Două săptămâni după faza de aplicare a GDPR, ce acum?

S -a întâmplat în sfârșit. Regulamentul general privind protecția datelor a intrat în cele din urmă în faza de aplicare pe 25 mai 2018, meme și tot.

În ciuda a ceea ce mulți agenți de publicitate se temeau, lumea nu s-a încheiat după ce GDPR a intrat în faza de aplicare. Dar s-a schimbat. Credit ilustrativ: Teach Privacy

Era industria pregătită? Au fost suficiente actualizările de ultim moment ale politicii ? Ce se intampla acum? În această postare pe blog, aruncăm o privire asupra modului în care jucătorii importanți s-au pregătit pentru termenul limită, ce urmează cu GDPR în vigoare și modul în care compania dvs. poate lucra pentru a se conforma de aici înainte.

Primele lovituri asupra celor mai mari jucători

Nu a durat mult până când cele mai mari companii au simțit usturimea litigiilor. La doar câteva minute după ce GDPR a intrat în vigoare , activistul pentru confidențialitate Max Schrems și organizația sa None of Your Business au lovit Google și Facebook cu procese în care pretindeau „consimțământ forțat”. Procesele susțin nerespectarea regulilor GDPR cu privire la consimțământul particularizat, deoarece aceste companii oferă utilizatorilor o opțiune de totul sau nimic - sunt de acord cu acești termeni pentru a accesa acest serviciu - în loc să le permită să își dea consimțământul pentru unii termeni și nu pentru alții.

Google și Facebook au răspuns insistând că au luat măsuri adecvate pentru a respecta GDPR.

Apoi grupul francez pentru drepturile digitale La Quadrature du Net a urmat exemplul , depunând plângeri suplimentare împotriva Google, Facebook, Apple, Amazon și LinkedIn. Plângerile sunt similare cu cele făcute de Schrems și pretind încălcări prin utilizarea consimțământului forțat. De asemenea, La Quadrature intenționează să depună plângeri oficiale împotriva Android, WhatsApp, Instagram, Skype și Outlook, deși până în prezent nu a luat încă măsuri oficiale.

Cum s-au pregătit Apple, Facebook și Google

Deși este greu de spus dacă plângerile au surprins cu adevărat pe vreuna dintre aceste companii, multe dintre ele au comunicat un sentiment general de pregătire în zilele premergătoare punerii în aplicare.

Apple , de exemplu, la sfârșitul lunii mai 2018 a introdus un nou site web care le arată clienților ce date personale deține despre ei. Clienții Apple din UE pot solicita acum să vadă aceste date, de la istoricul de conectare la contacte, calendar, note, fotografii și documente. De asemenea, clienții pot corecta datele, își pot dezactiva contul și pot șterge toate informațiile. (Apple oferă în prezent acest serviciu numai în țările UE, Islanda, Liechtenstein, Norvegia și Elveția, dar spune că intenționează să se extindă în alte țări în cursul acestui an.)

În aprilie 2018, Facebook și-a actualizat site-ul web cu versiuni mai clare ale termenilor și politicii de date , oferindu-le utilizatorilor șapte zile pentru a oferi feedback cu privire la noua limbă înainte de a finaliza și de a le cere utilizatorilor să fie de acord cu aceasta. Facebook a dezvăluit, de asemenea, că va revizui și eficientiza controalele aplicației pentru a face setările mai ușor de găsit, spunând că „în loc să aibă setări răspândite pe aproape 20 de ecrane diferite, acestea sunt acum accesibile dintr-un singur loc”.

Google a fost unul dintre primii actori, deoarece a făcut actualizări legate de GDPR și a notificat utilizatorii cu peste șase luni înainte de termenul limită GDPR. Cele mai semnificative actualizări au fost aduse modificărilor privind procesarea datelor și termenilor de securitate pentru G Suite și Google Cloud, care le fac mai ușor de înțeles pentru a respecta cerința de „notificare clară și transparentă” a modului în care vor fi utilizate datele. Alte actualizări includ noi opțiuni și capabilități pentru exportul de date.

Ce este înainte

Impactul deplin al GDPR nu a fost încă determinat și, parțial, se va baza pe modul în care clienții și grupurile de activiști își exercită noile drepturi. Într-un sondaj Forrester din august 2017 asupra consumatorilor din Marea Britanie, 51% dintre respondenți au declarat că sunt cel puțin oarecum probabil să-și exercite noile drepturi conform GDPR. Cu toate acestea, cel mai frecvent exemplu citat a fost ștergerea datelor - departe de procesele cu drepturi depline.

Dar cea mai mare concluzie a acestei noi reglementări nu este că mai mulți consumatori examinează companiile - ci că mai multe companii examinează alte companii. Deoarece GDPR impune responsabilități partajate pentru toate părțile care ating datele personale, companiile examinează mult mai profund procesele și acțiunile partenerilor lor de afaceri. Acesta este adevăratul geniu al GDPR, explică directorul Data Compliance Europe Simon McGarr într-un articol recent Quartz :

„Europa are o mulțime de autorități de protecție a datelor, dar nu are suficiente pentru a bate la fiecare ușă. Așa că au avut o structură de conformitate pe mai multe niveluri încorporată în lege în care ajungi cu marile companii care impun conformitatea companiilor mici și așa mai departe.”

Companiile mai puțin pregătite decât s-au sperat să fie după 25 mai s-ar putea să simtă deja presiunea din partea partenerilor lor de afaceri, iar expertul în securitate cibernetică Elliot Rose prezice că vor exista o mulțime de organizații care vor fi încă la curent după termenul limită. Pentru cei aflați în această situație, prima prioritate este abordarea zonelor cu risc ridicat care se ocupă de informații sensibile. Companiile ar trebui să se concentreze pe securizarea datelor sensibile, să caute unde sunt stocate și cine are acces la ele. Important este să puneți în aplicare un plan și să mergeți cât mai repede (și precis) posibil.

Rămâi pregătit

În cele din urmă, GDPR va ajuta chiar și pe terenul de joc când vine vorba de confidențialitate și transparență și va deschide ușile comunicării acolo unde erau închise înainte. În calitate de companie, iată câțiva pași pe care îi puteți face pentru a menține conversația:

Evaluați modul în care datele sunt procesate în mod legal

Aveți acordul utilizatorilor finali? Este specific, lipsit de ambiguitate și dat liber? Experiența dvs. de utilizator final explică acest lucru? Aveți un interes legitim de a colecta, prelucra și stoca datele? Dacă nu puteți răspunde la fiecare întrebare cu un „da”, este timpul să faceți un pas înapoi.

Actualizați toate notificările necesare

Ați revizuit politicile actuale de confidențialitate, notificările sau alte informații pe care le furnizați utilizatorilor finali? Sunt aceste notificări importante la punctul de colectare? Poate fi necesară o revizuire a tuturor notificărilor de confidențialitate pentru a menține colectarea, utilizarea și stocarea datelor dvs. transparente pentru utilizatorii finali.

Adoptă protocoale de acces la date, dreptul la corectare și dreptul de a fi uitat

Aceste principii permit utilizatorilor dumneavoastră finali să corecteze datele cu caracter personal învechite sau inexacte și să fie eliminate complet de la procesare. Politicile și procedurile interne ar trebui implementate și menținute pentru a răspunde în mod corespunzător acestor solicitări.

Utilizați date pseudonime sau anonime

Luați în considerare eliminarea sau limitarea identificatorilor unici prin anonimizarea sau pseudonimizarea datelor. Unele tehnici includ hashing, sare, criptare și utilizarea de jetoane. Acest lucru poate ajuta la minimizarea potențialului de identificare viitoare a utilizatorilor finali și, de asemenea, poate ajuta la minimizarea obligațiilor dvs. de conformitate.

Pentru a afla mai multe despre TUNE și GDPR, citiți pagina noastră aici .