Vrhunski GDPR vodič za trgovce i tvrtke

Opća uredba o zaštiti podataka prvi je put predložena 2012. godine, a uslijedile su četiri godine rasprava, rasprava i dopuna, s tim što je Uredba konačno usvojena od strane Europskog parlamenta 2016. Zemlje, tvrtke i organizacije dobile su dvije godine da se povinuju, s tim da se uredba primjenjuje od 25. svibnja 2018. Ono što se u početku činilo razumnom količinom vremena za pripremu brzo je prošlo, a u vrijeme pisanja ove stranice, provođenje GDPR-a je jedva 5 mjeseci.

Mnogo je toga već napisano i raspravljano u javnosti u vezi s GDPR-om, ali ipak, mnogi vlasnici poduzeća malo su sigurni u to što GDPR uključuje i utječu li na njih. Ovom članku nadam se dodati nešto jasnije, objašnjavajući što je Opća uredba o zaštiti podataka, na koje tvrtke utječe - i kako - uz odgovore na neka uobičajena pitanja koja se često postavljaju o GDPR-u i neke korake koje možete poduzeti za pomicanje svog poslovanja. prema usklađenosti.

Plain English: Sve što trebate znati o GDPR-u

Vidjeli smo kako tehnologija uništava i staru i novu industriju: Uber i Lyft uništavaju transport, Netflix remeti način na koji se proizvode i konzumiraju filmovi i TV emisije, a AI prijeti da će poremetiti svaku pojedinu industriju na načine za koje nikada prije nismo pomislili da su mogući , Ali tehnologija također krši zakone i propise koje primjenjuju zemlje, s tim da je GDPR zamišljen da zamijeni modernu direktivu koja sama sebi više nije bila dovoljna: Direktiva 95/46 / EC (direktiva o zaštiti podataka).

Opća uredba o zaštiti podataka očito je usredotočena na zaštitu podataka, ali ne regulira svu zaštitu podataka. Umjesto toga, fokusiran je na osobne podatke pojedinaca, posebno pojedinaca koji borave u bilo kojoj državi članici EU. Ažurira postojeće - i uvodi nove propise koji se odnose na prikupljanje i obradu osobnih podataka bilo kojeg pojedinca koji boravi u bilo kojoj državi članici EU. To se ne odnosi samo na tvrtke i organizacije s fizičkom prisutnošću u bilo kojoj državi članici EU. Poduzeća i organizacije širom svijeta moraju biti u skladu s GDPR-om ako prikupljaju i obrađuju osobne podatke osoba koje žive u EU-u.

Unesite datum u svoj kalendar!

Svrha propisa nije otežati prodaju tvrtki, stavljanje na tržište ili obavljanje bilo koje uobičajene poslovne funkcije. Umjesto toga, dizajniran je kako bi pojedincima omogućio veću kontrolu nad onim tko prikuplja i obrađuje njihove osobne podatke, za što se koriste i kako se čuvaju.

To se postiže tako što se prvo razlikuju osobni podaci i osjetljivi osobni podaci, s tim da su osobni podaci bilo koji podaci koji omogućuju identifikaciju pojedinca - bilo izravno, bilo neizravno. Uključuje podatke kao što su imena, identifikacijski brojevi, podaci o lokaciji i mrežni identifikatori. Osjetljivi osobni podaci također omogućuju prepoznavanje pojedinca, ali kroz prošireni opseg specifičnih čimbenika, uključujući elemente njegovog fizičkog izgleda, fiziologiju, genetiku, mentalno zdravlje, ekonomski, kulturni ili društveni identitet. Prikupljanje i obrada osjetljivih osobnih podataka nije dopušteno, osim u vrlo specifičnim okolnostima, s dodatnim zahtjevima u pogledu sigurnosti podataka.

Zatim GDPR rafinira princip pristanka, zahtijevajući:

  • Izričiti pristanak pojedinaca.
  • Eliminacija pokrića s dekarom, zadani pristanak i pristanak kao uvjet prodaje, usluge ili općih uvjeta.
  • Sposobnost pojedinaca da lako povuku pristanak.

U GDPR-u postoje odredbe za razdoblja kada suglasnost nije potrebna, ali sve se one odnose na vrlo specifične zakonite osnove za prikupljanje i obradu osobnih podataka.

GDPR zatim pojašnjava prava pojedinaca u pogledu njihovih osobnih podataka, razvrstavajući kako slijedi:

  • Pravo na informiranje, obično obuhvaćeno vašom obaviješću o privatnosti. Detaljne informacije o tome tko prikuplja i obrađuje osobne podatke, kao i način na koji će se oni koristiti, moraju biti slobodno dostupni i napisani jasnim i jasnim jezikom.
  • Pravo pristupa. Pojedinci mogu zatražiti potvrdu da se njihovi podaci obrađuju. Oni također mogu zatražiti kopiju svih njihovih podataka koje imate, zajedno sa svim dodatnim informacijama. Trebalo bi ga dobiti besplatno, i to u roku od mjesec dana od podnošenja zahtjeva.
  • Pravo na ispravku. Pojedinci vas mogu zatražiti da ispravite nepotpune ili netočne podatke koje imate, a vi ćete tada biti odgovorni za prosljeđivanje ispravljenih podataka bilo kojoj trećoj strani s kojom ste podatke podijelili.
  • Pravo na brisanje. Ovo nije apsolutno pravo na zaborav, već je odredba da pojedinci zahtijevaju brisanje svojih podataka ako više nema legitimnog razloga da nastavite s obradom ili ako oni povuku svoj pristanak.
  • Pravo na ograničavanje obrade. Pod određenim okolnostima, pojedinci mogu zatražiti daljnju obradu njihovih podataka. To se razlikuje od prava na brisanje po tome što vam je još uvijek dopušteno pohranjivanje nekih osobnih podataka, samo ih ne obrađivati ​​dalje.
  • Pravo na prenosivost podataka omogućava pojedincima da od njih dobiju svoje podatke i ponovo ih koriste za svoje potrebe putem drugih usluga. Međutim, ovo se primjenjuje samo u okolnostima kad je pojedinac davao kontroloru svoje osobne podatke, obično tijekom izvršavanja zahtjeva za ugovor.
  • Pravo na prigovor. Ako nemate valjane legitimne razloge za obradu podataka pojedinca, oni zadržavaju pravo prigovora na obradu iz više razloga.
  • Prava u vezi s automatiziranim odlučivanjem i profiliranjem. GDPR zahtijeva da se uspostave zaštitne mjere za svako automatizirano procesuiranje i odlučivanje kako bi se smanjio rizik od donošenja štetnih ili štetnih odluka bez mogućnosti ljudske intervencije ili mogućnosti traženja objašnjenja.

GDPR ulazi u velike detalje u pogledu odgovornosti i upravljanja unutar poduzeća i organizacija. Ovdje se rješavaju pitanja poput:

  • Provedba mjera koje osiguravaju i pokazuju sukladnost. To može uključivati ​​interne politike zaštite podataka kao što su obuka osoblja, interne revizije aktivnosti obrade i pregledi unutarnjih ljudskih politika.
  • Održavanje relevantne dokumentacije o svim aktivnostima obrade.
  • Utvrđivanje je li vaša organizacija procesor podataka, kontroler podataka ili oboje. Morate shvatiti svrhu i zahtjeve ovih različitih uloga u pogledu GDPR-a i, ako je prikladno, možda ćete trebati imenovati službenika za zaštitu podataka.
  • Provedba mjera koje prema dizajnu udovoljavaju načelima zaštite podataka i zadane zaštite podataka. To može uključivati:
  • minimalizacija podataka
  • pseudonimizacija ili anonimizacija podataka
  • mogućnost da pojedinci nadziru obradu svojih podataka
  • kontinuirano poboljšavanje sigurnosnih značajki

Konačno, GDPR uvodi nove zahtjeve za način na koji se osobni podaci obrađuju kako bi se osigurala sigurnost, zajedno s zahtjevima na koji tvrtke i organizacije trebaju reagirati na kršenje podataka.

Važno je zapamtiti da GDPR ne utječe na sva poduzeća i organizacije, samo na one koji prikupljaju i / ili obrađuju osobne podatke, bilo od svojih klijenata ili u ime neke druge organizacije. Ako ne prikupljate i ne obrađujete nikakve osobne podatke pojedinaca, nemate što brinuti. A ako to učinite, glavna stvar koja bi vas trebalo zabrinuti je osiguranje da vi u potpunosti ispunjavate zahtjeve GDPR-a. GDPR ni na koji način ne bi trebao spriječiti da vaše poslovanje nastavi s radom, mada vas može natjerati da promijenite neke svoje procese, što otežava izvršavanje nekih zadataka, ali nikada ne onemogućava poslovanje.

Velike novčane kazne predviđene GDPR-om ne moraju naštetiti poduzećima, već služiti kao odvraćanje od relevantnih poduzeća i organizacija od zanemarivanja propisa i ugrožavanja osobnih podataka pojedinaca.

No, kao i s bilo kojim novim propisom, morat ćemo pričekati dok se ne provede i uspostavi nova sudska praksa, kako bismo utvrdili bilo kakav stvarni materijalni utjecaj na organizacije i pojedince te hoće li se to vremenom promijeniti ili ne.

Velika pitanja o Općoj uredbi o zaštiti podataka

Hoće li GDPR utjecati na mene?

Kratki je odgovor da. Kao pojedinac, GDPR propisuje kada i kako organizacije i tvrtke mogu obraditi ili kontrolirati sve podatke koji se mogu osobno identificirati. A ako ste dio organizacije ili tvrtke koja obrađuje ili kontrolira osobne podatke bilo kojeg pojedinca iz EU-a, GDPR propisuje kada to možete učiniti i kako to trebate učiniti. To znači da se GDPR ne odnosi samo na tvrtke i organizacije s fizičkom prisutnošću u bilo kojoj državi članici EU, već i na one koje nude robu ili usluge građanima bilo koje države članice EU, čak i ako nemaju fizičku prisutnost u EU ,

Hoće li se GDPR primjenjivati ​​nakon Brexita?

GDPR će se i dalje primjenjivati ​​nakon Brexita, jer je GDPR dizajniran za regulaciju načina na koji bilo koji posao ili organizacija obrađuje i kontrolira osobne podatke bilo kojeg građanina EU-a, bez obzira na to gdje se nalazi sjedište tvrtke ili organizacije. Uz to, Zakon o zaštiti podataka iz Velike Britanije uveden je u Dom lordova 13. rujna 2017. Predlog zakona o zaštiti podataka zamjenjuje Zakon o zaštiti podataka i on osigurava ne samo primjenu GDPR standarda kada je u pitanju obrada i kontrola podataka, već i uređuje UK specifični zahtjevi. To uključuje dogovorene izmjene u područjima kao što su akademska istraživanja, financijske usluge i zaštita djece.

Hoće li GDPR zamijeniti DPA?

Da i ne. Kratkoročno, Opća uredba o zaštiti podataka (GDPR) zamjenjuje Zakon o zaštiti podataka iz 1998. godine (DPA). No, Britanija se također priprema za Brexit, i dok GDPR regulira zaštitu podataka bilo kojeg građanina EU-a, nakon Brexita postojat će potreba za reguliranjem zaštite podataka građana Velike Britanije. Zakon o zaštiti podataka u Velikoj Britaniji uveden je 2017. godine, a stupa na snagu u svibnju 2018. Nacrt primjenjuje iste standarde kao GDPR, dok pojašnjava kontekst nekih GDPR definicija u kontekstu Velike Britanije.

Zakon o zaštiti podataka iz 1998. (c 29) je Parlamentarni zakon Ujedinjenog Kraljevstva namijenjen zaštiti osobnih podataka pohranjenih na računalima ili u organiziranom sustavu arhiviranja papira.

Hoće li GDPR utjecati na hladno zvanje?

Opća uredba o zaštiti podataka (GDPR) definitivno će utjecati na sve oblike hladnih poziva, uključujući marketing putem hladne pošte. GDPR postavlja visoki standard za pristanak, stavljajući naglasak na ostavljanje pojedinca (potencijalnog kupca) u kontroli i izgradnju povjerenja i angažmana.

Ispravna suglasnost prema GDPR-u znači sljedeće:

  • Pristanak mora biti izričit i putem pozitivnog odobrenja. To znači da prema zadanim postavkama više ne možete koristiti pristanak, pristanak kao uvjet prodaje ili usluge ili čak unaprijed označene okvire pristanka na obrascima.
  • Pristanak ne može biti nejasan. Pojedinac mora dati određenu izjavu pristanka, pritom znajući na što pristaje i kome daje pristanak. Ako će se i neki treći kontrolori pouzdati u pristanak pojedinca, moraju biti imenovani.
  • Pristanak treba biti odvojen od bilo kojih drugih uvjeta.
  • Dokazi o pristanku moraju se evidentirati i čuvati. To uključuje zapise o tome tko je, kada, kako i što.
  • Pojedinci moraju biti lako povući pristanak, a moraju biti obaviješteni kako mogu povući pristanak.
     Trebali biste redovito pregledavati svoje zapise o pristanku i osigurati da se ništa nije promijenilo u pogledu odnosa, obrade podataka ili svrhe pristanka. Osvježite po potrebi.

Hoće li se GDPR odgoditi?

Bilo kakvo kašnjenje u provođenju GDPR-a vrlo je malo vjerovatno. GDPR je odobrio Parlament EU 2016. godine, pri čemu su države članice imale dvije godine da se pripreme za provedbu.

Hoće li se dogoditi GDPR?

GDPR je odobrio Parlament EU 2016. godine, a provedba je stupila na snagu 25. svibnja 2018. Svako kašnjenje u provedbi GDPR-a vrlo je malo vjerovatno, jer izgledi za Brexit također ne nude povrat.

Hoće li GDPR utjecati na B2B?

GDPR se posebno odnosi na pojedince, pa će u kontekstu B2B odnosa - postojećih i novih - utjecaj GDPR-a ovisiti o kontaktnim podacima koje koristite za komunikaciju sa svojim B2B klijentima. Kad god vaši podaci za kontakt uključuju osobne podatke, trebali biste slijediti propise koji se odnose na izričito - i zabilježeno - suglasnost za prijavu. To bi se odnosilo i na propise o zaštiti podataka.

Ako, međutim, vaši zapisi sadrže samo generičke podatke za kontakt (kontaktni broj ili adresu e-pošte bez priloženih imena), ne morate nužno bilježiti izričitu suglasnost, već morate olakšati tvrtku ili organizaciju da se odjave, i voditi evidenciju o tome.

Kada će GDPR stupiti na snagu?

GDPR je odobrio Parlament EU 2016. godine, a provedba je stupila na snagu 25. svibnja 2018. Sve organizacije za koje se utvrdi da nisu sukladne nakon ovog datuma mogu se suočiti s velikim kaznama.

Što GDPR znači za marketing?

GDPR nije zastoj smrti za marketing, to je jednostavno način reguliranja određenih aspekata marketinga. To ne uništava izravni marketing, on samo predaje kontrolu izravnog marketinga pojedincima. To znači da trgovci sada moraju osigurati da imaju izričit pristanak pojedinaca da ih izravno prodaju (bilo telefonskim pozivima, kampanjama e-pošte ili čak izravnim slanjem pošte). To znači da trgovci sada moraju obavijestiti pojedince:

  • Tko će im biti marketinški (naziv tvrtke ili organizacije). Ako će bilo koji kontroler treće strane također koristiti osobne podatke pojedinca, također moraju biti imenovani.
  • Kako će se njihovi osobni podaci koristiti i za što će se koristiti.
  • U svakom se trenutku mogu odjaviti, a ujedno objašnjavaju postupak za isključivanje.

Trgovci također trebaju razumjeti da deklaracija više nije dopuštena. Prema GDPR-u, pojedinci daju pristanak za određenu kampanju ili svrhu, a ako se ta kampanja ili svrha promijene, oni trebaju ponovno dati pristanak. Ako vaš kupac daje suglasnost za primanje marketinških komunikacija koje se odnose na vaš asortiman vrtnog namještaja, ne možete se odjednom prebaciti na marketing svog novog proizvoda kupaonskih proizvoda na njih.

Što GDPR znači za tvrtke?

Tvrtke i organizacije koje prikupljaju i obrađuju osobne podatke pojedinaca koji borave u EU-u, bez obzira na fizičku lokaciju tvrtke, moraju biti svjesni sljedećeg:

  • GDPR jasno definira različite uloge kontrolera i procesora. Obrađivači podataka provode stvarnu obradu osobnih podataka, dok kontrolori podataka određuju zašto i kako se osobni podaci obrađuju. Kontrolori podataka odgovorni su i za osiguravanje pridržavanja obrađivača podataka svim zahtjevima GDPR-a.
  • Neke tvrtke i organizacije moraju također imenovati službenika za zaštitu podataka (DPO). Radna skupina za članak 29. objavila je odvojene smjernice o osobama sa invaliditetom, zajedno s nekoliko korisnih FAQ-a.
  • Od tvrtki i organizacija potrebno je dobiti - i zabilježiti - izričit pristanak pojedinca za osobne podatke koji se pohranjuju i koriste. Oni također moraju objasniti pojedincu kako će se osobni podaci koristiti.
  • Povrede podataka koje bi mogle rezultirati rizikom za prava i slobode pojedinaca moraju se prijaviti nadležnom nadzornom tijelu u roku od 72 sata. Kada kršenje podataka vjerojatno rezultira velikim rizikom za prava i slobode pojedinaca, one koji su pogođeni trebaju se izravno prijaviti.
  • Pojedinci imaju pravo zatražiti kopiju svojih osobnih podataka i dodatnih podataka, koje obrađuje bilo koja tvrtka ili organizacija. To omogućava pojedincima da budu svjesni i da provjere zakonitost postupka.
  • GDPR pruža pojedincima pravo na brisanje, koje se ponekad naziva i pravom na zaborav. Omogućuje pojedincima da zahtijevaju brisanje ili uklanjanje njihovih osobnih podataka tamo gdje nema valjanog ili uvjerljivog razloga da se oni i dalje obrađuju. Pravo nije apsolutno i tvrtke i organizacije mogu pod određenim okolnostima odbiti brisanje podataka.
  • Prenos podataka omogućuje pojedincima pravo na dobivanje i ponovnu upotrebu svojih osobnih podataka u različitim uslugama. To pojedincima omogućuje premještanje, kopiranje ili prijenos vlastitih osobnih podataka iz jednog okruženja u drugo iz više razloga.
  • Iako je privatnost prema dizajnu uvijek bila implicitni zahtjev zaštite podataka, tvrtke i organizacije su sada obvezne provoditi mjere integriranja zaštite podataka s aktivnostima obrade podataka.

Što GDPR znači za HR?

Članci 6. (1) © i (e) GDPR-a omogućuju državama članicama da uvedu konkretnije odredbe u pogledu zakonitih osnova za obradu osobnih podataka. Mora biti ispunjen barem jedan od šest uvjeta, a dva su sljedeća:

  • „© obrada je potrebna radi poštivanja zakonske obveze“;
  • „(E) obrada je potrebna za izvršavanje zadatka izvršenog u javnom interesu ili u vršenju službene ovlasti date kontroloru.“

Ovo ukazuje da obrada osobnih podataka zaposlenika za određene zakonite HR operacije ne zahtijeva izričit pristanak. Međutim, i dalje bi se primjenjivali svi drugi aspekti GDPR-a u pogledu osobnih podataka, uključujući:

  • Kako i za što se podaci koriste.
  • Privatnost prema dizajnu.
  • Prijenos podataka i pravo na brisanje.
  • Upotreba osobnih podataka od trećih strana.

Na koga se primjenjuje GDPR?

GDPR se primjenjuje na sve tvrtke i organizacije koje prikupljaju i obrađuju osobne podatke pojedinaca s prebivalištem u EU-u, bez obzira na fizički položaj tvrtke. To znači da se propisi mogu provesti u bilo kojem poslu, pa i onom bez fizičke prisutnosti u bilo kojoj državi članici EU.

Jesu li GDPR novčane kazne nezasigurne?

Na to pitanje još nema definitivnog odgovora, ali postojeće mišljenje posrednika je da novčane kazne u vezi s GDPR-om vjerojatno nisu osigurane. A s novčanim kaznama od čak 4 posto godišnjeg globalnog prometa tvrtke, svako nepoštivanje GDPR-a može biti skupo za svaku organizaciju. Pravilna smjernica bit će moguća tek nakon stupanja na snagu novog zakona i uspostave nove sudske prakse. Međutim, specijalističke police cyber osiguranja mogu pokriti troškove povezane s kršenjem podataka, kao što su zahtjevi za naknadu štete, pravni troškovi, obavijesti i upravljanje reputacijom itd.

Kako će GDPR utjecati na američke kompanije?

GDPR se primjenjuje na sve tvrtke i organizacije koje prikupljaju i obrađuju osobne podatke pojedinaca s prebivalištem u EU-u, bez obzira na fizički položaj tvrtke. Kao takve, od američkih kompanija - i od kompanija u drugim zemljama svijeta - i dalje se očekuje da se pridržavaju novih propisa, ako se bilo koji od osobnih podataka koje prikupljaju i obrađuju odnosi na rezidente države članice EU. To ostaje istina i ako tvrtka nema nikakvu fizičku prisutnost u bilo kojoj državi članici EU. Iako GDPR vjerojatno neće utjecati na malu cvjećaru u Rock Springsu, Wyomingu, bilo koji posao sakupljanja i obrade osobnih podataka stanovnika SAD-a sa sjedištem u SAD-u ili druge vrste morat će uspostaviti mjere kako bi ispoštovao GDPR. To između ostalog uključuje:

  • Izričit, zabilježeni pristanak za prikupljanje i obradu osobnih podataka pojedinca.
  • Jasno objašnjenje kako i za koje će podatke podaci biti korišteni.
  • Privatnost prema dizajnu, zajedno s poštivanjem kršenja podataka.
  • Podrška za prenosivost podataka i pravo na brisanje.
  • Udovoljavanje zahtjevima GDPR-a za upotrebu osobnih podataka od strane trećih strana.

Mnoga se poduzeća navikavaju koristiti odredišne ​​stranice i obrasce za pretplatu na biltene za izgradnju baze podataka o klijentima. U skladu s GDPR-om, to više neće biti prihvatljivo kada je riječ o osobnim podacima stanovnika EU-a, jer deklaracija više nije dopuštena. GDPR prepoznaje samo izričit pristanak koji se daje u određenu svrhu, koji mora biti naveden kada pojedinac da pristanak. Ako se rezident EU-a prijavi za vaš tjedni newsletter, dat će izričit pristanak za primanje upravo toga: tjednog biltena putem e-pošte. Kasnije ne možete prelaziti na slanje dnevnih ponuda putem e-pošte, jer nisu pristali na to. Kad god se promijeni svrha prikupljanja i obrade osobnih podataka, mora se dati nova suglasnost.

Kako GDPR mijenja pravila za istraživanje?

GDPR predviđa organizacije koje prikupljaju i obrađuju osobne podatke u istraživačke svrhe, iako ćemo morati pričekati dok se GDPR ne provede da bi se vidjelo jesu li ti dovoljni ili su ih previše lagano interpretirali. GDPR omogućuje prikupljanje i obradu osobnih podataka bez pristanka, ali samo za određene zakonite svrhe. Što se tiče istraživanja, članci 9. GDPR-a posebno spominju zdravstvo, socijalnu skrb, znanstvena istraživanja i povijesna istraživanja. Ono što bi se još primjenjivalo u svim slučajevima jesu zahtjevi u pogledu zaštite podataka, privatnosti i kršenja podataka, koja su manje stroga kada su podaci anonimizirani do te mjere da ih subjekti više ne mogu prepoznati.

Kako GDPR utječe na znanost podataka?

Ključna područja unutar znanosti o podacima na koja će utjecati GDPR uključuju:

  • Sposobnost prikupljanja podataka. Ovdje su važna razmatranja pristanka i informiranja o tome zašto se podaci prikupljaju i kako će se obraditi. Odredbe zakonitih osnova za obradu podataka imaju posebne zahtjeve koji se neće primjenjivati ​​u svim okolnostima ili na sve organizacije.
  • Sposobnost korištenja podataka. U slučaju davanja suglasnosti, važno je imati na umu da se pristanak odnosi na podatke koji se obrađuju kao što su izvorno priopćeni pojedincima. Ako se svrha prikupljanja i obrade promijeni, mora se dati nova suglasnost. Istodobno, pojedinci imaju pravo na blokiranje obrade, prigovor na obradu i pravo na brisanje, što može utjecati ili ograničiti rezultate obrade znanstvenih podataka.
  • Sposobnost prijenosa podataka na treću i treću stranu. GDPR ograničava način i na koji način se podaci prenose u zemlje izvan EU-a i međunarodne organizacije. To će utjecati na sposobnost znanstvenika da izvori i razmjenu podataka.
  • Automatizirano profiliranje i odlučivanje kupaca imaju ugrađene zaštitne mjere za pojedince koje im omogućuju da, u određenim okolnostima, zatraže ljudsku intervenciju i objašnjenje odluke.
  • Zahtjevi za pohranu podataka. Zaštita podataka i privatnost dizajnom su osnovna načela GDPR-a, i iako su oni manje strogi ako su podaci toliko anonimni da je nemoguće identificirati pojedince, organizacija još uvijek preuzima sigurnost kako bi osigurala da njihove mjere anonimizacije budu ispravne.

Kako će GDPR utjecati na škole?

Škole i školski administratori moraju biti svjesni sljedećeg:

  • Za obradu osobnih podataka za djecu mlađu od 16 godina potreban je pristanak roditelja. Zahtjev za zaštitu podataka u Velikoj Britaniji smanjuje se na 13 godina.
  • GDPR prepoznaje materijalne razlike između osobnih podataka i osjetljivih osobnih podataka, navodeći da:
  • Obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvenog identificiranja fizičke osobe, podataka koji se odnose na zdravlje ili podataka koji se odnose na prirodno spolni život ili seksualna orijentacija osobe su zabranjeni.
  • Uz odredbe za posebne okolnosti u kojima bi to još bilo dopušteno. Za dodatne pojedinosti, škole bi trebale potražiti članke 9.
  • Podaci koji dopuštaju identifikaciju moraju se čuvati dulje nego što je potrebno za potrebe za koje su podaci izvorno prikupljeni i obrađeni. Izuzeci se primjenjuju samo u smislu arhivske i statističke svrhe.
  • Marketing je dopušten samo ako je dan i izričit pristanak i to samo u odnosu na ono za što je prvobitno pristao. Postupak isključivanja mora biti jednostavan i jasno objašnjen.
  • Sva prava pojedinaca navedena u GDPR-u i dalje se primjenjuju.

Kako će GDPR poremetiti Google i Facebook?

I Google i Facebook se oslanjaju na opsežno prikupljanje i obradu osobnih podataka svojih korisnika. Neki od tih podataka volontiraju se prilikom prijave za Google ili Facebook usluge, ali neki se prikupljaju i putem praćenja, kako putem platformi, tako i putem povezanih usluga. To se zatim koristi ne samo za poboljšanje korisničkog iskustva, već i za stvaranje detaljnih profila za personalizaciju i reklamne svrhe. A pod GDPR-om je to problematično. Za jednu, osim u slučaju odabira zakonitih svrha, svako prikupljanje i obrada podataka može se dogoditi samo nakon davanja izričite suglasnosti. A puni pristanak nije dopušten, kad god pojedinac da pristanak, to je iz određene svrhe ili razloga.

To znači da će i Google i Facebook - i sve slične usluge - trebati korisnicima predstaviti više dijaloga o prijavi, a svaki će biti povezan s određenom svrhom koja je jasno priopćena. Pristupanje ne može se unaprijed odabrati, a ne može biti i uvjetovano nastavkom korištenja usluge. Istovremeno, pojedinci moraju biti u mogućnosti isključiti se (opozvati suglasnost) u bilo kojem trenutku.

Iako je malo sumnje da će bilo koja velika organizacija poput Googlea i Facebooka uspjeti udovoljiti što manjem utjecaju na pojedince, to ne znači da neće imati utjecaja na poslovni model. Obje platforme koriste ogromne količine osobnih podataka koje prikupljaju za izradu detaljnih profila, omogućujući oglašivačima da precizno ciljaju određene demografske podatke itd., A s pojedincima koji se sada mogu odjaviti od toga, mogla bi utjecati na robusnost Googleovih i Facebook profila publike ,

Ostali aspekti GDPR-a koji će imati utjecaja na Google i Facebook uključuju prenošenje podataka, razmjenu podataka s trećim stranama, pravo na brisanje i pravo pristupa. Google već predviđa pravo na brisanje i pravo pristupa, ali možda ih je potrebno prilagoditi specifičnim zahtjevima GDPR-a.

Naravno, pravi utjecaj GDPR-a na tvrtke poput Googlea i Facebooka vidjet će se tek nakon što se provode propisi za nekoliko mjeseci.

Kako će GDPR utjecati na zapošljavanje?

Kao što je slučaj s marketingom, GDPR ne zvuči poput broja službenika za zapošljavanje, pogotovo ako su one već u skladu sa Zakonom o zaštiti podataka koji će uskoro biti zamijenjen. GDPR je sastavljen na takav način da se mnogi propisi primjenjuju gotovo ujednačeno na brojne industrije, s malo prostora za odstupanje. Ono što bi regrut trebali posebno imati na umu, iznad i iznad svih ostalih prava pojedinaca, uključuju:

  • Novo suglasnost moraju dati pojedinci za svaku zasebnu obradu koja uključuje njihove osobne podatke. Prekrivač ili nejasan pristanak nisu prihvatljivi.
  • Kad god detalji bilo kojeg kandidata odgovaraju zahtjevima za poziciju za koju se nisu posebno prijavili, prvo ih se mora kontaktirati s pojedinostima o položaju i dati pristanak za unošenje njihovih podataka.
  • Moraju postojati zaštitne mjere za sve automatizirane procese donošenja odluka, s tim da su zaštitne mjere namijenjene zaštiti kandidata od rizika od štetnih odluka.

Kako će GDPR utjecati na dobrotvorne organizacije?

GDPR postavlja visoki standard za pristanak, stavljajući naglasak na stavljanje pojedinca (potencijalnog kupca / donatora) u kontrolu i izgradnju povjerenja i angažmana.

Ispravna suglasnost prema GDPR-u znači sljedeće:

  • Pristanak mora biti izričit i putem pozitivnog odobrenja. To znači da prema zadanim postavkama više ne možete koristiti pristanak, pristanak kao uvjet prodaje ili usluge ili čak unaprijed označene okvire pristanka na obrascima.
  • Pristanak ne može biti nejasan. Pojedinac mora dati određenu izjavu pristanka, pritom znajući na što pristaje i kome daje pristanak. Ako će se i neki treći kontrolori pouzdati u pristanak pojedinca, moraju biti imenovani.
  • Pristanak treba biti odvojen od bilo kojih drugih uvjeta.
  • Dokazi o pristanku moraju se evidentirati i čuvati. To uključuje zapise o tome tko je, kada, kako i što.
  • Pojedinci moraju biti lako povući pristanak, a moraju biti obaviješteni kako mogu povući pristanak.
  • Trebali biste redovito pregledavati svoje zapise o pristanku i osigurati da se ništa nije promijenilo u pogledu odnosa, obrade podataka ili svrhe pristanka. Osvježite po potrebi.

Dobrotvorne organizacije i druge organizacije koje su se prethodno oslanjale na podrazumijevani pristanak ili pristanak prema zadanim postavkama (prethodno označena polja itd.) Morat će ažurirati svoje baze podataka davatelja / kupaca tražeći izričit, zabilježeni pristanak za daljnju obradu osobnih podataka pojedinaca koji borave u bilo kojoj državi članici EU. Mnoge se dobrotvorne organizacije oslanjaju i na volontere, pa će trebati osigurati da svi volonteri također budu upoznati sa svim relevantnim dijelovima GDPR-a koji utječu na njihovo poslovanje.

Zašto je GDPR loš?

Iako poštivanje GDPR-a sa sobom donosi i pripreme koje su - doduše - oporezivanje bilo kojeg poduzeća ili organizacije, uz rizik od osakaćenja novčanih kazni, propisi nisu sami po sebi loši. Davanjem pojedincima veće kontrole i zaštite svojih osobnih podataka, GDPR sa sobom donosi mogućnosti za organizacije u izgradnji većeg povjerenja u svoje kupce. GDPR se može promatrati i kao pojašnjenje, pojednostavljivanje i pojednostavljenje propisa koji su ranije postojali, a trenutne usklađene organizacije ostavljaju samo da moraju izvršiti neka prilagođavanja kako bi ostala u skladu s novim propisima. Nažalost, morat ćemo pričekati dok se provode propisi i uspostavi nova sudska praksa kako bi se utvrdio stvarni materijalni utjecaj na organizacije i pojedince te hoće li se to vremenom promijeniti ili ne.

Zašto je GDPR dobar za poslovanje?

GDPR sa sobom donosi mogućnosti organizacija da grade veće povjerenje kod svojih kupaca, a to je uvijek pozitivno. Za mnoge organizacije sa sobom donosi i priliku za čišćenje svojih marketinških i prodajnih baza podataka, ne samo ažuriranjem osobnih podataka, već i osiguravanjem da su sada popunjene pojedincima koji su još uvijek aktivni i još uvijek zainteresirani za vaše proizvode ili usluge. Sa sobom donosi i mogućnost organizacija da pogledaju kako prikupljaju i obrađuju podatke svježim očima, identificirajući nove načine za marketing i rast prodaje koji nikad prije nisu postojali ili su jednostavno zanemareni. No, kao i s bilo kojim novim propisom, morat ćemo pričekati dok se ne provede i uspostavi nova sudska praksa, kako bismo utvrdili bilo kakav stvarni materijalni utjecaj na organizacije i pojedince te hoće li se to vremenom promijeniti ili ne.

Kako umanjiti utjecaj GDPR-a na vaše poslovanje

Postoji afrička poslovica koja je osobito prikladna za GDPR i vaše poslovanje:

Najbolji način da pojedete slona koji vam stoji na putu je da ga narežete na male komadiće.

A najbolji način da minimalizirate utjecaj Opće uredbe o zaštiti podataka na vaše poslovanje jest razbijanje zahtjeva za usklađenost na manje zadatke.

Ured povjerenika za informacije (ICO) u Velikoj Britaniji sastavio je opsežni vodič za GDPR, koji uključuje mrežni popis za kontrolere i obradu podataka. ICO također nudi do 12 koraka koje tvrtke i organizacije mogu poduzeti sada, kako bi se pripremile za GDPR.

Postajem svjestan

Prvi je korak prilično očit i uključuje osiguranje da su svi relevantni zaposlenici i ugovaratelji svjesni GDPR-a i onoga što se traži od njih i organizacije kako bi bili u skladu.

Postajem odgovoran

Odgovornost započinje potpunom revizijom podataka, a ovisno o veličini vaše organizacije i količini osobnih podataka koju posjedujete, revizija podataka bit će jedan od najvećih zadataka koje trebate obaviti prije primjene GDPR-a. To je ujedno i jedan od najvažnijih zadataka.

Revizija podataka trebala bi vas vidjeti kako sastavljate cjelovit popis svih osobnih podataka koje imate i odgovoriti na sljedeća pitanja u vezi sa svakim zapisom:

  • Kako ste prikupili osobne podatke? Je li vam ga dao pojedinac, i ako jeste, kako? Ili je sakupljen drugim sredstvima?
  • Zašto ste izvorno prikupljali osobne podatke? Koja je bila prvotna svrha? Je li to bilo putem prijave za bilten, zahtjeva za više informacija o određenom proizvodu / usluzi, putem pojedinca koji stvara internetski račun (bilo da kupuje putem interneta, ili u neke druge svrhe)?
  • Zašto podatke još obrađujete i koliko dugo ćete ih dalje obrađivati? Ako više nema opravdanog razloga za obradu, ne biste trebali zadržavati podatke.
  • Jesu li podaci sigurni? Ovo se odnosi i na enkripciju i na to da je ona dostupna samo osobama koje razumiju GDPR zahtjeve za obradom podataka.
  • Jesu li se podaci ikad dijelili s bilo kojom trećom stranom. Ako je odgovor da, imate li evidentirane dokaze da su u skladu s GDPR-om i zna li pojedinac da su se njihovi podaci dijelili, s kime i u koje svrhe?

GDPR ne zahtijeva samo od organizacija da pokažu načine na koje ispunjavaju zahtjeve za obradu podataka, a u mnogim slučajevima zahtijeva dokumentaciju kako bi to podržao. Opet, web stranica ICO-a ima kratku popisu pomoći organizacijama u prepoznavanju nedostataka u načinu na koji oni traže, bilježe i upravljaju pristankom.

Komunikacija s kupcima, osobljem i korisnicima usluga

U skladu s GDPR-om ovisit će i vaša organizacija o ažuriranju svih obavijesti o privatnosti ili dodavanju obavijesti o privatnosti ako već nisu uspostavljene. Kada razmatrate ili ažurirate obavijesti o privatnosti, važno je napraviti ispravnu procjenu načina na koji prikupljate podatke, priznajući da - pored tradicionalnih oblika prikupljanja podataka - to bi sada moglo biti i bilo koje, ili kombinacija, sljedećeg:

  • promatrano, praćenjem ljudi putem interneta ili pametnih uređaja;
  • proizlazi iz kombiniranja drugih skupova podataka; ili
  • zaključuje se korištenjem algoritama za analizu različitih podataka, kao što su društveni mediji, podaci o lokaciji i zapisi o kupnjama kako bi se npr. profilirali ljudi s obzirom na njihov kreditni rizik, zdravstveno stanje ili podobnost za posao.

Obavijesti o privatnosti moraju biti sažete, napisane jednostavnim jezikom i lako dostupne. GDPR također očekuje da organizacije uključe određene informacije u obavijesti o privatnosti, s malim odstupanjima ovisno o tome da li se podaci prikupljaju izravno od pojedinaca ili ne. Slika ispod rezimira ovo.

Osobna prava na privatnost

Preispitajte sve svoje postupke koji se odnose na prikupljanje i obradu osobnih podataka kako bi se osiguralo da predviđaju sva pojedinačna prava utvrđena GDPR-om. Razmotrite sljedeće:

  • Tko u vašoj organizaciji donosi odluke koje se odnose na zahtjeve za brisanjem? Pravo na brisanje nije apsolutno i pod vrlo specifičnim okolnostima organizacije mogu odbiti ispunjavanje zahtjeva.
  • Koliko će vremena vašoj organizaciji trebati odgovoriti na pojedinačne zahtjeve za kopijama njihovih osobnih podataka, ispravkama i / ili brisanjem?
  • Kako ćete osigurati da se ispravke i / ili brisanja ažuriraju na svim lokacijama i kod trećih strana, ako je to primjenjivo?
  • Hoćete li moći poštivati ​​odredbe koje se odnose na zahtjeve za pristup i prenosivost podataka? Konkretno mogućnost davanja podataka u elektroničkom obliku i u najčešće korištenim formatima?

Hoće li se pristupni zahtjevi promijeniti?

GDPR zahtijeva da se zahtjevi za pristup obrade i na njih se odgovori bez odgađanja i najmanje u roku od mjesec dana od podnošenja zahtjeva. Zahtjevi se neće postavljati samo za kopije osobnih podataka koji se čuvaju, već i za dodatne informacije, poput potvrde da se njihovi podaci obrađuju, zajedno s dodatnim informacijama sličnim onima koje trebaju biti obuhvaćene vašim pravilima o privatnosti: kako su podaci se prikuplja, u koje svrhe, dijeli li ga s bilo kime itd. Nadalje, rješavat ćete i zahtjeve za brisanje i zahtjeve za ispravljanje osobnih podataka. Pregledajte svoje trenutne procese za sve ovo da biste utvrdili jesu li dovoljni u pogledu unutarnjih procesa i u pogledu usklađenosti s GDPR-om.

Što znače zakonite osnove za obradu?

Iako GDPR daje snažan naglasak na individualni pristanak, dopušta obradu podataka bez pristanka, u posebnim okolnostima. Pregledajte sve načine na koje prikupljate i obrađujete osobne podatke kako biste utvrdili što su zakonite osnove. Ovo je potrebno kako za vaša pravila o privatnosti, tako i za potvrdu da li je potreban pristanak ili ne.

Korištenje pristanka klijenta kao osnova obrade podataka

GDPR očekuje da će pristanak biti „slobodno dat, specifičan, informiran i nedvosmislen“. Pojedinci moraju biti svjesni da daju svoj pristanak, upravo ono na što pristaju, a to se ne može natjerati kao uvjet prodaje ili usluge. Pregledajte sve načine na koje prikupljate i obrađujete podatke i za koje je potrebna suglasnost. Adresa sljedećeg:

  • Sve zahtjeve za pristanak držite odvojeno od svojih uvjeta. Ažurirajte svoje uvjete i odredbe da biste uklonili bilo kakvo spominjanje pristanka kao uvjeta prodaje ili usluge.
  • Ako pristanak daju pojedinci koji potvrđuju potvrdni okvir - bilo na tiskanom obrascu ili na mrežnom obrascu -, pobrinite se da oni prema zadanim postavkama ne budu označeni.
  • Osigurajte da su vaši CRM-ovi i baze podataka opremljeni da uključuju zapis o pristanku. To bi trebalo posebno zabilježiti tko je pristao, kada su pristali (podaci i vrijeme), kako su pristali i što im je rečeno.
  • Ako podatke prikupljate putem internetskih obrazaca, razmislite o upotrebi usluga kao što je MailChimp, koje omogućuju dvostruku potvrdu prijave, i zabilježite datum i vrijeme svakog podnošenja.
  • Osigurajte da vaši sustavi također omogućuju pojedincima da povuku svoj pristanak.

Istovremeno, potrebno je pregledati sve postojeće suglasnosti uoči primjene GDPR-a kako bi se osiguralo da ispunjava traženi standard.

Obrada podataka djece

Ako prikupljate i obrađujete podatke djece mlađe od 16 godina, možda ćete trebati revidirati postojeće sustave kako biste uveli mjere za provjeru starosti pojedinaca i za dobivanje roditeljskog ili skrbničkog pristanka za obradu.

Izvještavanje kršenja podataka

Provjerite i / ili primijenite odgovarajuće postupke za otkrivanje, istraživanje i prijavljivanje kršenja podataka. Prema GDPR-u, organizacije su obvezne prijaviti određene vrste kršenja podataka nadležnom nadzornom tijelu u roku od 72 sata. Pored toga, o nekim prekršajima također se mora obavijestiti pogođene osobe. Nepridržavanje pravila može rezultirati visokim novčanim kaznama za organizacije.

Procjena utjecaja na zaštitu podataka (DPIA) i zaštita podataka dizajnom i zadanim postavkama

Iako su to uvijek bile dobra praksa u pogledu obrade podataka, GDPR sada postavlja zaštitu podataka dizajnom i zadavanjem kao zahtjev, s tim da su DPIA-i obavezni za sve organizacije uključene u obradu podataka visokog rizika. Iznad vaših pravila o privatnosti trebali biste pogledati i sljedeće:

  • Korištenje šifriranja podataka, pseudonizacija i / ili anonimizacija.
  • Dijeljenje podataka. Pogledajte što se dijeli, koja je svrha dijeljenja i s kime se dijeli. Da li se podaci dijele na sigurno i je li organizacija s kojom se dijele također u potpunosti u skladu sa zahtjevima GDPR-a?

Službenici za zaštitu podataka

Neće sve organizacije morati imenovati službenike za zaštitu podataka, ali trebali biste se upoznati s tim zahtjevima i odgovoriti po potrebi.

Međunarodne organizacije i GDPR

GDPR se odnosi na sve tvrtke i organizacije koje prikupljaju i obrađuju osobne podatke pojedinaca koji borave u bilo kojoj državi članici EU, čak i ako tvrtka ili organizacija nema fizičku prisutnost u cijeloj EU. Svaka država članica EU-a ima svoje tijelo za zaštitu podataka, ali međunarodne organizacije mogu raditi s jednim vodećim nadzornim tijelom (LSA) kada je u pitanju zaštita podataka i drugim elementima GDPR-a.

Izvorno objavljeno na appinstitute.com 13. prosinca 2017.