Что такое GDPR
С 25 мая GDPR станет обязательным. Этот новый Регламент, который будет регулировать обработку персональных данных, окажет значительное влияние не только на конфиденциальность данных, но и на обязательства, которые должны соблюдать компании из ЕС и не из ЕС. А пока может быть полезно вместе просмотреть некоторые из наиболее часто задаваемых вопросов, чтобы попытаться ознакомиться с новым Положением и подготовиться к 25 мая.
1) Что такое GDPR и когда он найдет полное применение?
GDPR, аббревиатура от Общего регламента по защите данных, является европейским регламентом по защите данных, который произведет революцию в управлении личными данными пользователей в Интернете с целью обеспечения прозрачности, упрощения, унификации и, прежде всего, подотчетности между странами.
GDPR официально вступил в силу в мае 2016 года, заменив предыдущую директиву о защите данных 1995 года, но, будучи регламентом с отсроченным применением, он становится обязательным через два года после даты его утверждения, 25 мая 2018 года.
Дата, когда, вероятно, будет отменен предыдущий кодекс конфиденциальности или Законодательный декрет 196/03.
2) В чем отличие от предыдущей Директивы о защите данных 1995 г.?
Правила 1995 года были разработаны в период, когда интернет-феномен еще не прижился, а хранение данных осуществлялось с помощью совершенно иных процедур, чем сегодня.
GDPR — это законодательство нового поколения, которое с 25 мая 2018 года положит начало новому способу обработки персональных данных пользователей. Мы переходим от системы, основанной на модели авторизации, к модели ответственности за лечение.
3) Какие новшества вводит GDPR в отношении сбора согласия?
В настоящее время в Италии существует механизм предварительного согласия, также известный как метод отказа, т. е. согласие действительно только в том случае, если оно получено перед каждым лечением, чтобы сделать его законным.
Другие страны Европы используют логику предполагаемого согласия на основе поведения пользователя. С другой стороны, в Соединенном Королевстве действует механизм отказа, который предполагает согласие, если не имеется явного отказа.
GDPR в целях гармонизации законодательства в разных странах находит баланс, устанавливая действительность согласия только в том случае, если оно выражено заранее, посредством позитивных убедительных действий.
4). Можно ли внедрить правило положительного убедительного поведения для сбора данных уже сейчас, т.е. до 25 мая?
Да, потому что два года были предоставлены, чтобы штаты могли вовремя адаптироваться к законодательству.
GDPR уже вступил в силу и с 25 мая становится обязательным.
5) Можно ли использовать данные, которые компании раскрывают публично, например, найденные в Интернете?
Даже если это данные, которые можно найти и с которыми можно ознакомиться публично, в соответствии с положениями GDPR они не могут свободно использоваться для действий прямого маркетинга без предварительного согласия и недвусмысленно сформулированы заинтересованной стороной.
6) Требуется ли по закону механизм двойного выбора для сбора данных?
Механизм двойного согласия не является обязательным по закону, но это действенный механизм, который абсолютно рекомендуется, поскольку он состоит из двойного подтверждения пользователем готовности получать сообщения.
GDPR требует структурированной информации, дополнительных пояснений и, возможно, видеоклипа для объяснения целей обработки.
7) что происходит с данными, собранными по старому законодательству?
Персональные данные пользователей, собранные в соответствии с предыдущим законодательством, должны быть подвергнуты анализу, чтобы оценить, могут ли они продолжать использоваться также в свете нового законодательства.
8) Что касается электронной коммерции, как вы себя ведете, если клиент оставляет свой электронный адрес для получения информации по заказу, но не ставит галочку для получения коммерческой информации?
Если клиент не ставит галочку в поле для получения коммерческой информации, оставленные им контакты не могут быть использованы для отправки ему обновлений коммерческого характера, поскольку, игнорируя поле, он ясно выразил свой отказ или согласие не было выражено законным образом.
9) Обрабатываются ли адреса компаний и частные адреса одинаково?
Нет. Данные, относящиеся к физическим лицам, и данные, относящиеся к компаниям, обрабатываются по-разному. Адреса типа bianchi@company.it считаются личными данными, а те, которые относятся к деловым реалиям типа amministrazione@company.it они не являются личными данными.
10) Какие компании должны иметь DPO?
Сотрудник по защите данных — это новая фигура, введенная GDPR. Давайте посмотрим, какие компании должны иметь эту фигуру внутри себя и какова их роль.
Субъекты, для которых DPO является обязательным:
- Государственные организации
- Частные компании, которые обрабатывают конфиденциальные и юридические данные контролируемым и автоматическим способом.
- Субъекты, которые проводят крупномасштабное лечение
Какую роль играет ДПО?
- Проверить правильность обработки данных
- составить документ об оценке воздействия на конфиденциальность
- оценить отсутствие рисков, связанных с обработкой данных.
Искусство. 37 Регламента 2016/679 перечислены случаи, в которых назначение DPO является обязательным:
Статья 37
Назначение уполномоченного по защите данных
- Контролер данных и контролер систематически назначают сотрудника по защите данных всякий раз, когда: - обработка осуществляется государственным органом или государственным органом, за исключением судебных органов при выполнении своих судебных функций - основная деятельность контролера данных или обработка данных состоит из процедур, которые по своему характеру, объему и / или цели требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или - Основная деятельность контроллера данных или обработчика данных заключается в крупномасштабной обработке определенных категорий персональных данных (конфиденциальные данные) или данных, касающихся уголовных судимостей и правонарушений (судебные данные). 2. Бизнес-группа может назначить одного сотрудника по защите данных при условии, что сотрудник по защите данных легко доступен из каждого учреждения. 3. Если контролером или обработчиком данных является государственный орган или государственный орган, один сотрудник по защите данных может быть назначен для нескольких государственных органов или государственных органов с учетом их организационной структуры и размера.