Akademie Europa groot logo
  • 26 Februarie 2024
  • Laaste opdatering 7 Mei 2023 10:40 vm
  • Hannover

BBP-nakoming

Academy Europe bevestig om GDPR-nakoming toe te pas onder die wet van die Europese Unie:

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

Die Algemene Databeskermingsregulasie (GDPR) is die strengste privaatheids- en sekuriteitswet ter wêreld. Alhoewel dit deur die Europese Unie (EU) opgestel en goedgekeur is, lê dit verpligtinge op organisasies op enige plek, solank hulle data wat verband hou met mense in die EU teiken of insamel. Die regulasie is in werking gestel op 25 Mei 2018. Die GDPR sal strawwe boetes hef teen diegene wat sy privaatheid- en sekuriteitstandaarde skend, met boetes wat tot die tienmiljoene euro's strek.

GDPR.eu word aan jou verskaf as nuttige hulpbron om vinnig al 99 artikels en 173 oorwegings van die Regulasie te vind, sowel as nuttige gidse en kontrolelyste wat jou deurloop hoe die Regulasie op jou van toepassing kan wees.

https://gdpr.eu/tag/gdpr/

Deursigtigheid en om die publiek in te lig oor hoe hul data gebruik word, is twee basiese doelwitte van die GDPR. Hierdie artikel verduidelik wat 'n privaatheidskennisgewing is en bied 'n privaatheidskennisgewing-sjabloon om jou te help om aan die wet te voldoen.

Die EU General Data Protection Regulation (GDPR) is 'n eerste stap om EU-burgers en inwoners meer beheer te gee oor hoe hul data deur organisasies gebruik word. As jou maatskappy die persoonlike inligting van mense in die EU hanteer, dan moet jy aan die GDPR voldoen, maak nie saak waar jy in die wêreld is nie. Die boetes vir die oortreding van mense se nuwe privaatheidsregte kan tot 4 persent van jou globale inkomste of €20 miljoen wees, wat ook al die hoogste is.

’n GDPR-privaatheidskennisgewing is ’n belangrike manier om jou kliënte te help om ingeligte besluite te neem oor die data wat jy insamel en gebruik. Ons het 'n paar inligting uit die wet self en uit die EU se riglyne dokumente bymekaar gebring om jou te help om die komponente van 'n goeie privaatheidskennisgewing te verstaan. En onderaan het ons 'n privaatheidskennisgewing-sjabloon ingesluit wat jy by jou eie organisasie kan aanpas.

Wat is 'n privaatheidskennisgewing?

'n Privaatheidskennisgewing is 'n publieke dokument van 'n organisasie wat verduidelik hoe daardie organisasie persoonlike data verwerk en hoe dit databeskermingsbeginsels toepas. Artikels 1213, en 14 van die GDPR verskaf gedetailleerde instruksies oor hoe om 'n privaatheidskennisgewing te skep, met die klem daarop om dit maklik te verstaan ​​en toeganklik te maak. As jy data direk van iemand insamel, moet jy hulle van jou privaatheidskennisgewing voorsien op die oomblik dat jy dit doen.

Let daarop dat die terme "privaatheidskennisgewing" en "privaatheidsbeleid" nie eintlik in die teks van die GDPR voorkom nie en in wese uitruilbaar is. Die riglyne wat in hierdie artikel verduidelik word, is van toepassing op enige publieke dokumente waarin jou organisasie sy dataverwerkingsaktiwiteite aan kliënte en die publiek beskryf.

Volgens die GDPR moet organisasies mense voorsien van 'n privaatheidskennisgewing wat is:

  • In 'n bondige, deursigtige, verstaanbare en maklik toeganklike vorm
  • Geskryf in duidelike en eenvoudige taal, veral vir enige inligting wat spesifiek aan 'n kind gerig is
  • Betyds afgelewer
  • Verskaf gratis

Die GDPR bepaal ook watter inligting 'n organisasie in 'n privaatheidskennisgewing moet deel. Daar is 'n effense variasie in vereistes afhangende van of 'n organisasie sy data direk van 'n individu insamel of dit as 'n derde party ontvang.

As 'n organisasie inligting direk van 'n individu insamel, moet dit die volgende inligting in sy privaatheidskennisgewing insluit:

  • Die identiteit en kontakbesonderhede van die organisasie, sy verteenwoordiger en sy Databeskermingsbeampte
  • Die doel vir die organisasie om 'n individu se persoonlike data en die wetlike basis daarvan te verwerk
  • Die wettige belange van die organisasie (of derde party, waar van toepassing)
  • Enige ontvanger of kategorieë van ontvangers van 'n individu se data
  • Die besonderhede rakende enige oordrag van persoonlike data na 'n derde land en die voorsorgmaatreëls wat getref is
  • Die retensietydperk of -kriteria wat gebruik word om die bewaringstydperk van die data te bepaal
  • Die bestaan ​​van elke datasubjek se regte
  • Die reg om toestemming te eniger tyd terug te trek (waar relevant)
  • Die reg om 'n klag by 'n toesighoudende owerheid in te dien
  • Of die verskaffing van persoonlike data deel is van 'n statutêre of kontraktuele vereiste of verpligting en die moontlike gevolge van die versuim om die persoonlike data te verskaf
  • Die bestaan ​​van 'n outomatiese besluitnemingstelsel, insluitend profilering, en inligting oor hoe hierdie stelsel opgestel is, die belangrikheid en die gevolge daarvan

As 'n organisasie jou data indirek (via 'n ander organisasie) bekom, moet sy privaatheidskennisgewing dieselfde inligting verskaf, behalwe vir:

  • Of die verskaffing van persoonlike data deel is van 'n statutêre of kontraktuele vereiste of verpligting en die moontlike gevolge van die versuim om die persoonlike data te verskaf

En in plaas daarvan moet voeg:

  • Die kategorieë persoonlike data wat verkry is

Volgens artikel 14(3), indien u persoonlike data van 'n derde party verkry, moet u bogenoemde inligting aan die datasubjek kommunikeer óf: nie later nie as een maand nadat u die data verkry het, op die tydstip waarop u die eerste keer met die data kommunikeer onderwerp, of voordat die data met 'n ander organisasie gedeel word.

Oor die algemeen sal 'n privaatheidskennisgewing skriftelik verskaf word en, waar toepaslik, elektronies verskaf word. Elke organisasie wat 'n webwerf onderhou, moet hul privaatheidskennisgewing daar publiseer, onder die titel "Privaatheidsbeleid," en dit moet toeganklik wees via 'n direkte skakel vanaf elke webblad. As 'n webwerf enige persoonlike data aanlyn insamel, moet die privaatheidskennisgewing of 'n skakel daarna verskaf word op dieselfde bladsy waar die data-insameling plaasvind. Die GDPR bepaal ook dat privaatheidskennisgewings op versoek mondelings beskikbaar moet wees om begrip te verseker en om siggestremdes te help.

Beste praktyke vir GDPR-privaatheidskennisgewing

Privaatheidskennisgewings moet die gebruik van kwalifiseerders soos "mag", "mag", "sommige", "dikwels," ens. vermy, aangesien dit doelbewus vaag is. Die skryfwerk moet in die aktiewe tyd wees en sinne en paragrawe moet goed gestruktureer wees, met behulp van kolpunte om spesifieke punte uit te lig. Vermy onnodige wettiese en tegniese terminologie.

Volgens die Europese Kommissie se GDPR-riglyne, is die frases hieronder nie duidelik genoeg met betrekking tot die doeleindes van verwerking nie. (Ons het hierdie voorbeelde direk uit die dokument geneem.)

  • "Ons kan jou persoonlike data gebruik om nuwe dienste te ontwikkel" (aangesien dit onduidelik is wat die "dienste" is of hoe die data sal help om dit te ontwikkel)
  • "Ons kan jou persoonlike data vir navorsingsdoeleindes gebruik" (aangesien dit onduidelik is na watter soort "navorsing" dit verwys)
  • "Ons kan jou persoonlike data gebruik om gepersonaliseerde dienste aan te bied" (aangesien dit onduidelik is wat die "verpersoonliking" behels)
  • Aan die ander kant is hierdie soort frases baie beter:
    "Ons sal jou inkopiegeskiedenis behou en besonderhede van die produkte wat jy voorheen gekoop het gebruik om voorstelle aan jou te maak vir ander produkte waarin ons glo jy ook sal belangstel" (dit is duidelik dat watter tipe data verwerk sal word, dat die datasubjek sal onderhewig wees aan geteikende advertensies vir produkte en dat hul data gebruik sal word om dit moontlik te maak)
  • "Ons sal inligting behou en evalueer oor jou onlangse besoeke aan ons webwerf en hoe jy deur verskillende afdelings van ons webwerf beweeg vir ontledingsdoeleindes om te verstaan ​​hoe mense ons webwerf gebruik sodat ons dit meer intuïtief kan maak" (dit is duidelik watter tipe data sal verwerk word en die tipe ontleding wat die kontroleerder gaan onderneem)
  • "Ons sal rekord hou van die artikels op ons webwerf waarop jy geklik het en daardie inligting gebruik om advertensies op hierdie webwerf op jou te rig wat relevant is vir jou belangstellings, wat ons geïdentifiseer het op grond van artikels wat jy gelees het" (dit is duidelik wat die verpersoonliking behels en hoe die belange wat aan die datasubjek toegeskryf word, geïdentifiseer is)