Biežākās GDPR kļūdas – kas tās ir?

Apkalpošana

Lai gan ir pagājis vairāk nekā gads kopš GDPR noteikumu stāšanās spēkā, to piemērošana joprojām rada daudz šaubu. Populārākie mīti saistībā ar GDPR attiecas uz to noteikumu un prasību piemērošanas jomu, kas jāievēro uzņēmējam, lai personas dati tiktu pienācīgi aizsargāti. Kādas ir visizplatītākās GDPR kļūdas?

GDPR ir tikai Eiropas Savienības tiesību akti

GDPR saīsinājums apzīmē Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un Direktīvas 95/ 46 / EK (vispārīga regula par datu aizsardzību). Tas ir Eiropas Savienības pieņemts, bet ļoti nozīmīgs visā pasaulē tiesību akts (ārzemēs pazīstams ar saīsinājumu GDPR). Mīts: GDPR noteikumi ir tikai noteikumi, ko ieviesusi Eiropas Savienība, to piemērošanai Polijā nav nozīmes.
Tiesa: GDPR ir spēkā visā Eiropas Savienības teritorijā, arī Polijā. Personas datu aizsardzības noteikumus Polijā papildus regulē Likuma par personas datu aizsardzību noteikumi. Iestāde, kas iecelta, lai kontrolētu atbilstību VDAR noteikumiem Polijā, ir Personas datu aizsardzības biroja prezidents. GDPR attiecas uz Eiropas Savienības teritoriju. Katrai no dalībvalstīm ir bijis pienākums pieņemt savus noteikumus, kas regulē un precizē personas datu aizsardzības principus konkrētajā valstī. Polijā šis likums ir Likums par personas datu aizsardzību — šis dokuments ir jāizlasa ikvienam uzņēmējam. Noteikumu ievērošanas kontrolei izraudzītā iestāde ir Fizisko personu datu aizsardzības biroja prezidents, kurš ir atbildīgs par administratīvo procedūru veikšanu saistībā ar GDPR Polijā (piemēram, izskata fizisku personu sūdzības par pārkāpumiem viņu personas datu apstrādē). , sertifikācija, izglītojošu pasākumu vadīšana, sodu uzlikšana utt.).

Pretēji izplatītajam viedoklim GDPR attiecas arī uz ārpus Eiropas Savienības esošajām struktūrām, ja tās jebkādā apjomā apstrādā fizisku personu datus ES.

GDPR nenozīmē vienu drošības formulu

GDPR nosacījumi norāda tikai vispārīgos mērķus un darbības principus, kas saistīti ar nepieciešamību aizsargāt personas datus. Tie nenosaka vienotu datu apstrādes procedūru visām vienībām. Mīts: GDPR nozīmē sarežģītu datu apstrādes procedūru, kurai jāpielāgojas ikvienam uzņēmējam.
Patiesība: katrs uzņēmējs pats izlemj, kādus aizsardzības mehānismus ieviest savā uzņēmumā. Aizsardzības metodes izvēle ir atkarīga no apstrādāto datu veida un apjoma.

Lai gan GDPR noteikumi attiecas uz individuāliem personas datu aizsardzības rīkiem (piemēram, anonimizācija un pseidonimizācija), kā arī nosaka ierobežojumus konkrētu datu kategoriju (piemēram, biometrisko datu) apstrādei, tie atstāj iespēju izvēlēties aizsardzības metodi. datu apstrādātājam. Šī iemesla dēļ katram uzņēmējam pirms konkrētu risinājumu piemērošanas ir jāveic audits, kas ļauj novērtēt glabājamo datu apjomu, skaitu un veidu, kā arī aizsardzības vajadzības.

GDPR aptver ne tikai klientu datus, t.i., visbiežāk sastopamās GDPR kļūdas

Datu aizsardzība attiecas uz fizisko personu datiem neatkarīgi no tā, kā tirgotājs iegūst to datus, un neatkarīgi no attiecību veida ar tirgotāju, kas apstrādā datus. Mīts: GDPR attiecas tikai uz patērētāju datiem.
Patiesība: GDPR noteikumi aizsargā visu fizisko personu, tostarp klientu, darbinieku un citu uzņēmēju, datus.

Saskaņā ar regulā sniegto definīciju ar personas datiem jāsaprot informācija par identificētu vai identificējamu fizisku personu. Identifikācija var būt tieša vai netieša (piemēram, izmantojot identifikācijas numuru, atrašanās vietas datus, tiešsaistes identifikatorus vai citus īpašus faktorus). Tam, kādā veidā konkrētā fiziskā persona rīkojas attiecībās ar uzņēmēju, nav nozīmes – tie var būt klienti, darbinieki vai darbuzņēmēji. Pēdējā no šīm kategorijām var radīt šaubas, tomēr jāpieņem, ka palikšana darījuma attiecībās ar uzņēmēju, kas apstrādā personas datus, neatņem fiziskai personai tiesības aizsargāt savus personas datus. Kā piemērus var minēt uzņēmējus - fiziskas personas, kas veic individuālo uzņēmumu, vai personālsabiedrības.

GDPR darbojas arī starp uzņēmumiem

Daudzi uzņēmēji maldīgi uzskata, ka personas datu aizsardzības principi ir jāīsteno tikai starp uzņēmēju un fizisko personu (piemēram, darbinieku vai klientu). Šāda rīcība nav pareiza, jo nepieciešamība aizsargāt personas datus rodas katrā gadījumā, kad tiek apstrādāti fiziskās personas dati, pat ja apstrāde notiek bez šīs personas tiešas līdzdalības. Mīts: GDPR darbojas tikai tiešās attiecībās starp uzņēmēju un fizisku personu.
Taisnība: Personas datu aizsardzības noteikumi ir spēkā ikvienā gadījumā, kad tiek apstrādāti fizisko personu dati - arī tad, kad šo personu dati tiek nodoti starp uzņēmējiem.

Īpaši bieži fizisko personu personas datu apstrāde notiek bez datu subjektu tiešas iesaistīšanas – piemēram, uzņēmējam izmantojot ārēju subjektu (piemēram, personāla atlases uzņēmumu, grāmatvedības biroju, mārketinga uzņēmumu u.c.) piedāvātos pakalpojumus. . Ja uzņēmējs fizisko personu datus nodod citam uzņēmējam, šie dati tiek apstrādāti tālāk. Šāda darbība izraisa nepieciešamību noslēgt līgumu par personas datu uzticēšanu, kā arī veikt citas nepieciešamās procedūras, kas saistītas ar nepieciešamību nodrošināt pārsūtītos datus ar atbilstošu drošības līmeni (piemēram, atbilstošas ​​IT drošības izmantošanu).

Sāciet bezmaksas 30 dienu izmēģinājuma periodu bez jebkādām prasībām!

Personas piekrišana nav nepieciešama visos gadījumos

Saskaņā ar izplatīto viedokli GDPR pieprasa saņemt piekrišanu personas datu apstrādei no katras fiziskās personas, kuras datus apstrādā uzņēmējs, un katrā apstrādes gadījumā. Tā neatbilst patiesībai – regulas noteikumi paredz virkni gadījumu, kad piekrišanas prasība nav piemērojama. Mīts: personas datu apstrāde var notikt tikai uz datu subjekta piekrišanas pamata.
Taisnība: GDPR satur nosacījumu sarakstu, kas jāievēro, lai datu apstrāde būtu likumīga. Indivīda piekrišana ir viena no tām, bet ne vienīgā. Nepieciešamība izpildīt līgumu leģitimizē arī fiziskās personas personas datu apstrādi.

Mākslas nodrošināšana. VDAR 16. pantā ir ietverts to nosacījumu saraksts, kas jāievēro, lai personas dati tiktu apstrādāti likumīgā veidā. Saraksts ir ekskluzīvs, taču pietiek ar to, lai atbilstu tikai vienam no pareizas apstrādes nosacījumiem. Papildus fiziskās personas piekrišanai svarīgākais nosacījums ir līguma izpildes nepieciešamība. Saskaņā ar regulu apstrāde ir likumīga, ja tā ir “Nepieciešams, lai izpildītu līgumu, kura puse ir datu subjekts, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas”.

No minētā izriet, ka gadījumā, ja uzņēmējs noslēdz ar klientu, piemēram, pārdošanas līgumu un līguma izpildei ir nepieciešama sava klienta personas datu iegūšana (piemēram, adreses datu iegūšana nepieciešama, lai viņa iegādātās preces nosūtītu uz pircējs), uzņēmējam nav jāsaņem atsevišķa piekrišana datu apstrādei.personas. Līdzīgi ir arī informācijas nosūtīšanas gadījumā par uzņēmēja piedāvājumu, ja iniciatīva šīs informācijas iegūšanai nāk no potenciālā klienta. Taču, ja uzņēmējs veic mārketinga aktivitātes, kas sastāv no piedāvājuma nosūtīšanas personai, kura šo informāciju nav pieprasījusi, tad viņam ir jāsaņem viņa piekrišana savu personas datu apstrādei.