Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie wurde im April 2016 validiert und stärkt den Schutz der Bürger und erhöht damit die Verpflichtungen aller Unternehmen (einschließlich E-Commerce-Websites). Unabhängig von ihrer Größe und Aktivität müssen sie sich jetzt organisieren, um sich zu halten. Wenn das Unternehmen Opfer eines Computer-Hacks seines Netzwerks ist, was zu einem Leck personenbezogener Daten führt, muss es die Nationale Kommission für Informationstechnologie und Freiheiten (CNIL) innerhalb von 72 Stunden benachrichtigen. Nach Ablauf dieser Frist oder wenn sie diese Stelle nicht benachrichtigt, muss das KMU eine Geldbuße zahlen. Artikel 83.6 RGPD legt fest, dass diese Sanktion bis zu 4 des gesamten Jahresumsatzes des Vorjahres betragen kann. Diese Sanktion gilt jedoch nicht für kleine und mittlere Unternehmen (KMU). Die Richter berücksichtigen die Mittel und Kompetenzen der Unternehmen.
Schutz der Bürger
Zur Schematisierung stärkt und verallgemeinert das Inkrafttretendes Gesetz 78-17 vom 6. Januar 1978 über Informatik, Akten und Freiheiten in Frankreich. Bislang gilt die Meldepflicht für Verletzungen personenbezogener Daten nur für Anbieter elektronischer Kommunikationsdienste. Dieser erhöhte Druck auf die Unternehmen erklärt sich aus dem Ziel dieser Verordnung: den Schutz der Bürgerinnen und Bürger zu stärken. Von nun an müssen sie die ausdrückliche Zustimmung des Endnutzers in Bezug auf die Nutzung oder Aufzeichnung ihrer privaten Daten einholen. Sie müssen die Übertragbarkeit personenbezogener Daten für Benutzer ermöglichen, die dies anfordern. Schließlich haben sie das Recht, ihre personenbezogenen Daten von dem Unternehmen zu löschen, das sie verarbeitet.
Rohdaten
Für die Mehrheit der kleinen und MITTLEREN Unternehmen ist die Einhaltung des RGDP komplex. Diese Schwierigkeit beginnt, sobald die Definition von „personenbezogenen Daten“ behandelt wird. Um zu schematisieren, ist es eine Daten, um eine Person zu identifizieren: Name, Alter, Geburtsort, Sozialversicherungsnummer … Dies betrifft daher Kunden- und Interessentenakten, aber auch Informationen über Mitarbeiter, Leiharbeiter, Auszubildende… Es gibt auch „Rohdaten“ wie Browserverlauf, „Gefällt mir“ in sozialen Netzwerken und gelernte Lektionen (z. B. Ausdiesem Navigations- und Likes abgeleitete Präferenzen). Im Falle von Datenlecks sind Unternehmen verpflichtet, alle Kunden und Mitarbeiter schriftlich mit Bestätigung zu benachrichtigen.
Mitarbeiterbewusstsein
Nur eine allgemeine Datenschutzrichtlinie, die spezifische organisatorische, rechtliche und technische Maßnahmen beinhaltet, kann dieser Verordnung entsprechen. Technische Maßnahmen können verschiedene Formen annehmen, insbesondere:
- Pseudonymisierung: Vermeidung einer gezielten Ausbeutung;
- Verschlüsselung: Verringerung des Risikos der Ausnutzung ihrer Datenbanken im Falle von Computernetzwerk-Hacking oder Laptop-Diebstahl;
- Backups: um Integrität, Verfügbarkeit und Ausfallsicherheit zu gewährleisten.
Auch wenn die Frist noch in weiter Ferne zu liegen scheint, ist es wichtig, schnell einen Zustand des Unternehmens zu setzen, um folgende Maßnahmen einzuleiten:
- eine umfassende Bestandsaufnahme interner oder externer Medien, die diese Art von Daten aufzeichnen;
- Auswählen und Integrieren von Lösungen, um die Sicherheit dieses Dateityps zu gewährleisten;
- Sensibilisierung der Mitarbeiter für die Einbeziehung dieser Begriffe des Datenschutzes aus dem Entwurf einer neuen Anwendung, eines neuen Dienstes oder sogar der Datensammlung von Geräten
So viel komplexere Ziele, als sie scheinen. Um diesen Herausforderungen zu begegnen, müssen sich kleine und mittlere Unternehmen (KMU) mit externen Partnern umgeben, um sie langfristig zu beraten und zu unterstützen.
RGPD 2018: 11 Zentrale Fragen für Unternehmen
1. Gilt die RGPD für mein Unternehmen?
Sie gilt für alle Unternehmen und Verwaltungen. Unabhängig von ihrem Herkunftsland: Sobald sie Daten von europäischen Bürgern erheben oder verarbeiten, müssen sie sich an die RGPD halten. Sie alle müssen nachweisen, dass sie nur „streng notwendige“ personenbezogene Daten für ihre Tätigkeit verwenden.
2. Was ist das Datum des Inkrafttretens der RGPD?
Die im April 2016 validierte Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Sie wird in gleicher Weise in den 28 Mitgliedstaaten gelten.
3. Was sind personenbezogene Daten?
Dies sind alle Informationen, die eine natürliche Person identifizieren. Dies ist natürlich der Name, sein Geburtsdatum, seine Sozialversicherungsnummer, seine IP-Adresse, aber auch seine E-Mail.
4. Sind Sage-Lösungen bereit für die RGPD?
Sage bemüht sich, seine gepflegten Produkte „RGPD Ready“ zu gewährleisten, d.h. sie sind bereit für die Implementierung der RGPD. Sage empfiehlt Benutzern, zu überprüfen, ob sie die neuesten Versionen ihrer Software verwenden. Salbeilösungen in der Cloud werden dagegen immer von aktualisierten Versionen profitieren, die ihnen helfen, ihren Datenschutzverpflichtungen nachzukommen.
5. Was sind die Strafen?
Die RGPD sieht stufenweise Bußgelder vor, die von den begangenen Fehlern abhängen: schlechte Aufzeichnungen, Nichtbeachtung der Aufsichtsbehörde (CNIL in Frankreich), fehlende Folgenabschätzungen… Dieser Text legt fest, dass diese Sanktion bis zu 4 des jährlichen Weltumsatzes gegen maximal 150.000 Euro erreichen kann (siehe Art. 47 des Gesetzes von 1978). Die Richter werden jedoch die Mittel und Kompetenzen von Unternehmen in Bezug auf kleine und mittlere Unternehmen (KMU) berücksichtigen.
6. Inwiefern unterscheidet sich die RGPD vom Gesetz von 1978?
Es stärkt und verallgemeinert das Gesetz 78-17 vom 6. Januar 1978 über Computer, Dateien und Freiheiten, das in Frankreich in Kraft ist. Es gibt zwei neue Funktionen. Zunächst verallgemeinert die RGPD die Benachrichtigungsanforderung innerhalb von 72 Stunden. Bisher mussten nur „sensible“ Unternehmen wie Telekommunikationsbetreiber dies innerhalb von 48 Stunden tun. Zweitens verlangt die RGPD von Unternehmen, über den Schutz personenbezogener Daten vor dem Produkt- oder Servicedesign nachzudenken. Mit anderen Worten, sobald Sie ein Projekt starten, müssen Sie die Datensicherheit planen. Schließlich müssen Sie die Benutzer um ihre ausdrückliche Zustimmung bitten (und dies nachweisen), bevor Sie ihnen Mailings senden.
7. Wie viel kostet die Einhaltung der RGPD in meinem Unternehmen?
Alles hängt von der Größe Ihres Unternehmens ab. Aber verschiedene Maßnahmen (kostenführend) werden von entscheidender Bedeutung sein: Die Einhaltung der RGPD zu prüfen, Lösungen zum Schutz dieser Daten zu entwickeln, das Bewusstsein der Mitarbeiter durch Schulungen zu schärfen…
8. Muss mein Unternehmen einen DSB einstellen?
Der Datenschutzbeauftragte ist für Behörden und bestimmte Organisationen, deren Kerntätigkeiten sie dazu veranlassen, „regelmäßige und systematische Überwachung von Personen in großem Umfang“ durchzuführen, obligatorisch. oder Daten zu „sensiblen Sektoren“ wie Gesundheit, Religion, politische Meinung oder Gewerkschaftszugehörigkeit oder „Daten im Zusammenhang mit Straftaten und Verurteilungen“ zu verarbeiten. Selbst wenn diese Kriterien nicht erfüllt sind, ist es jedoch ratsam, einen DSB zu benennen.
9. Was sind die Missionen eines DSB?
Als Nachfolger des IT- und Freiheitskorrespondenten (CIL) im kommenden Mai wird er erweiterte Befugnisse haben. Als Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, muss sie die geeigneten Verfahren einleiten, um unter anderem zu verhindern, dass sie von Unbefugten verfälscht oder ausgenutzt werden. Der DSB muss auch überprüfen, ob diese Maßnahmen von allen Diensten ordnungsgemäß umgesetzt werden.
10. Sind meine Subunternehmer von der RGPD betroffen?
Ja. Wenn Sie Ihre Daten einem IT-Anbieter oder einem Cloud-Anbieter anvertrauen, müssen Sie sicherstellen, dass sie den Anforderungen der RGPD entsprechen. In diesem Text heißt es, dass man „im Rahmen einer Behandlung durch einen Subunternehmer“ nur Unternehmen mit „ausreichenden Garantien, insbesondere in Bezug auf Fachwissen, Zuverlässigkeit und Ressourcen“ in Verbindung stellen dürfe. Im Idealfall wird die Verwendung eines Anwalts, um die Verträge Ihrer Subunternehmer zu überprüfen, sicherstellen, dass Sie keine bösen Überraschungen erleben.
11. Sind die Daten, die mein Unternehmen außerhalb der EU überträgt, von der RGPD betroffen?
Die RGPD verbietet keine Übertragungen an Rechenzentren außerhalb der EU. Die RGPD erfasst alle Unternehmen in der EU oder außerhalb der EU, die Daten von europäischen Einzelpersonen verarbeiten. Wenn ein Unternehmen aus Nicht-EU-Unternehmen Daten von EU-Bürgern verarbeitet, muss es sicherstellen, dass das geltende Schutzniveau im Verhältnis zu den Anforderungen der RGPD ausreichend ist. Wenn ein Unternehmen aus Nicht-EU-Unternehmen die EU-Vorschriften nicht einhält, könnte es von allen Transaktionen in der EU ausgeschlossen werden, bis es die Vorschriften einhält.
