Millä tavoin yritysten tulisi varmistaa asiakkaidensa henkilötietojen suoja GDPR:n mukaisesti?
GDPR on eurooppalainen asetus, jonka tarkoituksena on suojella Euroopan unionin kansalaisten henkilötietoja. Se koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät Euroopan unionin alueella asuvien henkilöiden henkilötietoja käsittelypaikasta riippumatta.
Nykypäivän digitaaliaikana henkilötietojen tietoturvaloukkauksista on tullut arkipäivää, mikä heikentää oikeuttamme yksityisyyteen. Yleinen tietosuoja-asetus (GDPR), vuoden 2016 eurooppalainen asetus, on asetus laajamittainen eurooppalainen aloite, jonka tarkoituksena on vastata henkilötietojen ja yksityisyyden loukkaamisen riskiin.
Yleinen tietosuoja-asetus (GDPR) on eurooppalainen säädösteksti, joka säätelee henkilötietojen käsittelyä. Sen tarkoituksena oli vahvistaa yksilöiden oikeuksia, mutta myös pakottaa yritykset ottamaan uutta vastuuta tietosuojasta. Tässä mielessä jokaisen yrityksen on toteutettava toimenpiteitä turvallisuuden takaamiseksi henkilökohtaiset tiedot asiakkaistaan. Mutta miten se sitten tehdään?
1. Tunnista kerätyt tiedot
Olennaista on tunnistaa, mitä tietoja kerätään, miksi niitä kerätään, miten niitä säilytetään, kenellä on pääsy niihin ja miten niitä suojataan.
Heti kun yritys kerää henkilökohtaiset tiedot, asiakkaalle on ilmoitettava.
Tämä lähestymistapa on välttämätön siltä osin kuin asiakkaalla, luonnollisella henkilöllä, on oikeus peruuttaa, peruuttaa ja oikaista kerätyt tiedot.
Yrityksen on tarkistettava useita kohtia:
- että käsitellyt tiedot ovat toiminnan kannalta tarpeellisia: GDPR asetetaan suhteellisuussuhde tietojen käsittelyn ja asetettujen tavoitteiden välille
- ettei arkaluonteisia tietoja käsitellä lääketieteellisinä tietoina,
- että vain valtuutetuilla henkilöillä on pääsy henkilötietoihin riippuen tavoitellusta tavoitteesta. Esimerkiksi yhteisomistuksessa vain liiton neuvostolla on oikeus päästä videovalvontakameroihin,
- että tietoja ei säilytetä enempää kuin on tarpeen: jälleen kerran on kysymys suhteellisuudesta.
2. Tarve nimittää tietosuojavastaava (DPO)
Tietosuojavastaavan (DPO) nimittäminen on GDPR-vaatimus tietyille yrityksille, erityisesti niille, jotka käsittelevät tietoja suuressa mittakaavassa tai käsittelevät erityisiä tietoluokkia.
Tietosuojavastaavan tehtävänä on varmistaa GDPR:n tehokas ja tiukka soveltaminen. Se auttaa yrityksiä henkilötietojen hallinnassa ja siinä, miten minun tulisi käsitellä henkilötietoloukkauksia.
3. Asiakkaiden tiedottaminen heidän oikeuksistaan, erityisesti yleisten henkilötietojen suojaehtojen tai yleisten käyttöehtojen kautta
GDPR on vahvistanut rekisteröityjen tietosuojaoikeuksia. Yritykset ovat velvollisia antamaan selkeät ja helposti saatavilla olevat tiedot oikeuksistaan, mukaan lukien oikeus päästä käsiksi tietoihinsa, oikaista ne, pyytää niiden poistamista, vastustaa niiden käsittelyä, rajoittaa sen käsittelyä ja pyytää niiden siirrettävyyttä.
Asiakkaita informoidaan myös heidän mahdollisuudestaan pyytää henkilötietojensa oikaisua.
Tiedot kattavat:
- henkilötietojen keräämisen tarkoitus
- joka antaa luvan henkilötietojen keräämiseen (oikeutettu etu). Esimerkki: uskollisuus
- Kuka on henkilö, jolla on pääsy näihin tietoihin?
- henkilötietojen säilytyksen kesto
- tapa, jolla ihmiset pääsevät käsiksi tietoihinsa (kirjattuna kirjeenä tai sähköpostitse
Asiakkaiden on täytynyt antaa suostumuksensa. Tämä on perustavanlaatuinen asia GDPR henkilötietojen suojaamiseksi.
4. Ota käyttöön erittäin vahvat turvatoimenpiteet työmaatasolla
Yrityksillä on velvollisuus toteuttaa vankat turvatoimet tietojen suojaamiseksi henkilökohtainen katoamista, muutosta ja luvatonta käyttöä vastaan tai jopa hakkereita vastaan (salasana henkilökohtaiseen tilaan pääsyä varten, palomuuri, virustorjunta jne.).
5. Käytä menettelyä tietoturvaloukkauksen varalta
Tietomurron sattuessa GDPR vaatii yrityksiä ilmoittamaan asiasta valvontaviranomaiselle 72 tunnin kuluessa. Siksi on tärkeää, että yrityksillä on käytössään menettely tietoturvaloukkausten havaitsemiseksi, raportoimiseksi ja tutkimiseksi.
5. Kuinka paljon a GDPR-lakimies ?
GDPR-lakimiehen hinta vaihtelee useiden tekijöiden mukaan.
Perusperiaate on tietysti, että kustannukset vaihtelevat työn ja käytetyn ajan mukaan.
Yksinkertaisin asia on neuvotella Me Zakinen, GDPR-lakimiehen kanssa. Hinta 120 euroa. Hän osaa jo opastaa sinua ja käy läpi tärkeimmät perusasiat kanssasi.
Pyydän sinua lukemaan FAQ:n syystä, joka selittää, miksi ensimmäinen konsultaatio on maksullinen (koska ensimmäisen konsultaation aikana Me Zakine alkaa opastaa sinua polullasi).
Kuten GDPR-lakimiehenä, Maître Zakine tukee sinua kaikissa vaiheissa yrityksesi saattamiseksi GDPR:n mukaiseksi. Hän neuvoo sinua rekisterinpitäjänä koskevissa velvollisuuksissa ja avustaa asiakirjojen laadinnassa.
Lue myös Me Zakinen verkkosivuilta : Kun yksityisyyden ja henkilötietojen suojasta tulee Euroopan unionin asia
Voit myös konsultoida : Maître Zakine asianajaja GDPR – Henkilötiedot
Katso myös:Työntekijöiden henkilötietojen suojaaminen
Usein kysytyt kysymykset
Quelles sont les obligations des entreprises pour protéger les données personnelles des clients selon le RGPD ?
Les entreprises doivent recueillir un consentement explicite des clients avant de traiter leurs données, limiter la conservation dans le temps, sécuriser les données par des mesures techniques et organisationnelles, et permettre aux clients d’accéder, rectifier ou supprimer leurs données.
Puis-je demander la suppression de mes données personnelles auprès d’une entreprise ?
Oui, en vertu du droit à l’effacement (droit à l’oubli), vous pouvez demander la suppression de vos données si elles ne sont plus nécessaires ou si vous retirez votre consentement. L’entreprise doit répondre dans un délai d’un mois.
Quels sont les délais pour qu’une entreprise réponde à une demande d’accès aux données ?
L’entreprise doit répondre à votre demande d’accès dans un délai d’un mois, prolongeable de deux mois en cas de complexité. La réponse est généralement gratuite, sauf en cas de demandes abusives.
Que faire si une entreprise ne respecte pas le RGPD ?
Vous pouvez déposer une réclamation auprès de la CNIL (Commission nationale de l’informatique et des libertés) en France. Un avocat spécialisé peut vous assister dans cette démarche et évaluer les recours possibles.
Combien coûte une consultation avec un avocat pour une question de RGPD ?
Les honoraires varient selon la complexité du dossier. Une première consultation avec Me Zakine est facturée entre 200 et 400 euros TTC. Un devis personnalisé vous sera remis après analyse de votre situation.
