Визначення, принципи, сфера застосування та заходи RGDP GDPR Повне керівництво
Основне, що потрібно знати про GDPR/RGPD: визначення, сфера застосування, принципи та заходи
GDPR (або GDPR) є Європейське регулювання захисту даних. Він набув чинності в 2018 році і впливає на всі компанії, які здійснюють обробку персональних даних для європейських резидентів.
GDPR переслідує кілька амбіційних цілей:
- Стандартизувати на європейському рівні - норми захисту даних.
- Розширити можливості більше компаній шляхом розвитку самоконтролю.
- Посилити особисті права(право на доступ, право на забуття, право на перенесення тощо).
У цій статті ми представимо найважливіше, щоб знати про GDPR (його визначення), уточнити його сферу застосування (які компанії стосуються?) Та численні зміни, які цей європейський регламент вніс стосовно Закону про захист даних.
Консультаційна фірма щодо даних клієнтів, CustUp підтримує організації у дотриманні RGPD/GDPR.
CustUp підтримує вас у дотриманні вимог GDPR
Завжди є час, щоб відповідати вимогам GDPR, але зараз час відкласти! Наглядовий орган - CNIL - більше не виявляє толерантності, яку мав на початку вступу в дію регламенту. Перші санкції впали, деякі викликали ажіотаж у пресі.
Пам'ятайте, що нові зобов'язання, пов'язані з GDPR, стосуються не лише великих компаній, а й усіх компаній, які обробляють персональні дані. МСП стурбовані. Дуже малий бізнес стурбований.
Наші експерти-консультанти з питань даних клієнтів, інформаційних технологій та регулювання підтримували кілька організацій у своїх проектах GDPR, як щодо стратегічного, операційного, так і технічного аспектів. Компанії приходять до нас і сьогодні. Ми допомагаємо їм на різних етапах проекту:
- Визначення сфери застосування GDPR.
- Діагностика поточної практики з точки зору збору згоди, зберігання, обробки персональних даних тощо.
- Встановлення пріоритетів та планування проектів, які слід здійснити для досягнення відповідності (Побудова плану дій).
- Поступове розгортання робочих місць.
Сьогодні регулярними темами GDPR, які надходять від наших клієнтів, є такі, що стосуються:
Ми пропонуємо супровід на замовлення. Ми адаптуємо свою методологію до очікувань та конкретних потреб кожного з наших клієнтів. Ми співпрацюємо з компаніями B2B та B2C.
Щоб дізнатись більше про нашу підтримку або просто обговорити ваше питання GDPR з нашими експертами, не соромтеся звертатися до нас.
Визначення та сфера застосування GDPR
GDPR (Загальний регламент про захист даних), який також називається французькою абревіатурою RGPD (Загальний регламент про захист даних), є довідковий текст щодо захисту даних на європейському рівні. Положення були опубліковані в травні 2016 року після багатьох років розробки. Остаточна версія тексту, яка перевищує 88 сторінок, доступна за цією адресою (французькою мовою).
GDPR діє з того часу 25 травня 2018 р. Оскільки це європейський регламент, а не директива, текст, що вводиться до застосування безпосередньо та одночасно у всіх державах-членах Європейського Союзу, без транспонування.
RGPD замінила Директиву 95/46/CE 1995 року. Ця директива послужила у Франції основою Закону про захист даних. Але очевидно, що з середини 90-х років технологічний та цифровий ландшафт дуже змінився. GDPR був розроблений для адаптації та модернізації законодавчої бази з точки зору захисту даних. Більш широко, GDPR має на меті "повернути громадянам контроль над своїми персональними даними, одночасно спростивши регуляторне середовище для бізнесу ".
На які компанії поширюється GDPR ?
Правила GDPR застосовуються до всіх підприємствприватні або державні острови 27 Держави-члени Європейського Союзу. Більш конкретно, до компаній:
- Пропонування товарів та послуг на ринку ЄС.
- Збір та обробка персональних даних на резидентів ЄС.
Зверніть увагу, що регламент застосовується також до компаній, не створених в ЄС, якщо вони збирають та обробляють персональні дані про резидентів ЄС.
Сфера застосування GDPR
Правила та обов'язки GDPR поширюються на обробку - автоматизовану чи ні - персональних данихл. Метою GDPR є посилення рамок для практик, що стосуються збору та використання персональних даних. GDPR дає точне визначення поняття "персональні дані" (DCP): це "будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи ". Під фізичною особою, яку можна ідентифікувати, необхідно розуміти "фізичну особу, яку можна ідентифікувати прямо чи опосередковано, зокрема, посилаючись на ідентифікатор, такий як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або на одного або більш конкретні елементи, специфічні для його фізичної, фізіологічної, генетичної, психологічної, економічної, культурної чи соціальної ідентичності ». GDPR стосується лише захисту персональних даних, що стосуються фізичних осіб.
Що означає, що GDPR не поширюється на підприємства обробляти лише дані, що стосуються юридичних осіб, якщо вони не збирають дані про представників юридичних осіб (що, насправді, майже завжди буває ...). Щоб чітко зрозуміти: збір даних про представників компанії (наприклад, з візитних карток) потрапляє в сферу регламенту GDPR. З іншого боку, збір інформації про компанію (назва компанії, корпоративне призначення, номер ПДВ, SIRET тощо) виключається. "Обробка даних" у значенні GDPR стосується збору, доступу, зберігання, маніпулювання, знищення та дистанційного узгодження даних. Конкретно, компанія, яка делегує збір та зберігання даних постачальнику послуг, тим не менше обробляє дані в тій мірі, в якій вона консультується з ними. Зрештою, переважна більшість компаній зазнає впливу положень GDPR.
4 ключові принципи GDPR та відповідні заходи
Положення GDPR обертаються навколо 4 ключових принципів: згода, права людини, прозорість та відповідальність.
Згода
GDPR зміцнює поняття згоди. З 25 травня 2018 року згода фізичних осіб повинен бути явним і "позитивним". Ця згода може бути відкликана в будь-який час особами, які її запитують. Крім того, компанії, які обробляють дані, повинні мати можливість підтвердити збір цієї згоди. за необхідності (у разі контролю з боку CNIL).
З цього приводу слід розрізняти B2B та B2C. Для B2B компаній, збір згоди не є обов’язковим якщо мета колекції поважається. У цьому випадку попередньо встановлені прапорці авторизовані. Однак згода є обов’язковою (прапорець) для прохання третіх сторін (дочірніх компаній, партнерів тощо). Компанії B2B, які збирають дані B2C, повинні подбати про те, щоб розділити методи збору відповідно до даних B2B чи B2C. Це може, наприклад, означати встановлення двох різних входів на сайт з метою адаптації правил згоди відповідно до типу клієнта (B2C/B2B).
GDPR також має наслідки в управлінні файлами cookie. Нові нормативні акти вимагають зазначення такої інформації: мета файлу cookie, право на заперечення користувача та неявного прийняття користувача, якщо користувач вирішить продовжувати перегляд. Інформаційний банер не повинен зникати, поки користувач не продовжить перегляд (наприклад, відкривши нову сторінку).
Ще один наслідок: тепер жодного файлу cookie бути не можемали бути висаджено, якщо користувач відскакує на сторінці - крім файлів cookie, необхідних для належного функціонування сайту. Це повинно враховуватися в DMP або проектах збору даних про клієнтів. Що стосується згоди, GDPR призвів до ще одного значного розвитку: рамки для профілювання. Регламент не забороняє таку практику, але посилює нагляд за нею. Зокрема, це вимагає отримання явної згоди від фізичних осіб (прапорець). Профілювання тепер поширюється на право заперечення.
Прозорість
Прозорість - другий головний принцип, висунутий GDPR. Він ґрунтується на згоді, оскільки прозорість є умовою можливості явної та усвідомленої згоди. Компанії тепер зобов'язані - починаючи з фази збору - надавати приватним особам чітку та однозначну інформацію про як будуть їхні даніне обробляється. Ця інформація повинна надаватися стислим, вичерпним та доступним способом (наприклад, у формах збору, у договірних документах, на сторінці веб-сайту, що стосується політики "конфіденційності" тощо).
Права людини
Однією з основних цілей GDPR є посилення прав фізичних осіб. З набрання чинності GDPR європейські резиденти отримали нові права:
- Легкі права доступу для всіх користувачів. Контролер повинен сприяти здійсненню цього права, встановлюючи відповідні процеси та інструменти. Наприклад, якщо збір відбувається на веб-сайті, слід надати електронне рішення, якщо можливо, із захищеним віддаленим доступом. У випадку запиту на доступ від користувача, компанія має максимум місяць, щоб задовольнити його.
- Право забути для всіх користувачів. Основний внесок цього регулювання полягає у розширенні умов для здійснення цього права. Підприємства мають менше, ніж два місяці, термін видалення даних за запитом. Усі копії та відтворення даних також повинні бути видалені.
- Право на обмеження обробки, застосовується в деяких конкретних випадках.
- Право на перенесення даних. Це право дозволяє людині отримувати дані, які вони надали, у формі, яка легко використовується багаторазово, і, якщо потрібно, передавати їх третій стороні (наприклад, у разі зміни постачальника послуг).
Компанії повинні гарантувати права людей шляхом встановлення відповідних заходів, інструментів та процесів. Що підводить нас до четвертого принципу GDPR: підзвітності.
Відповідальність
GDPR має на меті зробити компанії більш відповідальними при обробці персональних даних. Це пояснюється:
GDPR вніс суттєві зміни в регуляторну сферу, що стосується захисту персональних даних. Відповідність GDPR стала одним із ключів до успішної роботи CRM.
6 ключових слів для розуміння GDPR
Ось визначення деяких важливих термінів для кращого розуміння GDPR:
Щоб глибше зрозуміти наслідки GDPR/RGPD, ви можете ознайомитися з нашою статтею про вплив Загальної постанови про захист даних на вашу компанію.
Антуан Кубре підтримує організації в покращенні ефективності продажів завдяки кращому використанню даних клієнтів.
Інші статті на ту саму тему ...
середня вартість з порушення даних б'є записи [Порушення даних]
15 питань та відповідей за правилами GDPR (або GDPR)
6 питань навколо Виклики GDPR попросив 2 експерти [Звіт про день JDN „DMP“]
5 питань для розуміння GDPR
GDPR: 4 кроки організувати ваш відповідність
Який вплив GDPR на організацію та функціонування вашого бізнесу ?