Un ghid pentru GDPR: Regulamentul general privind protecția datelor

Publicat: 2021-03-09

Regulamentul general privind protecția datelor (GDPR) a fost adoptat în mai 2018 în încercarea de a proteja cetățenii de încălcări ale datelor din cauza neglijenței sau a unor actori răi. Reglementările europene sunt una dintre multele care încearcă să facă mediile digitale mai sigure pentru consumatori: CCPA în California, LGPD în Brazilia, PIPL în China, PIPEDA în Canada.

GDPR este un răspuns la îngrijorarea tot mai mare a publicului din Europa cu privire la confidențialitatea datelor. Uniunea Europeană a folosit regulamentul pentru a proteja protecția datelor în UE și în Spațiile Economice Europene cu aplicarea strictă a regulilor, competențe de investigare și amenzi substanțiale pentru nerespectare sau în cazul încălcării datelor.

GDPR oferă consumatorilor protecția datelor, inclusiv:

  1. Dreptul de a fi informat
  2. Dreptul de acces
  3. Dreptul la rectificare
  4. Dreptul la ștergere
  5. Dreptul de a restricționa prelucrarea
  6. Dreptul la portabilitatea datelor
  7. Dreptul de a obiecta
  8. Drepturi în legătură cu luarea automată a deciziilor și crearea de profiluri

Cui trebuie să-i pese de conformitatea GDPR

Este de la sine înțeles că, dacă sunteți o companie europeană sau o companie care face afaceri în Europa, trebuie să fiți conștienți de cerințele GDPR.

Afacerile din Statele Unite ar trebui să acorde atenție și la GDPR, deoarece, deși reglementarea este specifică europeană, afectează afacerile din afara UE și SEE care se ocupă și de datele consumatorilor europeni. Economia globală nu este izolată și există o mulțime de contagii; ar trebui să verificați furnizorii cu care lucrați pentru a vă asigura că îndeplinesc cerințele de conformitate pentru a evita orice răspundere.

Dacă sunteți o companie de comerț electronic, dvs., în calitate de comerciant, sunteți operatorul de date responsabil pentru datele consumatorilor dvs. Alegerea partenerilor potriviți cu care să lucrați va face parte din modul în care veți obține conformitatea completă. De exemplu, Shopify are o mulțime de resurse legate de GDPR pentru a vă ajuta să vă înțelegeți obligațiile și să vă demonstrați propria conformitate.

Consumatorii din SUA ar trebui să aibă, de asemenea, un interes în GDPR, deoarece le-ar putea beneficia fără ca ei să știe. GDPR garantează protecție nu doar pentru cetățenii europeni, ci și pentru toți consumatorii ale căror date sunt traficate în Europa, cum ar fi cei care vizitează în vacanță sau în afaceri. De asemenea, ar trebui să servească drept reamintire a tipului de date care sunt și nu sunt protejate în Statele Unite.

Atitudinile consumatorilor față de protecția datelor

Raportul RSA privind confidențialitatea și securitatea datelor a chestionat peste 7.500 de consumatori din Franța, Germania, Italia, Marea Britanie și SUA despre „impactul pe care îl au confidențialitatea, datele și reglementările asupra relațiilor lor cu companiile”.

Acesta a arătat o neîncredere față de agenții de marketing online și o teamă de hackeri, deoarece „Peste 40% dintre respondenți au recunoscut că au falsificat informațiile și datele personale atunci când se înregistrează pentru produse și servicii online”, pentru a evita să fie comercializați sau să piardă date sensibile.

80% dintre respondenți au enumerat informațiile financiare și bancare ca fiind o preocupare pentru ca datele să fie expuse într-o încălcare a datelor, precum și pentru parolele lor (76%) și informațiile de identitate, cum ar fi pașapoartele și permisele de conducere (72%).

Alte date demografice interesante au inclus faptul că 51% dintre respondenții germani sunt protectori față de datele lor genetice, iar 51% dintre tinerii mileniali (cu vârste între 18 și 24 de ani) sunt îngrijorați de faptul că informațiile personale sunt folosite pentru șantaj.

Există un imperativ de a construi un spațiu online în care consumatorii să poată avea încredere, dar există și un stimulent pentru companii să-și îmbunătățească practicile de securitate a datelor: 82% dintre respondenții din Marea Britanie au susținut că ar boicota o companie care a demonstrat continuu că nu i-au luat în considerare. protejarea datelor clienților.

Deși amenințarea cu boicot poate să nu fie suficient de stimulent pentru companii pentru a se auto-reglementa, națiunile europene au dezvoltat un cadru de reglementare substanțial și progresiv care obligă companiile să ia în serios problema securității datelor și nu le-a fost frică să impună taxe. amenzi uriașe pentru a demonstra gravitatea problemei.

Ce fel de date cu caracter personal sunt protejate de GDPR

Ca parte a reglementărilor ample de conformitate ale GDPR, companiile trebuie să protejeze datele consumatorilor, inclusiv:

  • Informații de identificare personală (PII), cum ar fi numele, adresa și numerele de identificare.
  • Date web, cum ar fi adrese IP, date cookie și etichete RFID.
  • Sănătate și date genetice.
  • Opinii politice.
  • Orientare sexuală.

Beneficiile GDPR

GDPR este complet și progresiv. Amenzile mari impuse ar fi deranjat Google, dar sunt un mijloc pentru un scop – un scop care este un mediu digital mai sigur, mai sigur, care protejează consumatorii și ține companiile la răspundere pentru proiectarea unor sisteme mai bune. CEO-ul Apple, Tim Cook, a spus că „ar trebui să fie legea în întreaga lume” și că guvernele ar trebui să ia atitudine pentru confidențialitatea datelor consumatorilor.

Deși GDPR s-ar putea să nu se aplice tuturor companiilor din America de Nord, a fi unul dintre cei care adoptă timpuriu practicile de securitate a datelor este benefic pentru afacerea dvs. Michael Fimin, scriind în revista Forbes, recunoaște cinci beneficii pentru conformitatea cu GDPR.

1. Securitate cibernetică îmbunătățită

GDPR „cere organizațiilor să-și identifice strategia de securitate și să adopte măsuri administrative și tehnice adecvate pentru a proteja datele personale ale cetățenilor UE”. Punerea în aplicare a acestor practici vă protejează datele și vă îmbunătățește securitatea cibernetică.

2. Management îmbunătățit al datelor

Când vă revizuiți colectarea și stocarea datelor, „scăpați de fișierele redundante, învechite și triviale (ROT) pe care organizația dvs. le păstrează” și faceți-vă că datele pot fi căutate. Angajații dvs. vor fi mai eficienți dacă sistemele dvs. sunt slabe, indexabile și căutate.

3. ROI crescut cu clienți potențiali mai calificați

Când ți-ai schimbat politica privind cookie-urile într-una la care utilizatorii trebuie să se înscrie, este posibil să ai un grup de date mai mic, dar pentru că toți cei din acel grup ar fi trebuit să ia în mod activ o decizie pentru a-ți permite să-și folosești datele, ar trebui să fi considerat mai calificat.

4. Încrederea consumatorilor

Consumatorii sunt îngrijorați de modul în care datele lor sunt colectate, utilizate și expuse la riscuri online. Trecând peste și dincolo de cerințele americane de a securiza datele clienților dvs. la standardul GDPR, evidențiază cât de mult prețuiți datele lor personale și cât de serios luați amenințarea cu încălcarea datelor.

5. Diferențierea pieței

A fi unul dintre cei care adoptă timpuriu are multe beneficii. Puteți trece prin mai multe iterații ale practicilor de securitate a datelor pentru a vă perfecționa sistemele înainte ca un întârziat să intre în acel spațiu, anticipați cerințele oricăror reglementări viitoare și puteți obține conformitatea înainte ca acestea să devină obligatorii sau aplicabile și vă va oferi diferențiere pe piață într-o mare măsură. a concurenților care nu au făcut încă o mișcare în ceea ce privește securitatea datelor. După cum spune Fimin, conformitatea cu GDPR este oportunitatea ta de a „implementa o nouă cultură de afaceri care prețuiește intimitatea umană. GDPR este oportunitatea ta de a excela.”

Dezavantajele GDPR

O preocupare pentru astfel de reglementări severe este că costul conformității ar putea fi o barieră în calea intrării noilor companii în spațiul digital, care a fost gândit ca un mediu care recompensează riscul, inovația și perturbarea noilor companii. Companiile cu scalare rapidă ar putea fi mai puțin competitive față de concurenții mai mari care există deja pe piață.

Pentru companiile mai mari sau companiile care se ocupă cu volume mari de date cu caracter personal, există costurile asociate cu angajarea sau promovarea unui responsabil cu protecția datelor responsabil cu securizarea datelor și cu respectarea autorităților europene. Amenzile ar putea fi mari și descurajatoare, dar la fel sunt și costurile asociate conformității. Suprafața suplimentară ar putea fi un semn de moarte pentru IMM-uri.

Conformitatea este ceva care trebuie gestionat activ. Este posibil ca companiile mai mici să nu poată ține pasul cu conformitatea în aceeași capacitate ca și companiile mai mari. Acest lucru păstrează avantajul competitiv pe care îl au deja aceste companii mai mari.

Limitările privind modul în care companiile pot colecta, stoca și utiliza datele vor avea un impact asupra laturii tehnice a publicității pe care se bazează multe IMM-uri. Fără informații despre datele de calitate în scopuri de marketing, companiile întâmpină dificultăți în a ajunge la publicul vizat, iar consumatorilor ar putea primi anunțuri mai puțin relevante. O reclamă mare aduce beneficii atât consumatorului, cât și agentului de publicitate atunci când produsele potrivite sunt puse în fața ochilor potriviți.

O altă critică la adresa GDPR este că a mers prea departe și că suprareglementarea va duce la o stare constantă a consumatorilor care li se cere consimțământul online. Fie utilizatorii vor fi întâmpinați cu bannere cookie constante, fie companiile nu vor colecta date sensibile în primul rând, ci vor folosi în schimb analize alternative de date pentru a se conforma fără nicio solicitare de înscriere adresată vizitatorilor site-ului.

Cum să atingeți conformitatea cu GDPR

Confidențialitatea datelor este o problemă globală, iar GDPR afectează orice companie care gestionează datele rezidente în UE. Dacă site-ul dvs. web colectează date despre utilizatori cu un software de analiză, acest regulament vă afectează și va trebui să treceți de la colectarea datelor de renunțare la înscriere.

Auditați datele pe care le colectați.

Înțelegeți ce fel de date procesați, cum sunt stocate și cine din organizația dvs. are acces la ele. Monitorizați-vă furnizorii care adună date de pe site-ul dvs. și verificați declarațiile lor privind conformitatea cu GDPR.

Abordați confidențialitatea la fiecare nivel.

Nu acordați atenție doar modului în care sunt proiectate sistemele sau cum sunt stocate informațiile, ci și cine are acces local la conturi.

Luați o abordare bazată pe risc.

Conformitatea securității datelor necesită colaborare; adunați informații și contribuții de la toată lumea din organizația dvs. Reunindu-vă pentru a vă identifica cele mai mari riscuri și acordând prioritate remedierii acestora, vă puteți recunoaște eficient riscurile și puteți obține conformitatea.

Controlul datelor

Consumatorii europeni au acum drepturi extinse asupra modului în care sunt colectate și a modului în care sunt utilizate datele lor cu caracter personal, dar au și dreptul la „portabilitatea datelor”, ceea ce înseamnă că pot solicita o copie a datelor cu caracter personal deținute despre ei sau pot solicita ca aceasta. fi rectificat sau sters.

Afacerile care sunt puternic investite în spațiul digital și care fac trafic de date cu caracter personal la orice nivel vor trebui să dezvolte practici și tehnologii care le permit să se conformeze cu ușurință reglementărilor.

  • Monitorizați și asigurați în permanență activele digitale.
  • Puneți controale adecvate pentru a proteja datele de încălcări.
  • Pune datele la dispoziția persoanelor vizate într-un termen rezonabil.

Ce se întâmplă dacă nu respectați: sancțiuni GDPR

Sancțiunile de profil înalt pentru GDPR au fost vaste. În primul an al noii reguli, Google a primit o amendă de 50 de milioane de euro. Intersoft Consulting scrie despre amenzile GDPR că acestea sunt concepute pentru a fi „eficiente, proporționale și disuasive pentru fiecare caz în parte”.

Regulamentul a fost redactat cu o structură de amendă pe două niveluri pentru penalizarea companiilor:

Încălcările minore sunt „supuse amenzilor administrative de până la 10 milioane EUR sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare”.

Infracțiunile grave sunt „supuse amenzilor administrative de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare”.

Sancțiunile pot fi decise ținând cont de:

  • natura, gravitatea și durata încălcării, luând în considerare natura domeniului sau scopul prelucrării în cauză, precum și numărul de persoane vizate și nivelul prejudiciului suferit de acestea.
  • caracterul intenționat sau neglijent al încălcării.
  • orice acțiune întreprinsă de operator sau de operator pentru a atenua daunele suferite de persoanele vizate.
  • gradul de responsabilitate al operatorului sau al împuternicitului ținând cont de măsurile tehnice și organizatorice implementate de aceștia.
  • orice încălcări anterioare relevante ale operatorului sau împuternicitului.
  • gradul de cooperare cu autoritatea de supraveghere, în vederea remedierii încălcării și a atenuării eventualelor efecte adverse ale încălcării.
  • categoriile de date cu caracter personal afectate de încălcare.
  • modul în care încălcarea a devenit cunoscută autorității de supraveghere, în special dacă și, dacă da, în ce măsură, operatorul sau persoana împuternicită de operator a notificat încălcarea.
  • în cazul în care măsurile menționate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același obiect, respectarea măsurilor respective.
  • aderarea la codurile de conduită aprobate în conformitate cu articolul 40 sau la mecanismele de certificare aprobate în conformitate cu articolul 42.
  • orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare obținute sau pierderile evitate, direct sau indirect, din încălcare.

Care sunt amenzile medii pentru încălcările GDPR?

GDPR a devenit lege în mai 2018, iar doar în restul acelui an, au fost emise 91 de amenzi pentru un total de 55.955.871 EUR. În cea mai mare parte, amenzile cu sume mari de profil înalt sunt cele care atrag cea mai mare atenție, dar nu toate amenzile GDPR sunt publicate sau fac titluri. Când eliminați din date amenda de 50 de milioane de euro acordată Google, amenda medie GDPR cu care se confruntă o companie a fost de aproximativ 66.000 de euro.

Autoritatea Olandeză pentru Protecția Datelor (DPA) și-a publicat liniile directoare pentru sancționarea infracțiunilor în martie 2019. Ei au dezvoltat un sistem de sancțiuni pe niveluri cu patru categorii, în funcție de gravitatea infracțiunii.

Categoria I se aplică în cazul încălcărilor simple sau administrative, cum ar fi „nepartajarea datelor de contact ale responsabilului cu protecția datelor (DPO) al companiei sau neînregistrarea adecvată a responsabilităților procesatorilor sau operatorilor comuni”. Gama amendă de 0 € – 200.000 €; penalizare standard de 100.000 euro.

Categoria II se aplică atunci când o companie nu îndeplinește obligații și cerințe specifice GDPR. Gama amendă de 120.000 € – 500.000 €; penalizare standard de 310.000 euro.

Categoria III se aplică atunci când o companie refuză să fie transparentă cu utilizatorii săi sau cu Autoritatea Olandeză pentru Protecția Datelor (DPA), refuzând să notifice DPA cu privire la încălcări sau refuzând să coopereze cu DPA. Gama amendă de 300.000 € – 750.000 €; penalizare standard de 525.000 euro.

Categoria IV se aplică atunci când o companie se angajează în prelucrarea ilegală a datelor sensibile, crearea ilegală de profiluri sau refuzul de a respecta directivele specifice ale DPA olandez. Gama amendă de 450.000 € – 1.000.000 €; penalizare standard de 725.000 €*
*Numai în cazul în care se aplică 20.000.000 € / 4% din cifra de afaceri anuală

Instanțe notabile de aplicare a GDPR

În toamna lui 2020, Marriot și British Airways au primit amenzi substanțiale în urma unor încălcări separate de date din 2018, care au afectat negativ consumatorii.

British Airways | 25,85 milioane USD | Regatul Unit, 2020

British Airways a fost amendată cu 25,85 milioane de dolari, iar 400.000 de date ale clienților lor au fost compromise în urma încălcării datelor. Amenda dată acestora de către Biroul Comisarului pentru Informații (ICO) a fost pentru slăbiciunile lor de securitate a datelor, după ce ancheta a constatat că procesaseră „o cantitate semnificativă de date cu caracter personal fără măsuri de securitate adecvate”.

Deși amenda a fost cea mai mare amendă acordată de ICO, inițial au propus o amendă de 229 de milioane de dolari înainte de a lua în considerare impactul economic pe care l-a avut Covid-19 asupra industriei aviației. ICO a acordat, de asemenea, credit lui BA pentru „îmbunătățirile considerabile ale securității sale IT” în urma atacului și pentru respectarea anchetatorilor – ambele au contribuit la scăderea totalului inițial al amenzii.

Marriott International | 23,8 milioane USD | Regatul Unit, 2020

În 2020, Hotelurile Marriott au primit o amendă de 23,8 milioane de dolari pentru o încălcare a datelor care a expus înregistrările a 339 de milioane de oaspeți, afectând 30 de milioane de utilizatori din UE. Lucrul interesant despre cazul Marriott este că încălcarea inițială a fost datată din 2014, dar nu a fost descoperită până în 2018, iar „penalizarea acoperă doar partea din încălcare care datează din 25 mai 2018 – când a intrat în vigoare GDPR. .”.

La fel ca amenda British Airways, dată cu doar câteva săptămâni înainte de amenda Marriott, guvernul Regatului Unit a redus suma totală a amenzii de la 123 de milioane de dolari din cauza impactului economic al Covid-19, precum și a eforturilor de atenuare și a conformității din partea companiei.

Google | 57 milioane USD | Franța, 2018

De la începutul GDPR, Google a fost furia autorităților franceze de reglementare a datelor. În 2018, compania a fost amendată cu 50 de milioane de euro pentru „lipsa de transparență, informații inadecvate și lipsa consimțământului valid cu privire la personalizarea reclamelor”.

Google | 121 milioane USD | Franța, 2020

La sfârșitul anului 2020, autoritățile franceze de reglementare au dat din nou Google o amendă de 100 de milioane de euro, deși Google se luptă în prezent cu această sumă în instanță. Amenda a fost pentru că, atunci când utilizatorii au vizitat google.fr, „șapte cookie-uri au fost plasate pe echipamentul lor terminal, înainte de orice acțiune din partea lor”.

Amazon | 42 milioane USD | Franța, 2020

Amazon a primit, de asemenea, o amendă de 35 de milioane de euro de către autoritățile de reglementare franceze pentru aceeași încălcare a cookie-urilor. Autoritățile franceze au stabilit că nici Google și nici Amazon nu îndeplinesc „cerința de informare prealabilă, clară și completă pentru utilizatori, nici cerința de a obține consimțământul acestora și că mecanismul de opunere a acestor cookie-uri a fost parțial defect”.

H&M | 41,3 milioane USD | Germania, 2020

În timp ce celelalte cazuri de aplicare a GDPR s-au datorat consumatorilor afectați de încălcări ale datelor și de practicile companiei, amenda lui H&M a fost pentru supravegherea ilegală a propriilor angajați în Germania.

Autoritatea pentru Protecția Datelor din Hamburg (HmbBfDI) a pronunțat amenda, cea mai mare din Germania de la implementarea GDPR, după ce s-a constatat că compania monitorizează în mod excesiv viața privată a angajaților săi. Din 2014 cel puțin, unii membri ai personalului au fost supuși „înregistrării extinse a detaliilor despre viața lor privată”.

„După absențe, cum ar fi vacanțe și concedii medicale, șefii echipei de supraveghere au condus așa-numitele discuții de bun venit cu angajații lor. După aceste discuții, în multe cazuri au fost înregistrate nu doar experiențele concrete de vacanță ale angajaților, ci și simptome de boală și diagnostice”, a spus HmbBfDI. „În plus, unii supraveghetori au dobândit cunoștințe ample despre viața privată a angajaților lor prin discuții personale și de la sol, de la detalii destul de inofensive până la probleme de familie și convingeri religioase.”

Practicile de colectare a datelor au fost expuse în octombrie 2019, după ce o eroare internă a permis ca informațiile să fie accesibile timp de câteva ore. Prof. Dr. Johannes Casper, Comisarul Hamburg pentru Protecția Datelor și Libertatea Informației, a declarat despre amendă: „Cuantumul amenzii aplicate este, prin urmare, adecvat și eficient pentru a descuraja companiile de la încălcarea confidențialității angajaților lor”.

Gândurile noastre despre GDPR

GDPR este un act progresiv și cuprinzător care stabilește un standard pentru protecția datelor care protejează consumatorii și este un lucru bun pentru indivizi. Sancțiunile sunt concepute pentru a fi proporționale și eficiente, pentru a forța companiile să vadă cât de gravă este problema protecției datelor și pentru a descuraja nerespectarea.

Sunt european, deci s-ar putea să fiu părtinitor; GDPR se aliniază cu sensibilitățile mele europene. Dar prioritățile mele sunt cu companiile cărora le ofer valoare și cred că practicile îmbunătățite de securitate a datelor sunt și în interesul lor.

Da, schimbarea ar putea avea unele dureri de început pentru companiile care nu sunt capabile să se conformeze suficient de repede sau să-și permită costul angajării de profesioniști în conformitate pentru a gestiona anumite riscuri. Totuși, amenzile sunt suficient de scumpe pentru a vă gândi să investiți în profesioniști în conformitate sau cel puțin să vă auditați riscurile existente.

Ajută ca agențiile europene de aplicare a datelor să colaboreze cu operatorii de date pentru a atenua consecințele oricăror sau potențiale încălcări. Nu este doar faptul că acordă penalități, ei doresc activ ca mediul digital să fie mai sigur, mai inteligent și mai îmbunătățit; pentru a restabili încrederea consumatorilor în spațiile digitale; și pentru a oferi utilizatorilor drepturi și protecții asupra datelor lor personale.

Cu abordarea de înscriere pentru remarketing pentru vizitatorii site-ului dvs., remarketingul ar putea deveni mai slab. Puteți fi siguri că utilizatorii de pe listele dvs. au luat o decizie conștientă de a se înscrie pentru a fi acolo. Având sisteme pentru a vă organiza și audita propriile date, de asemenea, curăță mult zgomotul din date; eliminarea datelor redundante, învechite și triviale (ROT). Datele tale vor fi de aur, vei dori să le protejezi, iar echipa ta va fi cu atât mai eficientă pentru asta.

Nu suntem avocați; nu vă putem ajuta să auditați și să atingeți conformitatea în domeniul securității cibernetice, dar putem construi un site web care va îndeplini cerințele GDPR și putem lucra alături de echipa dvs. de gestionare a datelor pentru a crea un mediu digital care va spori încrederea consumatorilor în marca dvs. și va îndeplini obiectivele dvs. de afaceri.