Sisu
- Kus seda kohaldatakse ja milline on selle mõju?
- Kuidas demonstreerivad ettevõtted GDPR-i järgimist?
- See seisneb üksikisikute andmete privaatsusõiguste kaitsmises!
Allikas: Stanislau V / Dreamstime.com
Ära võtma:
See, et teie ettevõte ei asu ELis, ei tähenda, et GDPR ei kehti teie kohta. Iga üksus, kes haldab ELi kodanike andmeid, kuulub selle määruse alla.
Paljud on kuulnud lühendit „GDPR” korduvalt, kuid ei mõista määrust ega tunne, et see ei kehti nende organisatsiooni kohta, kuna see on Euroopa Liidu seadus. Üllataval kombel võidakse siin asuvates USA-s asuvatele ettevõtetele isegi mitte asukohtade ja sidusettevõteteta ELis rikkumiste eest kopsakaid trahve määrata.
Lisaks maine kahjustamise ohule võib GDPR-i mittejärgimisel olla ka olulisi rahalisi tagajärgi. Andmekaitse järelevalveasutused võivad määrata haldustrahve kuni 20 miljonit eurot ehk 4 protsenti kogu kogukäibest. See peaks tekitama muret ja muutma GDPR-i järgimise ülimalt oluliseks organisatsiooni juhtimisel. (GDPR-i mittejärgimine võib muuta teid ka küberkuritegevuse sihtmärgiks. Lisateave jaotises Kuidas küberkurjategijad kasutavad GDPR-i ettevõtete väljapressimiseks.)
Kus seda kohaldatakse ja milline on selle mõju?
Üldine andmekaitsemäärus (GDPR), mille Euroopa Liit kehtestas 25. mail 2018, on loodud tagamaks, et organisatsioonid kaitsevad isikuandmete töötlemisel piisavalt üksikisikute privaatsusõigusi. See on andmete privaatsuse olulisem muutus ELis enam kui 20 aasta jooksul.
GDPR kehtib kõigi organisatsioonide kohta, millel on ELis esindus, kuid see tähistab ka ELi andmekaitserežiimi territoriaalse ulatuse olulist laienemist. See territooriumiväline ulatus käivitatakse, kui ettevõtted vastavad ühele või mitmele järgmistest tingimustest:
- ELi kodanikele pakutakse kaupu ja teenuseid
- ELi kodanike käitumist jälgitakse (nt veebisaitide küpsiste abil)
- Isikuandmeid töödeldakse ELis asuvas asutuses (nt sidusettevõttes)
Kuidas demonstreerivad ettevõtted GDPR-i järgimist?
GDPR sätestab seitse peamist põhimõtet, mida kõik organisatsioonid peavad isikuandmete töötlemisel järgima:
Vastutus on GDPR-i kohaselt üks olulisemaid uusi nõudeid. Vastutus tähendab, et organisatsioon peab näitama, et suudab täita GDPR-i. Ettevõtted peavad suutma tõendada vastavust aruandekohustuse täitmiseks, mis hõlmab:
- Vajadusel andmekaitseametniku või kohaliku esindaja nimetamine
- Andmetöötlustoimingute dokumentide täitmine ja pidamine
- Andmete turvalisuse asjakohase taseme hindamine ja asjakohaste tehniliste ja organisatsiooniliste turvameetmete rakendamine
- Andmekaitse rakendamine kavandatud ja vaikimisi ning võetud meetmete dokumenteerimine; vajaduse korral andmekaitse mõju hindamise läbiviimine
See seisneb üksikisikute andmete privaatsusõiguste kaitsmises!
GDPR määratleb „andmesubjektid” kui „tuvastatud või tuvastatavad füüsilised isikud”. Teisisõnu, ELi kodanikud, kes võivad olla töötajad, kliendid, tarnijad või teised, kellelt või kelle kohta ettevõtted koguvad teavet äri ja / või toimingute kohta. GDPR täpsustab ka andmesubjektide teatud õigused:
Organisatsioonidel peaks olema kehtestatud protseduurid andmesubjektide taotlustele vastamiseks seoses eespool nimetatud õigustega. Õiguslik alus, andmete töötlemine või muud tegurid sõltuvad sellest, kuidas teie organisatsioon reageerib DSR-ile, seetõttu on oluline konsulteerida GDPR-i alal asjatundjatega juristidega. (Kliendiandmete kaitsmine on ülitähtis GDPR-is. Lisateave on jaotises Kas teie kliendiandmed on tõesti turvalised? Kuidas neid avaldada.)