10 lucruri de știut despre GDPR și securitatea datelor

10 lucruri de știut despre GDPR și securitatea datelor

Date personale – este o expresie care inundă știrile și ne obligă să ne gândim la identitatea noastră online și la modul în care acestea sunt folosite de alte site-uri și companii.

Companiile online și proprietarii de site-uri web acționează adesea ca administratori ai datelor personale sensibile pe care le-au colectat. Odată cu implementarea relativ recentă a GDPR – reglementează securitatea și confidențialitatea datelor în UE – s-ar putea să vă faceți griji cu privire la modul în care stocați și protejați informațiile altor persoane și dacă aceste date sunt sigure și securizate.

Nu-i așa?

Noile legi cu privire la datele cu caracter personal din UE vă impun responsabilitatea de a vă asigura că le respectați, dar suntem aici pentru a vă oferi câteva indicații. Regulamentul general privind protecția datelor se concentrează pe oferirea cetățenilor un control mai mare asupra datelor lor de pe web.

Pe lângă împuternicirea utilizatorilor să decidă ce se întâmplă cu informațiile lor, GDPR include și noi reguli cu privire la modul în care organizațiile ar trebui să gestioneze aceste date. Toate acestea pot necesita unele acțiuni din partea dvs. – chiar dacă nu vă aflați în UE. Iată ce trebuie să știți și ce puteți face pentru a rămâne la curent.

Ce trebuie să știți despre GDPR

1. GDPR este aici.

Așa este: GDPR a intrat în vigoare pe 25 mai 2018. Asta înseamnă că, dacă nu v-ați actualizat deja site-ul web pentru a vă conforma, trebuie să începeți. Restul acestui articol vă va oferi câteva sfaturi și resurse despre ceea ce presupune acest lucru. Nu intrați în panică! După ce ați citit acest articol, vă recomandăm să mergeți la site-ul oficial GDPR pentru a fi la curent.

2. GDPR se aplică „datelor cu caracter personal” ale persoanelor din UE.

Pot exista numeroase motive pentru care un site web colectează date despre utilizatori: pentru a facilita o achiziție, a distribui o listă de corespondență, pentru a viza publicitatea sau pentru a determina cel mai popular tip de conținut. Indiferent de scop, dacă aceste date se referă la o persoană care vizitează site-ul dintr-un stat membru al UE, se aplică GDPR.

Vizitatorii site-ului web nici măcar nu trebuie să fie cetățeni ai UE. Deși regulamentul se bazează în Europa, acesta este de fapt mai amplu decât pare la prima vedere. Dacă afacerea dvs. are vreo legătură cu Europa, fie prin clienți sau parteneri (chiar și doar unul!), Ar trebui să fiți conștienți de ceea ce impune legea.

3. Definiția datelor cu caracter personal este extinsă în GDPR.

Când ne gândim la datele personale, s-ar putea să ne vină în minte lucruri precum numele, adresa și numărul de telefon. Există mult mai mult decât atât, conform definiției GDPR. Trecând dincolo de detaliile care ar fi considerate în mod normal informații de identificare personală, GDPR afirmă că orice informație „specifică identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane” este sub protecție.

Având în vedere acești parametri largi, este sigur să presupunem că orice lucru care identifică o persoană poate intra sub definiția datelor cu caracter personal. Dacă nu sunteți sigur că contează, probabil că da! De fapt, definiția GDPR a informațiilor de identificare personală este „orice informație referitoare la o persoană fizică identificată sau identificabilă”.

4. Orice entitate care controlează și prelucrează aceste date trebuie să respecte GDPR.

Documentele GDPR efective fac trimiteri la colecționarii și procesatorii de date cu caracter personal. Nu sunteți sigur dacă sunteți operator sau procesor? Citiți mai departe.

Un operator de date este o entitate – o companie, o organizație sau o persoană – care ia decizii cu privire la ce date sunt colectate și cum sunt utilizate. Un procesator de date colectează, stochează și transferă aceste date odată colectate.

5. Noile legi necesită consimțământul pentru colectarea datelor.

Este posibil să fi observat că o mulțime de site-uri și aplicații și-au actualizat politicile de confidențialitate și condițiile de utilizare în ultima vreme. Totul se datorează GDPR. Dacă o organizație se așteaptă ca cineva din UE să viziteze site-ul web, compania trebuie să includă informații care solicită consimțământul pentru a colecta date despre utilizatori.

Politicile actualizate trebuie să includă informații despre ce date sunt colectate, de ce sunt colectate, cât timp vor fi stocate, precum și modul în care vor fi utilizate și cine va avea acces la date. Toate acestea trebuie să fie indicate clar pe site-ul web într-un loc vizibil.

6. Există cerințe mai stricte pentru securitatea datelor conform GDPR.

În comparație cu legislația UE anterioară privind confidențialitatea datelor cu caracter personal (Directiva privind protecția datelor, implementată în 1998), GDPR are responsabilități mai prescriptive pentru operatorii și procesatorii de date în ceea ce privește securitatea.

Dacă aveți de-a face cu informații de identificare personală ale persoanelor, trebuie să vă faceți diligența pentru a garanta că informațiile sunt pe deplin protejate. S-ar putea să existe mai multe soluții în acest sens, în funcție de datele colectate, de tehnologiile disponibile și de bugetul dvs. Unele măsuri de securitate sugerate de GDPR includ criptarea datelor, asigurarea faptului că sistemele și serviciile permit confidențialitatea, furnizarea capacității de a restabili accesul la datele personale și menținerea unui proces de evaluare a securității sistemului.

Acestea sunt doar câteva dintre strategiile pe care organizațiile le pot folosi pentru a demonstra că respectă GDPR. Este posibil să le fi luat deja în considerare sau poate fi necesar să adăugați câteva componente la planul dvs. de securitate.

7. Încălcările datelor trebuie raportate persoanelor ale căror date au fost compromise.

Un alt aspect nou al legislației privind confidențialitatea, așa cum este impus de GDPR, este cerința de a notifica utilizatorii atunci când a avut loc o încălcare a datelor și ar fi putut afecta informațiile lor personale. GDPR definește o încălcare a datelor cu caracter personal ca un eveniment care duce la „distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod”. 

Dacă are loc o încălcare a datelor cu caracter personal care „poate duce la un risc ridicat pentru drepturile și libertățile persoanelor”, operatorii de date au obligația de a notifica rapid persoanele afectate. Există puține excepții de la această regulă, cum ar fi atunci când datele criptate ar fi neinteligibile pentru utilizatorii neautorizați sau când operatorul ia măsuri după încălcare pentru a preveni riscurile. Detaliile acestei reguli pot fi deschise interpretării și discuției, dar în caz de îndoială, GDPR adoptă o poziție puternică și cuprinzătoare în ceea ce privește protejarea datelor utilizatorilor.

8. Operatorii de date trebuie să ofere utilizatorilor acces la datele lor la cerere.

Semnificația acestui aspect al GDPR este simplă: dacă un utilizator dorește să vadă datele pe care le-ați colectat despre acestea, trebuie să le predați într-un timp rezonabil.

Pentru a acorda aceste cereri, veți avea nevoie de un sistem pentru ca clienții să trimită cereri și personalul care le poate îndeplini. Va fi necesară și tehnologia care permite exportul de date cu caracter personal. La articolul 15, GDPR subliniază câteva alte drepturi conexe la informații, cum ar fi cine are acces la date și cât timp vor fi stocate.

9. Utilizatorii din UE au „dreptul de a fi uitați”.

O altă prevedere legată de accesul la date este ceea ce GDPR numește „dreptul de a fi uitat”. La articolul 17, cetățenii au dreptul să solicite ștergerea datelor lor din sistemul unui operator. Aceștia pot face acest lucru din mai multe motive, inclusiv retragerea consimțământului pentru prelucrarea datelor.

Legea prevede că există un motiv legitim pentru solicitarea ștergerii datelor cu caracter personal. Cu toate acestea, oferă orientări cu privire la momentul în care o organizație ar putea respinge o astfel de cerere. În cazul în care prelucrarea datelor este considerată necesară pentru „exercitarea dreptului la libertatea de exprimare și informare”, îndeplinirea obligațiilor legale sau stabilirea revendicărilor legale sau servirea interesului public în anumite moduri, o organizație nu trebuie să se conformeze.

10. Încălcarea condițiilor GDPR vine cu un preț ridicat.

Nu încercați să evitați sau să ignorați GDPR – vă va costa. Cele mai mari penalități pentru nerespectare includ amenzi de până la 20 de milioane de euro (mai mult de 23 de milioane de dolari) sau 4% din veniturile globale, oricare dintre acestea este mai mare. Acest nivel de pedeapsă ar fi rezervat celor mai răi infractori, dar nu merită să aflăm cum vor fi tratate infracțiunile minore.

În afară de a vă lua banii, autoritățile UE pentru protecția datelor ar putea, de asemenea, să elimine unele privilegii de colectare a datelor de la compania dvs. sau chiar să vă interzică colectarea datelor în totalitate. Faceți ceea ce trebuie!

Adauga un comentariu