Termin zgodności z RODO: jak zachować zgodność w prostym języku angielskim

Opublikowany: 2018-05-15
Roshni Shaikh
Współtwórca gościnny

Pomyśl tylko o tym, co sprawiło, że firmy takie jak Google, LinkedIn, Twitter i tym podobne zmieniają swoje warunki i politykę prywatności jedna po drugiej. Musiałeś już zauważyć powiadomienia.

Tak, Facebook jest już w centrum uwagi, jeśli chodzi o rozbieżności w danych użytkowników. Ale spójrz, co dzieje się ze wszystkimi zasadami dotyczącymi plików cookie. Firmy szybko aktualizują swoje warunki.

Co powoduje to szaleństwo? Oczywiście dzieje się tak dzięki jednemu prawu, które zdołało poruszyć świat biznesu – RODO

Prawo Unii Europejskiej RODO obowiązuje od 25 maja 2018 r. Jest to w wiadomościach od momentu jego powstania i przyjęcia przez Parlament Europejski w kwietniu 2016 r.

Ustawa wpłynie na firmy, które zarządzają dużą ilością danych. Dotyczy to wszystkich danych obywateli UE, niezależnie od ich lokalizacji.

Co to jest RODO i dlaczego jest wdrażane?

Mówiąc prościej, jako osoba mieszkająca w UE, moje dane są chronione ze względu na RODO.

RODO oznacza ogólne rozporządzenie o ochronie danych. Zastępuje starą i przestarzałą dyrektywę o ochronie danych z 1995 roku. RODO jest dziś bardziej istotne, ponieważ przez ostatnie dwie dekady wiele się zmieniło.

Szybki postęp technologiczny i przetwarzanie/wykorzystywanie danych przez firmy doprowadziły do ​​uświadomienia sobie potrzeby wprowadzenia prawa takiego jak RODO.

To nowe rozporządzenie wchodzi w życie, aby przywrócić kontrolę danych osobowych obywatelom UE. Jest wprowadzany w życie w celu kontrolowania zdolności firmy do wykorzystywania danych osobowych publicznych. RODO zostało wprowadzone, aby zapewnić obywatelom ich prawa cyfrowe .

Ustawa ta nie wymaga od rządów krajowych uchwalania jakichkolwiek przepisów sankcjonujących. Oznacza to, że ma ona naturalnie zastosowanie do każdej osoby, organizacji lub firmy, która zajmuje się danymi obywateli UE.

To prawo dotyczy Twojej firmy, niezależnie od tego, czy Twoja firma działa na poziomie biznes-biznes lub biznes-konsument.

Jak RODO wpłynie na Twój biznes?

O skutkach fali RODO są zarówno dobre, jak i złe wieści. Zobaczmy dlaczego.

Niektórzy właściciele małych firm wpadają w panikę i narzekają na nagłe przeciążenie pracą. Russel Xiam, właściciel firmy zajmującej się wsparciem produktów, mówi, że jest tak wiele do zrobienia, aby przejść na platformy oprogramowania zgodne z RODO.

Planowanie na potrzeby RODO jest równoznaczne z ponownym rozważeniem Twoich wyborów biznesowych. Russel Xiam

Oznacza to, że najbardziej dotknięte są małe przedsiębiorstwa.

John Higham, właściciel firmy zarządzającej projektami Azybao, powiedział, że ludzie odmawiają prowadzenia interesów z europejskimi firmami, ponieważ boją się, że wpadną w tarapaty.

Isabelle Trijt, HR z Niemiec mówi:

Musiałem zmodyfikować/zmienić/zlikwidować nowe zasady dotyczące zatrudniania i wprowadzania pracowników, aby pozostać w kręgu zgodnym z RODO. Musiałem też wziąć na siebie odpowiedzialność za usunięcie wszystkich starych rekordów zawierających dane byłych rozmówców.

Aby dodać do tego, właściciel firmy w Brukseli przeniósł się do MailChimp z Convertkit, ponieważ Convertkit nie dawał opcji wyboru, która pozwala użytkownikowi „wybrać” dane. Oznacza to, że właściciele firm rezygnują z dostawców usług poczty elektronicznej, którzy nie dają większej kontroli użytkownikowi, chociaż Convertkit zaktualizował ich funkcjonowanie na dzień dzisiejszy.

Ma to sens, ponieważ jako firma nie powinnaś być narażona na niebezpieczeństwo z powodu zasad, których nie przestrzegał Twój dostawca usług poczty e-mail. W końcu osoba odpowiadająca na e-mail może mieć zasady, które nie ponoszą odpowiedzialności za jakiekolwiek straty wyrządzone Twojej firmie, prawda?

Chociaż rzadko zdarza się, aby taki scenariusz miał miejsce, nadal będziesz pociągany do odpowiedzialności za nieprzestrzeganie prawa, ponieważ jest to twójlista e-mailowa.

Z drugiej strony Sidney Burks, CTO i współzałożyciel Ivizone z Francji, mówi:

Nowe zasady nie wywarły dużego wpływu na naszą działalność. Mogło to w dużej mierze wynikać z faktu, że francuskie prawo już wcześniej nakładało dość rygorystyczne wymagania dotyczące ochrony danych i prywatności. RODO zmusiło nas do włączenia prywatności danych do rdzenia naszych produktów i myślenia o tym od podstaw, jednak gdy opracowujemy nową wersję naszego produktu, byliśmy w stanie to zrobić w czysty i wydajny sposób.

Sidney dodaje również, że RODO zmusiło firmy do uporządkowania swoich domów danych. Dodali teraz dodatkowe zasady usuwania przestarzałych i niepotrzebnych danych oraz wzmocnili swoje wewnętrzne zasady bezpieczeństwa dotyczące przechowywania i dostępu do danych. Oznacza to, że zapewniają swoim klientom wyższy poziom bezpieczeństwa danych.

Tak więc, jeśli Twoja firma lub organizacja zajmuje się i przetwarza dane użytkowników, powinieneś martwić się o bezpieczeństwo danych użytkowników. W takim przypadku jesteś zobowiązany do przestrzegania RODO. Jeśli Twoja firma nie przestrzega przepisów RODO, możesz spotkać się z surowymi karami.

Najwyższa kara za największe odchylenie będzie kosztować 4% Twojego globalnego obrotu lub 20 milionów euro, w zależności od tego, która z tych wartości jest wyższa (więcej o karach w dalszej części).

Ustawa RODO dotyczy ____?

Istnieje ogromne zamieszanie dotyczące tego, kogo prawo dotyczy. Niewiele jest źródeł, które mówią o obywatelach UE, są inne, które mówią o mieszkańcach UE.

Zamieszanie powstaje, gdy osoby posiadające prawa wynikające z RODO są określane jako „osoby, których dane dotyczą”. Ale kim są te osoby, których dane dotyczą?

Osoby, których dane dotyczą, kim one są?

Czy RODO ma zastosowanie do wszystkich danych obywateli UE?

A może dotyczy to tylko osób mieszkających w UE?

Podmiot danych to osoba fizyczna, której dane osobowe są przetwarzane przez administratora lub podmiot przetwarzający. Administratorem lub podmiotem przetwarzającym może być przedsiębiorstwo lub podmiot zatrudniony przez przedsiębiorstwo, który określa ścieżkę przetwarzania danych.

Termin „osoby, których dane dotyczą” nie ma konkretnej definicji. W rzeczywistości jest to konotacja. RODO wymaga, aby firmy chroniły prywatność i dane osobowe obywateli UE w ramach wszelkich transakcji, które mają miejsce w państwach członkowskich UE. Według Cyber ​​Counsel, każda osoba przebywająca w państwach członkowskich UE w danym punkcie staje się osobą, której dane dotyczą.

Jakie rodzaje danych podlegają kontroli?

RODO traktuje wszelkie dane osobowe dotyczące osoby fizycznej jako należące do tej osoby. Rodzaj danych może obejmować:

  • Informacje cyfrowe
  • Dane biometryczne
  • Dane genetyczne
  • Zaszyfrowane dane
  • Dane osobiste

Prawa osoby, której dane dotyczą:

1. Zgodnie z unijnym RODO możesz wybrać, czy chcesz być osobą, której dane dotyczą, czy nie. Oznacza to, że możesz odmówić przetwarzania swoich danych, a czyniąc to, będziesz korzystać z prawa do niebycia osobą, której dane dotyczą.
2. Jeśli zdecydujesz się być osobą, której dane dotyczą, masz prawo do otrzymania informacji o swoich danych. Przysługuje Ci prawo do żądania przetwarzania wszelkich informacji, które dotyczą Twoich danych osobowych.

3. Przysługuje Ci również pełne prawo i upoważnienie do zmiany Twoich danych osobowych lub wycofania ich w dowolnym momencie. Jest to główny powód, dla którego firmy powinny udostępniać opcje pól wyboru (omówione w powyższej sekcji), aby dać użytkownikowi większą swobodę i uprawnienia do uzyskania zgody.

4. Osoba, której dane dotyczą, może również sprzeciwić się przetwarzaniu części/lub wszystkich swoich danych, jeżeli uważa, że ​​przetwarzane dane są niedokładne lub nieprawidłowe.

5. Osoba, której dane dotyczą, może również sprzeciwić się lub sprzeciwić się przekazaniu swoich danych od jednego usługodawcy do drugiego. Oprócz tego, jako osoba, której dane dotyczą, możesz również zażądać usunięcia swoich danych z ewidencji. Prawo to nie może jednak zostać uzyskane przez osobę, której dane dotyczą, jeśli przetwarzane dane służą celom prawnym, celom zdrowia publicznego, celom badawczym itp.

Krótko mówiąc, dotyczy wszystkich mieszkańców UE, niezależnie od lokalizacji firmy, organizacji czy ich obywatelstwa. A naruszenie praw osób, których dane dotyczą, pociąga za sobą surowe kary.

Jakie czynniki decydują o karze?

1. Naruszenia w przeszłości – jeśli masz historię naruszeń, czy to z punktu widzenia RODO, czy poprzednio aktywnej dyrektywy o ochronie danych, będzie to czynnik, który określa wysokość kary.
2. Przyczyna – naruszenie może być celowe i korzystne. Albo byłby to wynik znikomego kroku. Tak czy inaczej, organ decyzyjny ustala wysokość kary w zależności od przyczyny.
3. Rodzaj informacji – Zależy od klasyfikacji wykorzystywanych informacji. Na przykład firma mogła wykorzystać dane genetyczne lub biometryczne osoby (osób) do celów biznesowych. Może to wiązać się z wyższą karą niż informacje takie jak dane dotyczące zatrudnienia. Ponownie, kara jest całkowicie w granicach uznania i granic prawa UE.
4. Rozwiązania i środki – Jeśli podjąłeś kroki w celu złagodzenia szkód wyrządzonych osobie lub grupie osób bezpośrednio dotkniętych przez Twoją firmę, stanie się to również decydującym czynnikiem.
5. Środki zapobiegawcze – UE miała 2-letni okres przejściowy przed wejściem w życie i pełnym egzekwowaniem przepisów w maju 2018 r. Jeśli Twoja firma podjęła działania w celu zachowania zgodności z przepisami RODO, a mimo to doszło do naruszenia, będzie to punkt do podkreślenia przed nałożeniem kary.
6. Intencja — jeśli uszkodzenie danych było celowe, może to być przyczyną nałożenia kary.
7. Współpraca i relacje – Jeżeli przedsiębiorca zobowiązał się do współpracy z organem nadzorczym w celu naprawienia szkody i ewentualnego odwrócenia naruszenia, działa to pozytywnie, co może obniżyć karę.
8. Raportowanie – Jeżeli naruszenie zostało proaktywnie zgłoszone przez sam organ naruszający lub zostało powiadomione przez źródło wtórne.

Zwracamy uwagę, że żaden z powyższych czynników nie gwarantuje określonej kary, ponieważ określenie wysokości grzywny całkowicie leży w gestii prawa unijnego.

Aby uzyskać więcej informacji, zapoznaj się z podstawowymi zasadami, które prowadzą do egzekwowania prawa RODO , tutaj .

Powołanie inspektora ochrony danych (IOD)

Dane przetwarzane w Twojej firmie mogą wymagać monitorowania. Jeśli potrzebujesz pomocy w zorganizowaniu swojej działalności zgodnie z RODO, organ UE zaleca zasięgnięcie porady eksperckiej.

Każde z państw członkowskich UE może wyznaczyć jeden lub więcej niezależnych organów publicznych do pomocy w monitorowaniu przestrzegania przepisów dotyczących danych.

Zgodnie z RODO Inspektorów Ochrony Danych należy powołać, jeśli Twoja firma działa na następujących poziomach:

1. Organizacje pełniące funkcję władz publicznych

2. Firmy zajmujące się agregacją i monitorowaniem danych na dużą skalę

3. Firmy zajmujące się przetwarzaniem kluczowych danych osobowych na dużą skalę

5 mitów na temat RODO

1. Firmy amerykańskie są poważnie dotknięte – Wszystkie firmy (nie tylko firmy amerykańskie) z klientami z UE powinny przestrzegać prawa.

2. Właściciele małych firm nie muszą się martwić o RODO — mała czy duża firma: jeśli przetwarza dane użytkowników, powinna być zgodna z RODO.

3. Zgoda użytkownika nie jest obowiązkowa, jeśli użytkownik zdecyduje się wprowadzić swoje dane osobowe podczas subskrypcji – Wyraźna zgoda użytkownika w postaci pola wyboru jest obowiązkowa od 25 maja 2018 r.

4. Jeśli nie prowadzisz działalności gospodarczej w UE, nie powinieneś się martwić – jeśli prowadzisz firmę zajmującą się danymi obywateli UE, niezależnie od ich lokalizacji, zastosowanie ma RODO.

5. Dane użytkownika to tylko dane dostarczone przez użytkowników – Wszelkie dane zebrane, wygenerowane, zmodyfikowane, przetworzone lub pozyskane w postaci plików cookies, zachowanie użytkownika to nadal dane użytkownika.

Wniosek

Jeśli prowadzisz firmę z witryną internetową, która gromadzi dane osobowe osób, których dane dotyczą, jesteś teraz zobowiązany do wdrożenia zgodnych z prawem sposobów pozyskiwania informacji o użytkownikach. Na przykład, jeśli masz wyskakujące okienko lub formularz subskrypcji na swojej stronie internetowej, jedynym sposobem uzyskania zgody użytkownika jest:

  • Wdrożenie metody double opt-in, która łączy tylko zainteresowanych członków za zgodą.
  • Umożliwienie użytkownikowi wyboru sposobu regulowania jego/jej danych.
  • Umożliwienie użytkownikowi rezygnacji z subskrypcji.
  • Zapewnienie, że wszystkie usługi stron trzecich, z których korzystasz, są zgodne z RODO.
  • Kontrolowanie procedur pozyskiwania danych.
  • Komunikowanie polityki prywatności w przejrzysty sposób.
  • Wyznaczenie inspektora ochrony danych lub edukowanie i szkolenie Twojej firmy, aby uniknąć naruszenia danych.
  • Zapewnienie regularnych audytów i dostępności danych.
  • Minimalizacja danych, które przechowujesz i przetwarzasz.

Zastrzeżenie: Powyższe informacje służą wyłącznie celom referencyjnym i informacyjnym. Nie stanowi porady prawnej. Proszę zasięgnąć porady prawnej w celu uzyskania dalszych porad.