Що має містити розкриття інформації?

Стоїмо перед Розкриття інформації GDPR із середньою частотою 3-4 рази на добу.

Якщо ви перебуваєте в режимі навігації, навіть більше. Цей нескінченний безлад "написаних речей" зобов'язаний повідомити користувача до того, як сайт почне збирати його особисті дані. Ця інформація може бути надана в усній або письмовій формі, але завжди повинна відповідати нормам GDPR.

Те, як різні компанії підходять до цієї інформації, багато говорить про них самих здатність працювати з європейським регламентом а також їх здатність і готовність інвестувати час і ресурси в цьому відношенні. Оскільки GDPR з’явився відносно недавно, в Італії GDPR ще не застосовувався всіма веб-сайтами, які мали б це зробити. Тож ми опиняємось із просторами, які їх повністю позбавлені. Крім того, є інші веб-майстри, які запанікували і, щоб мати правила щодо даних, вирішили викинути три-чотири слова, десь плагіату, і створити міні-вікно схвалення для користувача. Два-три рядки, тому що «сайт і так маленький, ніхто його не відвідує, мені не потрібно там годинами сидіти і витрачати гроші на адвоката». А ще є герої без накидок, ті, хто копіює правила великих компаній і видає їх за них.

Всі ці три підходи, звичайно, по-своєму неправильні. Що має містити інформація про обробку персональних даних?

Що містить розкриття інформації GDPR?

Статті 13 і 14 Європейського Регламенту 16/679 забезпечують з максимальною точністю весь вміст, який необхідно включити в обов’язковій основі до розкриття ваших персональних даних. Серед цієї інформації згадуємо:

  • зацікавлена ​​сторона. Фізична особа, яка володіє персональними даними, яка збирається натиснути на ваш сайт і стикається з вашим GDPR.
  • Хто проводить лікування. Суб’єкт, який обробляє дані фізичної особи, контролер даних або його представник.
  • Адреса ДПО. DPO (Офіцер із захисту даних) — це особа, відповідальна за захист персональних даних, нова цифра, введена GDPR. Це технічний та юридичний консультант, завданням якого є навчання власника, керівника та працівників з метою забезпечення дотримання ними норм законодавства. DPO є обов’язковим не для всіх, а лише для тих, основною діяльністю яких є регулярний і систематичний моніторинг суб’єктів даних у великих масштабах. Наприклад, банки, страхові компанії, кафе, лікарні…
  • Які процедури проводяться і чому.
  • Яка правова основа лікування. Ви хочете обробити дані зацікавленої сторони. На якій правовій підставі ви можете це зробити? Відповідно до GDPR кожна організація повинна визначити основу, на якій базується збір даних, що є фундаментальним кроком для суб’єкта даних. Дійсно, права людей залежать від правової основи, обраної для обробки їхніх даних!
  • Які дані збираються? Під «персональними даними» ми маємо на увазі всю інформацію, яка веде до однієї особи через її стосунки, характеристики, звички чи спосіб життя. До них входять ідентифікаційна інформація (ім’я, прізвище, адреса), конфіденційні дані (релігійна чи сексуальна орієнтація), судова інформація (поточні чи минулі судові процеси), нові технологічні дані (електронна адреса чи IP-адреса). Хороший GDPR завжди вказує, які дані з них збираються!
  • Чи передбачає обробка профілювання? Ви повинні це вказати. Профілювання — це автоматизована процедура збору даних, яка дозволяє аналізувати їх і розміщувати за категоріями чи групами, щоб мати можливість робити оцінки чи прогнози.
  • Чи передаються дані зовнішнім сторонам? У розкритті інформації має бути зазначено, чи є зовнішні менеджери, крім контролера даних.
  • Як довго та як зберігаються дані. Вони зберігаються в хмарі? На аркуші Excel? Як довго вони зберігаються?
  • Чи передаються дані в іншу країну? Розголошення має повідомляти, якщо персональні дані передаються до країн за межами Європейського Союзу.
  • Які права має зацікавлена ​​сторона?

GDPR встановлює, що суб’єкт даних має права:

  1. право на отримання інформації про те, як і чому обробляються ваші дані
  2. право доступу до ваших даних
  3. право на виправлення ваших даних
  4. право на видалення даних власником і менеджерами
  5. право на перенесення даних, тобто вимагати, щоб дані були або передані безпосередньо іншій компанії, коли це технічно можливо
  6. право на заперечення, тобто вимагати від організації, яка обробляє персональні дані – на підставі її власного законного інтересу або в рамках діяльності, що становить суспільний інтерес, або для офіційної влади – не використовувати їх
  7. право не піддаватися автоматизованому вибору, такому як профілювання
Навчання