Glosar GDPR: O defalcare pentru oamenii ocupați

Publicat: 2018-02-16

Un principiu cheie al GDPR: Prezentați-vă politicile de date utilizatorilor fără „legale”.

AȘA DE CE NE-AU DAT 200 DE PAGINE DE JARGON DE TOPIREA CREIERULUI DE CITIT?

Este foarte important să parcurgeți noul Regulament general privind protecția datelor.

Dar este la fel de distractiv ca și vizionarea unui turneu de golf jucat cu încetinitorul.

Așadar, iată o detaliere a ceea ce înseamnă toți acești termeni legali - scrise în propoziții pe care nu vei adormi la jumătatea drumului.

Simțiți-vă liber să CTRL+F pentru a scăpa de o durere de cap.

Definiții

Reguli corporative obligatorii (BCR) : Aveți date cu caracter personal în UE? Doriți să-l transferați oamenilor din organizația dvs. multinațională. în afara UE? BCR-urile sunt regulile dvs. de urmat.

Date biometrice : „Date corporale”. Dacă te poate identifica și are legătură cu trăsăturile fizice, fiziologice sau comportamentale, asta este.

CONsimțământ : Acesta este unul mare. OBȚINEREA CONsimțământului PENTRU UTILIZAREA DATELOR PERSONALE ALE CUIVA ESTE COMPLICATĂ ACUM.

Trebuie sa fie:

dat liber
specific
afirmativ
explicit

Deci... dacă veți trimite un e-mail cuiva, trebuie să aveți acordul acestuia pentru a fi trimis prin e-mail. Vei folosi un cookie? Ai nevoie de un acord specific și pentru asta.

Ai cerut acordul oamenilor în mod independent. Nu le puteți combina cu aceeași casetă de selectare ca și politica dvs. de confidențialitate.

Și nu puteți pre-bifa caseta „Sunt de acord cu ____”. Trebuie să facă asta ei înșiși.

Nu poți să scrii declinarea de modă veche „Acest site folosește cookie-uri, fiind aici, ești bine cu asta” și să te aștepți să zboare.

Oamenii au înțeles cum le folosiți datele. Trebuie să-ți dea acordul să-l folosești așa.

E mult.

Am scris mai multe despre asta aici.

Date privind sănătatea : Cum sună (mulțumesc lui Dumnezeu).

Controlor de date : Dacă sunteți specialist în marketing, probabil că ești. Este oricine care solicită, colectează și utilizează date personale, în orice fel. Dacă îl procesați, dacă îl stocați, dacă determinați cum vor fi utilizate datele oamenilor, sunteți controlor de date. Felicitări!

Ștergerea datelor: AKA: „Dreptul de a fi uitat”. Aceasta înseamnă doar că o persoană vizată (persoană umană) poate alege să fie șterse orice date pe care le aveți despre el. Ei spun cuvântul, iar tu trebuie să le ștergi datele, să nu le mai folosești și să nu mai difuzezi (brut), în orice fel.

Portabilitatea datelor : Dacă cineva vine la tine și îți spune „HEY, vreau o copie a tuturor datelor pe care le ai despre mine” – trebuie să spui „sigur, iată-mă.” Și trebuie să le transmiteți o copie a acelor date într-un format pe care îl pot transmite cu ușurință altcuiva. (Mai multe informații despre asta trăiesc aici)

Procesor de date : orice folosiți dvs. (operatorul de date) pentru a colecta și prelucra date. Multe dintre instrumentele dvs. de marketing sunt procesoare de date (gândiți-vă, instrumente de analiză, instrumente de testare A/B, pluginuri și altele asemenea).

Autoritatea de protecție a datelor : oamenii înfricoșători care se vor asigura că respectați regulile. Acestea sunt autorități naționale care sunt responsabile de protecția datelor și a confidențialității și de monitorizarea aplicării GDPR în UE.

Responsabil cu protecția datelor : pe cineva pe care ar trebui să-l numiți să se ocupe de toată această nebunie de reglementare dacă sunteți o companie mai mare de 250 de persoane (dar să fiu sincer, GDPR nu se poate hotărî cu adevărat care ar trebui să fie acel număr). Acesta este un expert în confidențialitatea datelor care va lucra cu tine în mod independent și te va menține în conformitate cu GDPR.

Subiectul datelor : Om—care are date pe care le aveți, le vedeți sau le utilizați.

Acte delegate : „Legi bonus” distractive care le completează pe cele existente, pentru a oferi mai multă claritate sau criterii. Așteaptă-te la o grămadă de acestea de la națiunile independente ale UE care vor merge mai departe.

Derogare : Excepții de la legi!

Directiva : Aceasta este legea care stabilește un „obiectiv” pentru toate țările UE. Apoi fiecare țară își face propriile legi naționale pentru a îndeplini acest obiectiv.

Date criptate : mai mult sau mai puțin: protejați datele cu caracter personal încurcându-le pe toate. Criptarea datelor asigură că numai persoanele cu acces specificat pot accesa sau citi datele pe care le-ați stocat. În ceea ce privește măsurile de securitate, este o idee foarte bună.

Întreprindere : orice lucru angajat într-o activitate economică, indiferent de „forma sa juridică”. Deci, oameni, organizații, asociații pe care le numiți. Oricine face bani sau se încurcă cu bani.

Sistem de arhivare : GDPR se aplică în două locuri: sistemelor automate (stocarea lucrurilor pe computer și în baze de date) sau, pentru copiile pe hârtie, în „sisteme de arhivare relevante”. Un sistem de înregistrare este „relevant” dacă poate fi căutat sau accesat după anumite criterii, cum ar fi numele, numărul ID, numărul de telefon etc.)

Deci, dacă vă aruncați toate datele de HR în casete nemarcate, neorganizate — probabil că nu trebuie să vă faceți griji pentru cele pentru GDPR. Ar trebui să vă faceți griji pentru ei, pentru că știți, din orice alt motiv.

Date genetice : Site-ul oficial al UE definește acest lucru, dar haide. Știi ce este genetica.

Grupul de întreprinderi : Există o mulțime de jurisprudență de analizat pentru a înțelege ce este o „întreprindere” – dar mai mult sau mai puțin se reduce la aceasta: o întreprindere este atunci când o companie deține controlul asupra altei companii. Iar controlul, în acest caz, înseamnă capacitatea de a exercita „influență decisivă”.

Exemplu: o societate-mamă deține participația majoritară într-o filială. Se presupune că pot exercita controlul. Asta e un angajament.

Iar un grup de întreprinderi este un grup al acestora.

Unitatea principală : Acest lucru are mai mult sau mai puțin de-a face cu locul în care se aplică supravegherea. Este locul din cadrul uniunii unde se iau deciziile privind prelucrarea datelor. Înțeles – dacă vă procesați datele în Germania, chiar dacă vă aflați în altă parte, „sediul principal” se află în Germania.

DATE PERSONALE : ALTA MARE. Datele cu caracter personal sunt orice informație care se referă la o persoană și poate fi folosită pentru a le identifica. Acestea includ date care le pot identifica indirect sau le pot identifica atunci când sunt combinate cu alte date primite.

Acesta este diferit de PII (informații de identificare personală) . Și este o definiție mai strictă decât am văzut-o înainte.

Iată o defalcare completă:

Date personale de identificare (PII)

Date personale

Numele complet (dacă nu este comun)
Adresa de acasa
Adresa de e-mail
Cod Numeric Personal
Numarul pasaportului
Numărul plăcuței de înmatriculare a vehiculului
Numărul permisului de conducere
Față, amprente sau scris de mână
Numerele cardurilor de credit
Identitatea digitală
Data de nastere
Locul naşterii
Informații genetice
Număr de telefon
Nume de conectare, nume de ecran, porecla sau mâner

Numele complet (dacă nu este comun)
Adresa de acasa
Adresa de e-mail
Cod Numeric Personal
Numarul pasaportului
Numărul plăcuței de înmatriculare a vehiculului
Numărul permisului de conducere
Față, amprente sau scris de mână
Numerele cardurilor de credit
Identitatea digitală
Data de nastere
Locul naşterii
Informații genetice
Număr de telefon
Nume de conectare, nume de ecran, porecla sau mâner

Adresa IP
Identificatori unici, cum ar fi ID-uri dispozitiv, ID utilizator, ID tranzacție, ID cookie
Date pseudonime (aceasta sunt date de nerecunoscut + cheie în alt loc pentru a le face din nou lizibile)

Încălcarea datelor cu caracter personal : un mare „hopa”. Aceasta se întâmplă oricând cineva poate accesa, distruge sau utiliza greșit datele personale pe care le-ați stocat în mod accidental sau ilegal. Conform GDPR, vi se cere să informați toți subiecții dvs. de date despre una dintre acestea în termen de 72 de ore.

Confidențialitate prin design : nu mai amânați. Când construiți un sistem care se ocupă de date - o interfață, un site web, orice - ar trebui să vă gândiți la protecția datelor înainte de a începe. Ar trebui să fie proiectat având în vedere drepturile asupra datelor. Nu ar trebui să fie o ediție de ultimă oră.

Evaluarea impactului asupra confidențialității : un lucru pe care (împreună cu responsabilul cu protecția datelor) ar trebui să faceți! Practic, acesta este doar un audit pentru potențiale riscuri de confidențialitate. Înseamnă să aruncați o privire asupra datelor dvs. personale, a modului în care sunt procesate și a ceea ce faceți acum pentru a le proteja.

Prelucrare : Orice faci cu datele personale — manual sau automat. Colectarea, înregistrarea, folosirea lui. Datele cu caracter personal apar intermitent pe ecran și sunt procesate.

Profilare : dacă automatizați datele personale și le analizați pentru a prezice comportamentul cuiva (specific), aceasta contează ca profilare.

Pseudonimizare – aveți date personale. Îl procesați într-un mod în care nu îl mai puteți atribui unei persoane vizate - cel puțin, nu fără alte informații deținute separat. Exemplul clasic este înlocuirea datelor identificabile cu o valoare reversibilă, consecventă, cum ar fi un șir de numere aleatorii, care poate fi ulterior „deblocată” și reatribuită.

Aceasta este diferită de datele de fapt anonimizate: în care informația identificabilă este total distrusă.

Ce tehnici „contează” drept pseudonimizare în conformitate cu GDPR nu au fost încă determinate, și există o mulțime de zone gri cu privire la ce fel de date contează ca „probabil să fie identificate” sau „în mod rezonabil” să fie identificate.

Dar există unele stimulente fanteziste, GDPR, pentru pseudonimizarea datelor dumneavoastră personale. Pe acestea le găsiți în considerentul 29.

De exemplu, atunci când colectați datele personale standard, obișnuite, le puteți utiliza numai din motive explicite „aprobate” de persoana vizată. Dar, cu pseudonimizarea, aveți o marjă de libertate puțin mai mare cu privire la modul în care puteți procesa datele, chiar dacă este în alte scopuri decât cel pentru care au fost colectate inițial.

Destinatar – O persoană căreia îi sunt dezvăluite datele personale.

Regulament – lege, care este obligatoriu și se aplică în întreaga UE.

Reprezentant – Dacă cei care ignoră conformitatea cu GDPR trebuie să apeleze la operatorii de date (adică compania dvs.) pentru a răspunde preocupărilor, aceștia se adresează reprezentanților dvs. Reprezentanții trebuie să fie în Uniune și desemnați în mod explicit pentru această sarcină.

Dreptul de a fi uitat : vezi Ștergerea datelor, mai sus.

Dreptul de acces / Dreptul de acces al subiectului : Dacă aveți datele personale ale cuiva, acesta poate solicita accesul la acestea. Trebuie să le poți oferi.

Autoritate de supraveghere : Fiecare stat membru al UE va numi o autoritate publică care să supravegheze conformitatea cu GDPR. Aceasta este o autoritate de supraveghere (dar s-ar putea să știți despre asta și ca DPA sau Autoritate pentru protecția datelor).

Triloguri – După ce toată lumea a citit primul proiect de lege propusă, Comisia Europeană, Parlamentul European și Consiliul UE se întâlnesc informal pentru a negocia. Aceste întâlniri se numesc triloguri și au loc astfel încât un text de compromis să poată fi adoptat rapid.

Acronime:

BCR : Reguli corporative obligatorii (vezi mai sus)

CFR : Carta Drepturilor Fundamentale a Uniunii Europene

CJUE : Curtea de Justiție a Uniunii Europene.

DPA : Autoritatea pentru Protecția Datelor (vezi Autoritatea de Supraveghere)

DPO : Responsabil cu protecția datelor

CEDO : Convenția Europeană a Drepturilor Omului.

EDPB : Comitetul European pentru Protecția Datelor

DEPS : Autoritatea Europeană pentru Protecția Datelor

SEE : Spațiul Economic European (cele 28 de state membre UE, plus Islanda, Liechtenstein și Norvegia)

TFUE : Tratatul privind funcționarea Uniunii Europene.

WP29 : Grupul de lucru Articolul 29. Era un consiliu consultativ la nivelul UE, format din DPA naționale. Dar EDPB l-a înlocuit mai mult sau mai puțin în conformitate cu GDPR.