt în domeniul de aplicare dacă respectă regulamentul GDPR.

Conștientizare – Educați-vă angajații despre GDPR și impactul acestuia asupra colectării și gestionării datelor personale ale clienților.

Dar Privacy Shield?

GDPR are cerințe specifice cu privire la transferul de date cu caracter personal în afara UE.

De exemplu, transferul de date trebuie să aibă loc numai în țările care au fost stabilite că au legi adecvate privind protecția datelor sau în care ați instituit mecanisme adecvate de export de date.

UE nu consideră că SUA are legi adecvate privind protecția datelor – cu toate acestea, Scutul de confidențialitate este un program de auto-certificare voluntar la care organizațiile americane pot participa pentru a demonstra că au aplicate practici adecvate de protecție a datelor pentru a îndeplini această cerință a GDPR. .

SendGrid este certificat Privacy Shield și oferă, de asemenea, clauze contractuale standard clienților ca un mecanism alternativ de export de date.

Cum afectează acest e-mail?

GDPR va avea un impact asupra practicilor de marketing. Toți agenții de marketing prin e-mail interesați de GDPR trebuie să abordeze modul în care urmăresc, obțin și documentează consimțământul acolo unde este necesar. De asemenea, agenții de marketing vor dori să se asigure că pot actualiza, șterge, restricționa sau muta datele unei persoane, dacă li se solicită. Respectând GDPR și eliminând adresele de e-mail ale subiecților nedoriți din listele dvs., vă puteți îmbunătăți capacitatea de livrare!

Ce urmează?

Dacă credeți că organizația dvs. va fi afectată de GDPR, vă rugăm să contactați un avocat pentru a afla mai multe despre obligațiile dvs. particulare conform GDPR. Scopul acestei postări este de a evidenția unele dintre schimbările care pot apărea pentru organizații ca urmare a GDPR. Textul complet al GDPR este disponibil aici. De asemenea, puteți găsi mai multe informații legate de utilizarea cookie-urilor, Regulamentul privind confidențialitatea electronică și modul în care acesta se leagă de GDPR aici.