Il GDPR (General Data Protection Regulation) è in vigore dal 25/5/2018 e apporta cambiamenti nella gestione dei dati personali sensibili. Tuttavia, un’ampia percentuale di aziende in Grecia e in Europa non ha rispettato la nuova regolamentazione ei meccanismi di controllo sembrano impreparati.
Percentuale della classe del 20% in Grecia risulta conforme al nuovo regolamento, mentre il Il 49% ha avviato il processo di conformità. Sono stati osservati casi aziende – in piccola parte ovviamente – che non ne conoscono nemmeno l’esistenza regolamento o cosa dovrebbero fare. In Grecia ci si aspetta un voto da Parlamento del disegno di legge che regolerà le nuove competenze dell’Autorità Protezione dei dati personali, di cui è responsabile esame delle denunce, irrogazione e riscossione delle sanzioni.
Notiamo che diversi paesi dell’UE non hanno ancora approvato un nuovo disegno di legge sul GDPR, segno di una generale disponibilità al nuovo regolamento, dopotutto è una novità per tutti noi. In nessun modo voglio trasmettere che raccomando alla madre di essere inattiva. Il primo passo di questi è comprendere alcuni concetti di base e molto importanti che descrivo di seguito:
Quale è GDPR;
Il 27 aprile 2016 è stato adottato dal Regolamento del Parlamento Europeo 679/2016 o Generale Regolamento generale sulla protezione dei dati Regolamento). Il Regolamento è entrato in vigore il 5 maggio 2016 con carattere transitorio per un periodo di due anni e si applica come legge diretta (non una direttiva) a tutti gli stati membri dell’Unione Europea dal 25 maggio 2018.
La regola disciplina i diritti delle persone in relazione a:
- Il i propri dati personali.
- Il trattamento dei propri dati personali.
- Il libera e senza ostacoli la circolazione e il trasferimento del proprio personale entro i confini dell’Unione Europea.
- Il procedure per il trasferimento dei dati personali al di fuori dell’Unione Europea.
A cui Il GDPR è affrontato?
Ogni imprese private e pubbliche, nonché le autorità statali che con in qualsiasi modo gestiscono i dati personali di clienti, clienti dei propri clienti, dipendenti, collaboratori o altre persone fisiche. Come un milione Pertanto, il GDPR si applica praticamente a tutte le aziende, all’interno e all’esterno dell’Europa Unione, se i dati riguardano cittadini europei.
In base a quanto sopra, si rivolge a:
- Grande aziende e organizzazioni.
- Piccolo e medio imprese.
- Piccolo e microimprese, società di capitali e ditte individuali.
A titolo indicativo in:
- Aziende IT e servizi.
- Assicurazione società e uffici di intermediari assicurativi.
- Medico centri e cliniche.
- Aziende e aziende con forza lavoro.
- Imprese manutenzione delle telecamere di sorveglianza.
- Aziende che mantengono una clientela per scopi di marketing.
- I negozi e-shop.
Cosa definiamo “dati personali”?
I dati personali sono considerati:
- Dati identificazione (CIF, nome, età, residenza, professione, famiglia situazione ecc.).
- Certo caratteristiche, istruzione, lavoro (precedente servizio, comportamento lavorativo, ecc.).
- Economico situazione (reddito, patrimonio, comportamento finanziario).
- Interessi, attività, abitudini.
- IP Indirizzo, e-mail, cookie internet.
- GPS Posizione.
- Il preferenze mediche, religiose, politiche, erotiche, sindacali attività, ecc., sono considerati dati personali sensibili.
Elaborazione dati
È qualsiasi lavoro svolto su dati personali, quali: raccolta, registrazione, organizzazione, conservazione o modifica, modificazione, esportazione, utilizzo, trasmissione, diffusione, associazione o combinazione, interconnessione, impegno, cancellazione, distruzione.
Chi è il Titolare del trattamento?
Il Responsabile Titolare del trattamento (Titolare del trattamento) è l’ente (la persona fisica o giuridica diritto pubblico o privato) che ne precisa lo scopo, le condizioni e l’art come trattare i dati personali. Ad esempio, Processore è qualsiasi azienda, associazione, associazione ecc. chi conserva i dati personali almeno una persona fisica: i suoi funzionari o candidati, dei suoi membri, clienti, fornitori, partner e consulenti, ecc.
Chi è il Responsabile del trattamento?
L’esecutore Responsabile del trattamento (Responsabile del trattamento) è rispettivamente il soggetto che effettua il trattamento dati personali per conto del Titolare. In quanto sopra Ad esempio, il Fornitore del trattamento è, tra gli altri, il Fornitore e-mail della società, nonché elaborarla personalmente dati personali (es. dati personali in abbondanza all’interno dei curricula che i candidati inviano all’azienda). Per entità si intende una persona giuridica del settore pubblico o privato.
Cosa definiamo Consenso dell’Interessato?
Qualsiasi indicazione di volontà, libera, specifica, esplicita e pienamente consapevole, con la quale l’interessato esprime il proprio consenso, con una dichiarazione o con un chiaro atto positivo, al trattamento dei dati personali che lo riguardano.
Violazione di un dato carattere personale
Violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illegale ai dati personali trasmessi, archiviati o altrimenti elaborati.
Cosa facciamo se si verifica una violazione dei dati?
Se questo accade, e la violazione rischia di mettere a repentaglio i diritti e libertà di un individuo, l’azienda o l’organizzazione deve notificare l’autorità di controllo senza indebito ritardo e al massimo entro 72 ore dopo aver realizzato la violazione. Se l’azienda o l’organizzazione è l’esecutore testamentario trattamento, deve informare il titolare del trattamento qualsiasi violazione dei dati.
Il DPO (Dati Protection Officer) e chi è tenuto a nominare un DPO?
Il Responsabile La protezione dei dati (DPO) facilita la conformità del responsabile del trattamento e il responsabile del trattamento ai sensi delle disposizioni del Regolamento Generale per Protezione dei dati e mediatori tra i vari stakeholder (es. responsabili, interessati) Il suo ruolo è consultivo (non determinante) e non si assume alcuna responsabilità personale per il mancato rispetto Regolamento.
La definizione di DPO è obbligatoria quando:
- IL il trattamento è svolto da una pubblica autorità o da un ente pubblico (inclusi e le persone fisiche o giuridiche di diritto pubblico o privato energia). I tribunali sono esclusi quando agiscono sotto la loro giurisdizione competenza.
- Necessario monitoraggio regolare e sistematico degli interessati su larga scala scala (es. servizi assicurativi o bancari, servizi telefonici o Sicurezza Internet, tutte le forme di sorveglianza e creare “profili” su Internet, conservando elementi come razziali o origine etnica, opinioni politiche, credenze religiose o filosofiche, partecipazione al sindacalismo organizzazione, dati genetici o biometrici a fini indiscutibili identificazione del volto, ad esempio per scopi di pubblicità comportamentale).
- Viene eseguito trattamento su larga scala di categorie specifiche di dati (ad es. nel contesto prestazione di servizi sanitari da parte degli ospedali) o dati personali che riguardano condanne penali e reati.
- Organizzazioni impiegando più di 200 dipendenti.
- Organizzazioni manutenzione di un sistema di telecamere e videosorveglianza.
Fasi e fasi di conformità
- Formazione scolastica/ Consapevolezza: è il più basilare e il tallone d’Achille di tutti organismi per una possibile perdita. Dovrebbe essere adottato e consolidato completamente personale il concetto di GDPR e le normative di protezione dati personali. Per coltivare e sviluppare pienamente questo mentalità, ‘mentalità’ è la parola chiave.
- Dati Mapping: raccolta dati e registrazione dei punti di conservazione personale Dati
- Spacco Piano di analisi e conformità: analisi delle carenze e deviazioni, identificazione deviazioni e riscontrate carenze o incompatibilità di procedure in in relazione all’obiettivo perseguito del pieno rispetto di tutti gli articoli del GDPR.
- Rischio Valutazione: valutazione del rischio dei fattori di rischio, che minacciano il Dati Personali detenuti dalla società.
- Privacy Piano di protezione: progettazione di un programma di protezione dei dati personali.
- Privacy Valutazione dell’impatto (PIA): stesura di uno studio sull’impatto sulla privacy
- Scrivere o correzione di procedure incomplete: sviluppo di standard tecnici o legali supporto e attuazione della stessa.
a attuare tutto quanto sopra ti consiglio di consultare il tuo avvocato consulente, che La informerà con competenza, fornendo il necessario chiarimenti e interpretazioni che riguardano specificamente la vostra azienda. Per implementazione tecnica, avrai bisogno di consulenti IT, che lo faranno attuare con strumenti, misure e politiche di sicurezza e protezione adeguati dati e la loro crittografia.
Quali sono le multe?
Le multe che previste dal Regolamento Generale sono elevate. Il massimo ammonta a 20 milioni. o il 4% del fatturato globale dell’anno precedente esercizio finanziario, se si tratta di un’impresa, a seconda di quale sia il valore più alto.
Questa bene possono essere comminate per gravi violazioni del Regolamento di procedura, quali: violazioni in materia di consenso dell’interessato, i principi base della protezione dei dati, trasferimento dati di cittadini europei al di fuori dell’Europa, mancato rispetto indicazioni delle Autorità di Vigilanza.
Ci sono anche casi in cui è prevista una multa di 10 milioni. o il 2% del fatturato annuo globale – a seconda di quale dei due è maggiore – ad esempio: non conformità con i registri organizzati, non divulgazione di violazioni della sicurezza, mancata definizione dei DPO ove richiesto, mancata conduzione della Valutazione d’Impatto, implementazione incompleta o assenza di competenze tecniche e organizzative misure per garantire la protezione dei dati.
Consigli utili per le attività di ristorazione
- Se impiega oltre 200 persone o dispone di un sistema di telecamere Sarà necessario impostare un DPO e segnalarlo all’Autorità Informativa sulla privacy immediatamente.
- Il I sistemi di Telecamera-Videosorveglianza non devono coprire aree comuni, tavoli clienti, luoghi di lavoro e raduno del personale (cucina, spogliatoi ecc.), non dovrebbe essere ad alta definizione, zoom avanti, ruotare e avere una vista di strade e marciapiedi.
- Nomi le telecamere possono coprire ingressi e uscite e registratori di cassa. È vietato mantenere la registrazione delle telecamere per più di 30 giorni. Anzi in questo caso esiste un grave rischio di risoluzione.
- Attenzione con i dettagli che conservi dei dipendenti online e offline, ad esempio CV, e-mail, buste paga, invio dati a enti pubblici, nelle loro caratterizzazioni, conservazione delle cartelle cliniche da possibili malattie del passato.
- Attenzione nei dati dei clienti, e caratterizzandoli in base ad alcune abitudini, per esempio di eventuali allergie o preferenze che si sono verificate durante passato. E-mail che sono probabilmente archiviate in un database per scopi marketing o per annunci tramite i social media.
- Se sito Web ufficiale mantenuto, è necessario impostare le politiche di sicurezza privacy e consenso del visitatore in merito a cookie ed eventuali dati inseriti.
Fonte: grillmagazine.gr