Ako sa malý podnik musí pripraviť na GDPR?

Existuje niekoľko jasných krokov na zosúladenie interných procesov a postupov s pravidlami ochrany údajov.

Uveďte, aké osobné údaje máte- odkiaľ pochádzajú, s kým ich zdieľate s tým, na čo ste ich zhromaždili a či sú stále relevantné a potrebné na účely, ktoré ste si vybrali.

Uistite sa, že môžete splniť požiadavky na údaje občanov- v rámci GDPR môžu občania EÚ požiadať, aby ste ich odstránili, zmenili alebo presunuli do inej organizácie. Vaše procesy a technológia musia umožniť splnenie týchto požiadaviek do jedného mesiaca.

Vytvorenie zákonného podkladupre spracovanie údajov v rámci GDPR. Opt-out boxy už nie sú dosť dobré. Namiesto toho musíte vytvoriť zákonný podklad na spracovanie údajov občana. Ak je to súhlas, musí to byť opt-in, občan udelí súhlas na to, aby ich údaje boli spracované počas obmedzeného časového obdobia na úzko definovaný účel. Súhlas môže byť stiahnutý, takže je rozumné zvážiť, aký iný zákonný základ môžete použiť na spracovanie údajov.

Pripravte sa na narušenie údajov- zabezpečte, aby vaše procesy umožnili informovať orgán na ochranu údajov o narušení údajov do 72 hodín od jeho zistenia.

Zvoliť úradníka pre ochranu údajov- ako je uvedené vyššie, úradník pre ochranu údajov je dôležitou súčasťou GDPR pre podniky vykonávajúce rozsiahle spracovanie údajov.

Aké pokuty musím zaplatiť za to, že som pochybil?

Pokuty, ktoré môžu byť uložené v rámci GDPR, sú potenciálne obrovské. Organizácie čelia pokutám vo výške až 2% svojho ročného obratu alebo 10 miliónov EUR, podľa toho, ktorá hodnota je vyššia, za porušenie kódexu GDPR. Pri skutočných porušeniach osobných údajov ľudí, môžu vzrásť na 4% obratu firmy alebo 20 miliónov EUR.

„Ktorá pokuta je vyššia“je kľúčovou frázou pre malé a stredné podniky, ktoré by mohli byť finančne zničené narušením údajov, čo znamená, že riziká sú rovnako veľké, ak nie väčšie ako pre nadnárodný podnik, ktorý by mohol absorbovať pokutu v ďalšom finančnom štvrťroku bez prílišného vplyvu na cenu akcií.

Tieto pokuty však musia byť aj „proporcionálne“, čo znamená, že ak dokážete (s rozsiahlou evidenciou a dokumentáciou), že vaše politiky a rámec riadenia sú určené na dodržiavanie GDPR, bolo by nepravdepodobné, že by vám uložili drsnú pokutu.

Ak však nemôžete preukázať, že ste vynaložili nejaké úsilie na dodržanie GDPR, a vyzeráte to tak, že ignorujete zákon, pravdepodobne vám bude udelená vyššia pokuta.

Obchodníci, chcete rozhýbať vaše obchody? Tak čítajte! Čo všetko potrebujete vedieť o GDPR?

Ako ovplyvní nové nariadenia o údajoch marketingové úsilie organizácie?

Všeobecné nariadenie o ochrane údajov (GDPR) prišlo plnou silou a napriek tomu, že efekt, ktorý bude mať na väčšinu podnikov a jeden z jeho hlavných sektorov, je marketing.

GDPR výrazne zvýši hodnotu pokút. V skutočnosti by podniky mohli byť pokutované až do výšky 20 miliónov EUR, alebo 4% celkového obratu spoločnosti, ak nedodržia nové predpisy. Ide o obrovskú sumu peňazí pre každú spoločnosť, nieto malú firmu.

Preto je dôležité, aby každý, kto sa pohybuje v oblasti marketingu a obchodu starostlivo zvážil, aké sú jeho povinnosti a ako sa môže uistiť, že sedí na pravej strane zákona, pokiaľ ide o ochranu osobných údajov.

Získanie súhlasu

Jedným z najdôležitejších bodov GDPR je, že dáta sa musia zhromažďovať iba na konkrétny účel a tento účel musí byť jasne definovaný tým, ktorým zhromažďujete údaje. To zabezpečí, aby zákazník dostával len e-maily, ktoré si zvolil, a ktoré budú radi dostávať. Ak chcete používať údaje na iný účel ako je uvedené, budete musieť získať ďalší súhlas.

Ďalším faktorom je výslovný a informovaný súhlas. Obyvatelia EÚ musia poskytnúť tento typ súhlasu, a preto vylučujú použitie predbežnú kontrolu alebo akýkoľvek pokus o získanie formy implicitného súhlasu.

Konštanta hrá veľkú úlohu v digitálnom marketingu. Správca a dátový procesor musia dodržiavať jasný súbor obmedzení. Pravidlá týkajúce sa súhlasu spočívajú v tom, že ide o „slobodné, konkrétne, informované a jednoznačné označenie želania osoby, s ktorou sa vyjadrením alebo jasným potvrdzujúcim konaním zhodujú na spracovaní osobných údajov, ktoré sa jej týkajú „.

Čo sú osobné údaje?

Obsahuje identifikátory, ako napríklad adresy IP, súbory cookie, mobilné IP adresy a dokonca vyhľadávacie vyhľadávania. Bude to problém pre digitálne úsilie obchodníka, pretože cookie sa zvyčajne nevyberá so súhlasom osoby.

GDPR sa vzťahuje aj na automatizované osobné údaje a systémy manuálneho archivovania, v ktorých sú osobné údaje prístupné podľa konkrétnych kritérií.

EÚ: vstup alebo výstup?

Nezáleží ani na tom, že vaše podnikanie je mimo EÚ. Ak máte osobné údaje o obyvateľoch EÚ, vaša organizácia musí dodržiavať isté pravidlá. Osobné údaje môžu byť prevedené iba mimo EÚ v súlade s podmienkami pre prevod stanovenými v kapitole V GDPR.

Čo je zmyslom tohto nariadenia?

Prvoradým úsilím pri dodržiavaní predpisov je chrániť a používať údaje zákazníkov. To bude pravdepodobne predstavovať dočasný problém pre obchodníkov. To znamená zmenený prístup k budovaniu databáz, správe údajov a zhromažďovaniu spotrebiteľských údajov.

Toto sú pravidlá, ktoré sú nevyhnutné pri dodržiavaní GDPR?

Zamerajte sa na ochranu údajov podľa návrhu

Zabezpečte ochranu dát, ktorá je súčasťou všetkého, čo navrhujete, či už ide o proces, produkt alebo webovú stránku. Týmto spôsobom by sa nemali vyžadovať žiadne ďalšie opatrenia na ochranu údajov. Je potrebné umiestniť vhodné technické a organizačné opatrenia na zabezpečenie toho, aby ochrana údajov bola „zapustená“ do skutočného návrhu produktov a služieb. Ochrana údajov o ľuďoch je jednou z kľúčových funkcií čohokoľvek, čo vaša organizácia robí, či už interne alebo externe.

Uistite sa, že ste zodpovedný

Prijímanie podnikových procesov zameraných na ochranu súkromia je kľúčové, ale nestačí: musíte byť schopní preukázať, že ste tak urobili, ak ste o to požiadali. To znamená, dokumentovanie diskusií a procesov, ktoré prispeli k vašej konečnej implementácii. Je to istá ochrana pre seba, ale aj spôsob, ako uistiť svojich zákazníkov, pretože vám umožňuje preukázať, že dostupné ochranné opatrenia boli zohľadnené a začlenené do vašej firmy.

Okrem toho musí byť akýkoľvek personál, ktorý spracováva osobné údaje, primerane vyškolený; budete musieť navrhnúť a implementovať robustnú internú politiku ochrany údajov, ktorá bude v súlade s každým aspektom GDPR.

Ak máte viac ako 250 zamestnancov, uplatňujú sa niektoré dodatočné požiadavky:

übudete musieť uchovávať písomné interné záznamy o všetkých činnostiach spracovania údajov

üopisy technických a organizačných bezpečnostných opatrení

üdokumentáciu všetkých bezpečnostných opatrení vzťahujúcich sa na mechanizmy prenosu údajov

Vytvorte zákonný podklad na uchovávanie a spracovanie údajov

Existuje mylná predstava o GDPR, že súhlas je prvoradým problémom, ktorý treba riešiť. Týka sa to marketingových firiem a maloobchodníkov, ktorí sa vo veľkej miere spoliehajú na ľudí, ktorí sa rozhodli prijímať newslettery alebo propagačné emaily. To, čo musíte naozaj urobiť v rámci GDPR, je vytvoriť zákonný podklad pre zhromažďovanie údajova zdieľať ich so svojimi zákazníkmi.

K zákonným podkladom patria: ®ak máte výslovný súhlas zákazníka (o ktorý musíte znova požiadať  z dôvodu zhromažďovania zmien údajov)

dodržiavať zmluvu, ktorú máte s jednotlivcom

dodržiavať zákon (nazývaný „právny záväzok“)

ak je to v životne dôležitých záujmoch niekoho – t.j. chrániť ich život

ak spracovanie ich údajov je vo verejnom záujme, ktoré musia byť zvážené vo vzťahu k ich vlastným záujmom

alebo ak tak urobíte, je vo vašom oprávnenom záujme, ktorý musí byť zvážený proti ich vlastným záujmom

Informujte svojich používateľov

Podľa GDPR majú občania a zákazníci právo namietať proti používaniu svojich údajov alebo odmietnuť ich súhlas. Ak ste to ešte neurobili, budete musieť nominovať kontrolóra údajov a dôstojníka ochrany údajov na zvládnutie týchto interakcií a sprístupniť ich kontaktné údaje.

Spolu s vašimi kontaktnými informáciami budete musieť poskytnúť vysvetlenie o tom, ako sa používajú údaje o zákazníkoch, vrátane účelu zhromažďovania údajov, akýchkoľvek záujmov, ktoré môže mať kontrolór, zberateľ alebo spracovateľ tretej strany, či sa prenáša na externého agenta a ďalšie.

Niektoré dodatočné povinnosti platia, ak ste tieto údaje nezískali – napríklad, ak ste si zakúpili mailing list. V takýchto prípadoch musíte tiež informovať subjekty o kategóriách osobných údajov, ktoré zhromažďujete, a o tom, ako ste získali ich informácie.

Buďte pripravení na vymazanie údajov

GDPR obsahuje „právo na vymazanie“. To znamená, že v konkrétnych situáciách môžu subjekty požiadať o úplné odstránenie ich údajov z vašej databázy.

To sa môže stať, ak zákazník stiahne svoj súhlas s ďalším spracovaním svojich údajov. Zahŕňa to aj prípady, v ktorých boli údaje získané alebo spracované nezákonne, alebo ak sa používanie, na ktoré boli pôvodne zhromaždené, už neuplatňuje.

Buďte opatrní pri používaní algoritmov

Veľa rozhodnutí – najmä online, sú automatizované. V GDPR sa vyžaduje, aby rozhodnutie, ktoré vytvára právny alebo podobný účinok, nebolo založené na automatizovanom spracovaní, pokiaľ toto spracovanie nie je absolútne nevyhnutné a povolené zákonom. Zákazník musí tiež poskytnúť svoj výslovný súhlas.

Kontrolujte dáta

Je nevyhnutné vykonať audit zberu a spracovania údajov a v prípade potreby ich aktualizovať. Najmä skontrolujte, či niektorý z poskytovateľov tretích strán, na ktorého sa spoliehate, sa nachádza mimo Európskej únie, pretože GDPR obmedzuje prenos informácií za hranicami bloku, pokiaľ príslušná krajina nemá dohodu o primeranosti údajov.

Koho sa GDPR týka? Ako sa osobné údaje spracovávajú?

Na koho sa vzťahuje GDPR?

Stručne povedané, GDPR platí pre takmer každú organizáciu. Ak kontrolujete alebo spracovávate osobné údaje týkajúce sa obyvateľov EÚ – či už ide o zákazníkov alebo o vlastných zamestnancov – musíte to urobiť takým spôsobom, ktorý je v súlade s GDPR.

Organizácie nemusia mať sídlo v EÚ, aby boli viazané GDPR. Musia spracovávať alebo uchovávať údaje o obyvateľoch EÚ len preto, aby sa na nich vzťahovala GDPR.

V závislosti od vašej úlohy pri zhromažďovaní alebo spracovávaní týchto údajov sa v nariadení budete zobrazovať buď ako správca údajov, alebo ako dátový procesor.

Jedným zo spôsobov, ktorým sa firmy, ktoré sa nachádzajú mimo EÚ vyhli akýmkoľvek požiadavkám GDPR, je inštalácia lokalizačných filtrov, ktoré blokujú dopravu z EÚ. To znamená, že od občanov EÚ nie sú zhromažďované žiadne údaje, a preto nie je potrebné dodržiavať GDPR.

Pojmy správca údajov a dátový procesor? O čo ide?

Spravovanie údajov znamená, že by tretie strany mohli uzavrieť zhromažďovanie a spracovávanie údajov. Tie by však správcovi museli dať na známosť, ako to plánujú vykonať a uviesť, na aký účel to robia.

Dátový procesor je tretia strana, ktorá manipuluje s údajmi, aby získala hodnotu pre poskytované služby.

To znamená, že kontrolór by mohol byť akákoľvek organizácia, od maloobchodného predajcu na svetovej úrovni až po globálneho výrobného obra až po charitu, zatiaľ čo procesor by mohol byť firma IT služieb, ktorú používajú.

Je úlohou kontrolóra zabezpečiť, aby procesor spĺňal zákon o ochrane údajov, zatiaľ čo spracovatelia musia uchovávať záznamy o svojich spracovateľských činnostiach, aby dokázali, že dodržiavajú pravidlá. Na rozdiel od starších zákonov na ochranu údajov sú spoločne zodpovední prevádzkovateľ aj spracovateľ za finančné pokutyv prípade porušenia údajov alebo ak sa zistí, že spracovateľ spracoval údaje nezákonne.

Ako môžem spracovať údaje pod GDPR?

GDPR uvádza, že kontrolóri musia zabezpečiť, aby sa osobné údaje spracovávali zákonne, transparentne a na konkrétny účel. To znamená, žeľudia musia pochopiť, prečo sa spracovávajú ich údaje a ako sa spracúvajú, zatiaľ čo spracovanie musí spĺňať pravidlá GDPR.

Čo je GDPR? Všetko, čo potrebujete vedieť, od požiadaviek po pokuty

Všeobecné nariadenie o ochrane údajov (GDPR) sa automaticky uplatňuje vo všetkých 28 členských štátoch Európskej únie, na rozdiel od smernice, ktorá vyžaduje, aby členské štáty vypracovali vnútroštátne zákony na presadzovanie svojich pravidiel.

Dňa 25. mája 2018 nadobudol účinnosť a jeho cieľom je posilniť práva, ktoré občania EÚ majú nad svojimi údajmi, ktoré vlastnia spoločnosti.

Pred jeho implementáciou bolo zneužitie údajov o osobe trestné. Po implementácii GDPR sú obrovské pokuty vydané voči spoločnostiam, ktoré nedodržiavajú normy tohto nariadenia. Spoločnosti, ktoré sú uznané za vinné zo zneužitia údajov, môžu byť v najhoršom prípade pokutované až do výšky 20 miliónov EUR alebo 4% ročného obratu spoločnosti.

Cieľom nariadenia je poskytnúť ľuďom väčšiu moc nad svojimi údajmi a zvýšiť transparentnosť spoločností v tom, ako sa narábajú s ich údajmi.

Prečo bolo nariadenie GDPR navrhnuté?

GDPR bola zavedená, aby nahradila archaickú smernicu EÚ o ochrane údajov z roku 1995, ktorá bola neskôr zakotvená v zákone Spojeného kráľovstva ako zákon o ochrane údajov z roku 1998.

„Bezplatné“ služby, ako napríklad Google a Facebook, nie sú úplne zadarmo- platia za ne  našimi údajmi, ktoré sa používajú ako komodita medzi veľkými technickými spoločnosťami. Mená, e-mailové adresy a dokonca aj sexuálna orientácia sú cenné dátové body, ktoré vám umožňujú posielať cielené reklamy a marketingové správy. Mätúce podmienky a pasívne odškrtávacie políčka umožnili ľuďom lepšie pochopiť, s čím súhlasili pri registrácii nových služieb.

Samostatným cieľom GDPR je uľahčiť a zlacniť spoločnostiam dodržiavanie pravidiel ochrany údajov. Smernica EÚ z roku 1995 umožnila členským štátom interpretovať pravidlá, ktoré považujú za vhodné, následné ich transformovali na miestne právne predpisy.

Povaha GDPR ako nariadenia, a nie smernice, znamená, že sa uplatňuje priamo bez toho, aby sa musela premeniť na zákon, čím by sa vytvorilo menej rozdielov v interpretácii medzi členskými štátmi. EÚ verí, že to spoločne ušetrí spoločnosti 2,3 miliardy EUR ročne.