På hvilke måter bør selskaper sikre beskyttelsen av kundenes personopplysninger under GDPR? Me Zakine, advokat i Ile de France
GDPR er en europeisk forskrift som tar sikte på å beskytte personopplysningene til borgere i EU. Den gjelder for alle selskaper og organisasjoner som behandler personopplysninger om personer bosatt i EU, uavhengig av hvor de behandles.
I dagens digitale tidsalder har brudd på personopplysninger blitt vanlig, og undergraver vår rett til personvern. General Data Protection Regulation (GDPR), en europeisk forordning fra 2016, utgjør en forordning storstilt europeisk initiativ ment å reagere på risikoen for brudd på personopplysninger og personvern.
General Data Protection Regulation (GDPR) er en europeisk forskriftstekst som regulerer behandlingen av personopplysninger. Den ble designet for å styrke enkeltpersoners rettigheter, men også for å tvinge bedrifter til å ta nytt ansvar for databeskyttelse. Slik sett må hvert selskap iverksette tiltak for å garantere sikkerheten til personlig informasjon av sine kunder. Men hvordan gjør man det da?
1. Identifiser dataene som samles inn
Det er viktig å identifisere hvilke data som samles inn, hvorfor de samles inn, hvordan de lagres, hvem som har tilgang til dem og hvordan de er beskyttet.
Så snart en bedrift samler inn personopplysninger, skal kunden informeres.
Denne tilnærmingen er nødvendig i den grad kunden, en fysisk person, har rett til å trekke tilbake, kansellere og korrigere dataene som samles inn.
Selskapet må sjekke flere punkter:
- at de behandlede opplysningene er nødvendige for aktiviteten: den GDPR pålegger et forhold av proporsjonalitet mellom behandlingen av data og målene som etterstrebes
- at ingen sensitiv informasjon behandles som medisinsk data,
- at kun autoriserte personer har tilgang til personopplysninger avhengig av målet som forfølges. Innenfor et sameie vil for eksempel kun et forbundsråd ha tilgang til videoovervåkingskameraene,
- at data ikke holdes utover det som er nødvendig: nok en gang er spørsmålet om proporsjonalitet tilstede.
2. Behovet for å utnevne databeskyttelsesansvarlig (DPO)
Å utnevne en databeskyttelsesansvarlig (DPO) er et GDPR-krav for enkelte virksomheter, spesielt de som behandler data i stor skala eller behandler spesielle kategorier av data.
Rollen til DPO er å sikre effektiv og streng anvendelse av GDPR. Den hjelper bedrifter med håndtering av personopplysninger og hvordan jeg skal håndtere brudd på personopplysninger.
3. Informere kunder om deres rettigheter, spesielt gjennom de generelle vilkårene for beskyttelse av personopplysninger eller innenfor de generelle vilkårene for bruk
GDPR har styrket databeskyttelsesrettighetene til registrerte personer. Selskaper er forpliktet til å gi klar og tilgjengelig informasjon om deres rettigheter, inkludert retten til å få tilgang til dataene deres, rette dem, be om sletting, protestere mot behandlingen, begrense behandlingen og be om deres portabilitet.
Kunder blir også informert om deres mulighet til å be om retting av personopplysningene sine.
Informasjonen dekker:
- formålet med å samle inn personopplysninger
- som gir fullmakt til innsamling av personopplysninger (legitim interesse). Eksempel: lojalitet
- Hvem er personen som har tilgang til disse dataene?
- varigheten av oppbevaring av personopplysninger
- måten folk kan få tilgang til dataene deres på (rekommandert post eller e-post
Kunder må ha gitt sitt samtykke. Dette er et grunnleggende poeng GDPR for beskyttelse av personopplysninger.
4. Iverksette meget sterke sikkerhetstiltak på områdenivå
Bedrifter har en forpliktelse til å implementere robuste sikkerhetstiltak for å beskytte data personlig mot tap, endring og uautorisert tilgang eller til og med mot hackere (passord for å få tilgang til et personlig område, brannmur, antivirus etc.).
5. Ha en prosedyre ved datainnbrudd
Ved et databrudd krever GDPR at selskaper varsler den relevante tilsynsmyndigheten innen 72 timer. Det er derfor viktig for virksomheter å ha en prosedyre på plass for å oppdage, rapportere og etterforske datainnbrudd.
5. Hvor mye koster en GDPR-advokat ?
Kostnaden for en GDPR-advokat varierer avhengig av flere elementer.
Grunnprinsippet er selvsagt at kostnaden vil variere avhengig av arbeid og tidsbruk.
Det enkleste er å ta en konsultasjon med Me Zakine, GDPR-advokat. Prisen er 120 euro. Hun vil allerede være i stand til å veilede deg og vil gå gjennom det grunnleggende sammen med deg.
Jeg inviterer deg til å lese vanlige spørsmål om årsaken som forklarer hvorfor den første konsultasjonen er avgiftsbelagt (fordi under den første konsultasjonen vil Me Zakine begynne å veilede deg på veien).
Som som GDPR-advokat, Maître Zakine støtter deg i alle stadier for å bringe din bedrift i samsvar med GDPR. Hun gir deg råd om hvilke forpliktelser som påhviler deg som behandlingsansvarlig og bistår deg med å utarbeide dokumentene.
Les også på Me Zakines nettside : Når beskyttelse av personvern og personopplysninger blir EUs virksomhet
Du kan også konsultere : Maître Zakine Advokat GDPR – Personopplysninger