Yleisimmät GDPR-virheet – mitä ne ovat?

Palvelus

Vaikka GDPR-säännösten voimaantulosta on kulunut yli vuosi, niiden soveltaminen herättää edelleen monia epäilyksiä. Suosituimmat GDPR:a koskevat myytit koskevat niiden säännösten ja vaatimusten soveltamisalaa, jotka yrittäjän on täytettävä voidakseen suojata henkilötietoja asianmukaisesti. Mitkä ovat yleisimmät GDPR-virheet?

GDPR on vain Euroopan unionin laki

Lyhenne GDPR tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta sekä direktiivin 95//EY kumoamisesta. 46 / EY (yleinen tietosuojaasetus). Se on Euroopan unionin hyväksymä säädös, mutta sillä on suuri merkitys kaikkialla maailmassa (tunnetaan ulkomailla lyhenteellä GDPR). Myytti: GDPR:n määräykset ovat vain Euroopan unionin käyttöön ottamia määräyksiä, niiden soveltamisella Puolassa ei ole merkitystä.
Totta: GDPR on voimassa koko Euroopan unionin alueella, myös Puolassa. Henkilötietojen suojaa koskevia sääntöjä Puolassa säännellään lisäksi henkilötietojen suojasta annetun lain säännöksillä. Elin, joka on nimetty valvomaan GDPR-säännösten noudattamista Puolassa, on henkilötietosuojaviraston johtaja. GDPR koskee Euroopan unionin aluetta. Jokaisella jäsenvaltiolla on ollut velvollisuus ottaa käyttöön omat sääntönsä, jotka säätelevät ja määrittelevät henkilötietojen suojan periaatteet tietyssä valtiossa. Puolassa tämä laki on henkilötietojen suojaa koskeva laki - jokaisen yrittäjän tulee lukea tämä asiakirja. Määräysten noudattamista valvova elin on henkilötietosuojaviraston pääjohtaja, joka vastaa GDPR:ään liittyvistä hallinnollisista menettelyistä Puolassa (esimerkiksi luonnollisten henkilöiden henkilötietojen käsittelyn sääntöjenvastaisuuksiin liittyvien valitusten tutkiminen) , sertifiointi, koulutustoiminnan järjestäminen, seuraamusten määrääminen jne. ).

Toisin kuin yleisesti ajatellaan, GDPR koskee myös Euroopan unionin ulkopuolelle sijoittautuneita tahoja, jos ne käsittelevät EU:ssa olevien luonnollisten henkilöiden tietoja jossain määrin.

GDPR ei tarkoita yhtä turvakaavaa

GDPR:n säännökset osoittavat vain henkilötietojen suojan tarpeeseen liittyvät yleiset tavoitteet ja toimintaperiaatteet. Ne eivät edellytä yhtä tietojenkäsittelymenettelyä kaikille yksiköille. Myytti: GDPR tarkoittaa monimutkaista tietojenkäsittelymenettelyä, johon jokaisen yrittäjän on sopeuduttava.
Totuus: Jokainen yrittäjä päättää itse, mitkä suojamekanismit ottaa käyttöön yritykseensä. Suojausmenetelmän valinta riippuu käsiteltyjen tietojen tyypistä ja laajuudesta.

Vaikka GDPR:n säännökset viittaavat yksittäisiin työkaluihin henkilötietojen suojaamiseksi (esim. anonymisointi ja pseudonymisointi) ja asettavat myös rajoituksia tiettyjen tietoluokkien (esim. biometristen tietojen) käsittelylle, ne jättävät suojatavan valinnan. tietojen käsittelijälle. Tästä syystä jokaisen yrittäjän tulee ennen tiettyjen ratkaisujen soveltamista tehdä auditointi, jonka avulla voidaan arvioida tallennetut tiedot, niiden lukumäärä ja tyyppi sekä suojaustarpeet.

GDPR kattaa paitsi asiakasdatan, eli yleisimmät GDPR-virheet

Tietosuoja koskee luonnollisten henkilöiden tietoja riippumatta siitä, miten elinkeinonharjoittaja saa tiedot ja millainen suhde tietoja käsittelevään elinkeinonharjoittajaan on. Myytti: GDPR koskee vain kuluttajatietoja.
Totuus: GDPR:n määräykset suojaavat kaikkien luonnollisten henkilöiden tietoja, mukaan lukien asiakkaat, työntekijät ja muut yrittäjät.

Asetuksen määritelmän mukaan henkilötiedoilla tarkoitetaan tietoja tunnistetusta tai tunnistettavissa olevasta luonnollisesta henkilöstä. Tunnistaminen voi olla suoraa tai epäsuoraa (esimerkiksi tunnistenumeron, sijaintitietojen, online-tunnisteiden tai muiden erityisten tekijöiden avulla). Sillä luonteella, jolla tietty luonnollinen henkilö toimii suhteessa yrittäjään, ei ole väliä – he voivat olla asiakkaita, työntekijöitä tai urakoitsijoita. Jälkimmäinen näistä luokista saattaa herättää epäilyksiä, mutta on syytä olettaa, että liikesuhteessa pysyminen henkilötietoja käsittelevän yrittäjän kanssa ei estä luonnolliselta henkilöltä oikeutta suojata henkilötietojaan. Esimerkkejä ovat yrittäjät-luonnolliset henkilöt, jotka harjoittavat yksityistä elinkeinonharjoittajaa tai yhtiömiehiä.

GDPR toimii myös yritysten välillä

Monet yrittäjät uskovat virheellisesti, että henkilötietojen suojan periaatteita tulee toteuttaa vain yrittäjän ja luonnollisen henkilön (esimerkiksi työntekijän tai asiakkaan) välillä. Tällainen toiminta ei ole oikein, koska tarve suojata henkilötietoja syntyy jokaisessa tapauksessa, jossa luonnollisen henkilön tietoja käsitellään, vaikka käsittely tapahtuisi ilman kyseisen henkilön suoraa osallistumista. Myytti: GDPR toimii vain suorissa suhteissa yrittäjän ja luonnollisen henkilön välillä.
Totta: Henkilötietojen suojaa koskevia säännöksiä sovelletaan kaikissa tapauksissa, joissa käsitellään luonnollisten henkilöiden tietoja - myös silloin, kun näiden henkilöiden tietoja siirretään yrittäjien välillä.

Erittäin usein luonnollisten henkilöiden henkilötietojen käsittely tapahtuu ilman rekisteröityjen välitöntä osallistumista – esimerkiksi silloin, kun yrittäjä käyttää ulkopuolisten tahojen (esim. rekrytointiyhtiöt, tilitoimistot, markkinointiyritykset jne.) tarjoamia palveluita. . Jos yrittäjä luovuttaa luonnollisten henkilöiden tietoja toiselle yrittäjälle, näitä tietoja käsitellään edelleen. Tällainen toiminta laukaisee tarpeen tehdä sopimus henkilötietojen uskomisesta sekä suorittaa muut tarpeelliset toimenpiteet, jotka liittyvät tarpeeseen varmistaa siirrettyjen tietojen asianmukainen turvallisuustaso (esimerkiksi asianmukaisen tietoturvan käyttö).

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Kaikissa tapauksissa ei vaadita henkilön suostumusta

Yleisen mielipiteen mukaan GDPR edellyttää suostumuksen saamista henkilötietojen käsittelyyn jokaiselta luonnolliselta henkilöltä, jonka tietoja yrittäjä käsittelee, ja jokaisessa käsittelyssä. Tämä ei pidä paikkaansa - asetuksen säännöksissä säädetään useista tapauksista, joissa suostumusvaatimusta ei sovelleta. Myytti: Henkilötietoja voidaan käsitellä vain rekisteröidyn suostumuksella.
Totta: GDPR sisältää luettelon ehdoista, jotka on täytettävä, jotta tietojen käsittely olisi laillista. Yksilön suostumus on yksi niistä, mutta ei ainoa. Tarve täyttää sopimus oikeuttaa myös luonnollisen henkilön henkilötietojen käsittelyn.

Taiteen tarjoaminen. GDPR:n 16 § sisältää luettelon ehdoista, jotka on täytettävä henkilötietojen lailliselle käsittelylle. Luettelo on yksinomainen, mutta se riittää täyttämään vain yhden asianmukaisen käsittelyn ehdoista. Luonnollisen henkilön suostumuksen lisäksi tärkein edellytys on sopimuksen täyttämisen tarve. Asetuksen mukaan käsittely on laillista silloin, kun se on "Tarvittava sellaisen sopimuksen täyttämiseksi, jossa rekisteröity on osapuolena, tai toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä ennen sopimuksen tekemistä."

Edellä esitetystä seuraa, että jos yrittäjä tekee asiakkaan kanssa esimerkiksi myyntisopimuksen ja hänen asiakkaansa henkilötietojen hankkiminen on välttämätöntä sopimuksen toteuttamiseksi (esimerkiksi osoitetietojen hankkiminen on tarpeen hänen ostamiensa tavaroiden lähettämiseksi ostaja), yrittäjän ei tarvitse hankkia erillistä suostumusta tietojen käsittelyyn. Sama koskee yrittäjän tarjousta koskevien tietojen lähettämistä, jos aloite tiedon hankkimiseksi tulee mahdolliselta asiakkaalta. Jos yrittäjä kuitenkin harjoittaa markkinointia, joka koostuu tarjouksen lähettämisestä henkilölle, joka ei ole pyytänyt näitä tietoja, hänen on saatava suostumus henkilötietojensa käsittelyyn.