Realmente tienes que saber eso sobre el nuevo GDPR

Los numerosos cambios que traerá el GDPR a partir del 25 de mayo de 2018 afectarán a todos los empresarios y operadores de sitios web. Existen nuevas regulaciones extensas en casi todas las áreas de la ley de protección de datos. Algunos son relativamente fáciles de implementar, otros son muy complejos.

Nuestro especial GDPR, que ponemos a su disposición como socio de agencia en cooperación con eRecht24, lo ayuda a obtener una descripción general de los requisitos del GDPR y le muestra cómo implementarlos rápida y fácilmente para su sitio web. Nos complace ayudarlo en la implementación de su sitio web que cumpla con el RGPD. Solo habla con nosotros .

1. Introducción
El GDPR regula el manejo de datos personales por parte de las empresas a partir del 25 de mayo de 2018, de manera uniforme en toda Europa. Muchas de las regulaciones actuales de la Ley Federal de Protección de Datos de Alemania (BDSG) ya no se aplicarán o la BDSG se revisará al mismo tiempo. El Reglamento general de protección de datos unifica la ley de protección de datos dentro de la UE, ya que hasta ahora han estado vigentes en todas partes diferentes leyes de protección de datos y, por lo tanto, diferentes estándares. Por lo tanto, en el futuro, los empresarios pueden confiar en el hecho de que se aplica una ley de protección de datos (predominantemente) uniforme dentro de la UE. Sin embargo, la regulación también se aplica a empresas con sede fuera de la UE si procesan datos de personas de la UE. Esto es para garantizar que los servicios en la nube o las redes sociales (por ejemplo, de EE. UU.) También tengan que cumplir con las reglas. El RGPD realmente afecta a TODAS las empresas que están activas en Internet: seguimiento de usuarios, datos de clientes, boletines o correos electrónicos publicitarios, publicidad en Facebook, su propia declaración de protección de datos, muchas cosas cambiarán debido a la nueva normativa. En detalle:

2. Declaración de protección de datos y pie de imprenta
En primer lugar, cada sitio web necesita una nueva declaración de protección de datos que cumpla con los requisitos del RGPD. Principios de una declaración de protección de datos compatible con GDPR:

• Lenguaje simple y comprensible
• Si es necesario, una explicación general preliminar y resumida.
• Datos de contacto del operador del sitio web
• Delegado de protección de datos, si está disponible
• La base legal de la respectiva recopilación / procesamiento de datos (regulación legal o consentimiento) debe nombrarse específicamente

Una declaración de protección de datos de acuerdo con el RGPD debe contener al menos los siguientes puntos:

• Mención de todas las operaciones de tratamiento de datos en el sitio web
• Manejo de datos de clientes / pedidos
• Seguimiento, cookies, redes sociales
• Boletín, A (D) V
• Duración del almacenamiento, períodos de eliminación
• Información, corrección, eliminación, objeción
• Derecho a la divulgación y portabilidad de datos

El consentimiento no puede declararse dentro de la declaración de protección de datos.

¡Precaución! Obligación de supresión Art. 17 RGPD:

Los datos deben eliminarse si:

• el propósito de la encuesta ya no se aplica,
• se ha retirado el consentimiento (darse de baja del boletín),
• se produce una objeción por parte del usuario ("eliminar mis datos") y no existen obligaciones legales de almacenamiento en sentido contrario (impuestos y contabilidad)

No es necesario realizar cambios en el pie de imprenta. Sin embargo, actualmente se está discutiendo que se debe crear un formulario de contacto especial para reclamos de información, corrección y eliminación, que debe integrarse en la estructura general del menú (para la declaración de protección de datos y el pie de imprenta).

3. Directorio de procesamiento (anteriormente: directorio de procedimientos)
Necesita un directorio de procesamiento si tiene más de 250 empleados y si procesa categorías especiales de datos.

La obligación también se aplica a las empresas con menos de 250 empleados si el procesamiento no se lleva a cabo "sólo ocasionalmente". Sin embargo, aún no se ha aclarado de manera concluyente qué significa esto exactamente. Hasta que se hayan aclarado finalmente los requisitos, debe crear dicho directorio en caso de duda.

¿Qué contenido incluye?


• Datos del responsable
• Nombre y datos de contacto del responsable, su representante y el delegado de protección de datos
• Finalidades del tratamiento
• Categorías de interesados y datos personales
• Categorías de destinatarios
• Transferencias de datos personales a un tercer país
• Plazos para la eliminación
• Descripción de las medidas técnicas y organizativas
• Información del procesador
• Nombre y datos de contacto del encargado del tratamiento y del responsable, sus representantes y el delegado de protección de datos
• Categorías de procesamiento
• Transferencias de datos personales a un tercer país

Los ejemplos y la estructura de dicho directorio de procesamiento se pueden encontrar en Bitkom, por ejemplo:
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Ververarbeitungverzeichnis-online.pdf

4. Cookies y seguimiento

Actualmente no hay cambios con respecto a las cookies y el seguimiento. Las cookies están específicamente re-reguladas por el Reglamento de ePrivacy (ePV). Sin embargo, esto probablemente no llegará hasta 2019.

La buena noticia: Google Analytics sigue estando "permitido" como antes, incluso después del RGPD, si se cumplen los siguientes requisitos:

• Un contrato (D) V celebrado con Google
• Anonimización de IP activada
• Opciones de exclusión para computadoras de escritorio y dispositivos móviles

Asegúrese de celebrar un contrato AV compatible con GDPR con Google a partir del 25 de mayo de 2018. Es probable que Google proporcione un contrato de este tipo pronto.

Puede encontrar instrucciones para una implementación correcta aquí .

Desafortunadamente, no es posible hacer una declaración precisa en este momento con otras herramientas como Facebook Pixel.
Sin embargo, es probable que la situación legal se vuelva más complicada.

5. Boletín y Consentimientos
Siguen aplicándose los consentimientos de los usuarios, por ejemplo, para el envío de boletines informativos, que ya se han obtenido de forma efectiva con arreglo a la ley anterior (doble opt-in).

Excepciones:
• Prohibición de parejas no observada con consentimientos anteriores
• Consentimientos de menores

¿Qué pasa con las promociones o concursos de nuevos boletines?

Si no hay permiso legal para guardar / transferir datos, siempre se requiere consentimiento.

El principio de doble opt-in también debe observarse en virtud del RGPD para poder demostrar el consentimiento en caso de duda. En cualquier caso, el consentimiento debe estar documentado electrónicamente.

El consentimiento debe darse "voluntariamente": prohibición genuina de acoplamiento en el Art. 7 (4) GDPR.

Como regla general: sin datos sobre el contenido (por ejemplo, libros electrónicos, concursos, listas de verificación) y sin vinculación del envío del boletín a la conclusión de un contrato.

6. Delegado de protección de datos

Las empresas que normalmente tratan con al menos diez personas continuamente con el tratamiento de datos personales o que están obligadas a realizar una evaluación de impacto de protección de datos de conformidad con el artículo 35 del RGPD (detalles más abajo en el número 9) deben nombrar un delegado de protección de datos.

Conflictos de interés

No debe haber ningún conflicto de intereses al momento de nombrar al delegado de protección de datos. Por tanto, un miembro del consejo de administración, un director gerente o el propietario de la empresa no pueden ser delegados de protección de datos. Estas personas no pueden mediar en caso de conflicto entre los intereses de la empresa y la normativa de protección de datos.

También puede designar un delegado de protección de datos externo para evitar conflictos.

Cualificaciones del delegado de protección de datos


El delegado de protección de datos debe ser confiable. La experiencia legal y técnica también es esencial para el puesto de delegado de protección de datos. Se ofrecen capacitaciones / seminarios que incluyen exámenes en todo el país para adquirir las calificaciones adecuadas, por ejemplo, en TÜV.

7. Datos de los empleados

Con el GDPR, también hay nuevas regulaciones sobre la protección de datos de los empleados. Las nuevas regulaciones contienen numerosos deberes y obligaciones que los empleadores deberán cumplir en el futuro.

Solo se deben recopilar los datos que son "necesarios".

Los datos de los empleados solo deben procesarse si es necesario para la decisión de contratación de un solicitante o para llevar a cabo, ejercitar o rescindir una relación laboral.

El procesamiento también está permitido si es necesario para el cumplimiento de derechos y obligaciones legales, un convenio colectivo o un contrato de empresa o servicio o con el propósito de enjuiciar penalmente. Si la recopilación de ciertos datos es realmente necesaria y cuándo, siempre debe determinarse sobre la base del caso individual específico.

Obtener el consentimiento


Cualquiera que quiera evitar las incertidumbres legales que rodean la "necesidad" puede obtener el consentimiento voluntario de sus empleados. Sin embargo, en caso de disputa, el empleador debe demostrar un supuesto consentimiento voluntario.

El consentimiento efectivo debe cumplir con ciertos criterios formales. En principio, debe ser por escrito, es decir, debe estar firmado de forma independiente. Sin embargo, dado que esto no siempre es práctico, el consentimiento electrónico también se puede obtener en circunstancias especiales. Además, el empleado debe ser informado en forma adecuada de que el consentimiento puede ser revocado en cualquier momento. En última instancia, el empleador debe crear ciertas condiciones para la declaración de revocación.

En caso de duda, un empleador debe poder demostrar el cumplimiento de las obligaciones recién mencionadas (obligaciones de documentación). Además, los empleadores se enfrentarán en el futuro a obligaciones de información más estrictas en caso de violaciones de la protección de datos y muchas otras obligaciones (por ejemplo, obligaciones de eliminación).

Con respecto a estas obligaciones, los empleadores deben, por lo tanto, revisar minuciosamente sus procesos internos de la empresa y, si es necesario, hacer que se ajusten (palabra clave: gestión del cumplimiento).

8. Procesamiento de pedidos (datos)

Si la recopilación y el procesamiento de datos personales se lleva a cabo por una empresa "externa", esto debe, como en la ley anterior, estar regulado contractualmente.

Ejemplos de


• La agencia realiza acciones publicitarias
• Proveedor de boletines externos
• Alojamiento web
• Contratos de mantenimiento externo

¿Qué cambios en el contenido de los contratos A (D) V?

Pocas regulaciones nuevas relacionadas con el contenido:


• Es posible que el procesador deba mantener un directorio de procedimientos
• El procesador debe registrar las instrucciones del responsable
• Los contratos ya no se requieren por escrito

9. Protección de datos de menores

Los padres deben dar su consentimiento para los jóvenes menores de 16 años. Sin embargo, esto solo se aplica a los casos en los que el GDPR prescribe el consentimiento (por ejemplo, para publicidad) y en la práctica solo si se trata de ofertas que están dirigidas directamente a niños y jóvenes.

En el caso de ofertas mixtas (para adultos y jóvenes), no es necesario implementar requisitos específicos.

10. Evaluación del impacto de la protección de datos

En ciertos casos, está obligado a evaluar las consecuencias del procesamiento de datos y registrar esto en una llamada evaluación de impacto de protección de datos de acuerdo con el Art. 35 GDPR. Siempre debe llevarse a cabo una llamada DPIA si "una forma de procesamiento, en particular cuando se utilizan nuevas tecnologías, puede resultar en un alto riesgo para los derechos y libertades personales debido al tipo, alcance, circunstancias y propósitos del procesamiento (Tiene) ".

Este es el caso, por ejemplo, de las siguientes constelaciones:

• Tratamiento de datos de salud, religión, sexualidad
• Secretos comerciales
• Perfilado / puntuación
• Delitos
• y mucho más

Cuándo y cómo se llevará a cabo una evaluación de impacto de la protección de datos en detalle, puede leer en el extenso libro blanco del Forum Privat Freiheit:

https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffnahmungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf

11. Derecho de inspección y obligación de informar

En general, los afectados tienen derecho a la información sobre sus datos personales almacenados (Art. 15 GDPR).

Forma de información:
• de manera escrita
• electrónicamente (correo electrónico)
• Oral a pedido

Fecha límite para proporcionar información: Inmediatamente, pero a más tardar 1 mes después de recibir la solicitud.

¿Cuándo se debe informar a los interesados y a las autoridades supervisoras en caso de violación de datos?

Los requisitos ahora son más estrictos que antes. De acuerdo con el artículo 33 del RGPD, las violaciones de datos deben enviarse a las autoridades supervisoras de inmediato (si es posible dentro de las 72 horas) mediante documentación completa.

Los detalles sobre el contenido están regulados en el artículo 33 (5) del RGPD.
https://dejure.org/gesetze/DSGVO/33.html

12. Multas y advertencias

¡Se pueden advertir violaciones de protección de datos!

En caso de violaciones, existe el riesgo de advertencias y procedimientos legales, porque:
• ¡La ley de protección de datos es relevante para la ley de competencia!
• ¡Las infracciones también pueden ser advertidas de acuerdo con el RGPD!

Multas


El RGPD prevé multas de hasta 20 millones de euros o el 4% de la facturación mundial del año anterior.

Hasta ahora, las autoridades de protección de datos rara vez han sobrepasado el límite superior de las multas y en el caso de violaciones permanentes.

Pero es muy probable que eso cambie, la alta gama de multas es una parte fundamental del RGPD.

Importante: tome en serio las consultas / quejas de los usuarios. Aún más importante: tome en serio las consultas / quejas de las autoridades de protección de datos.

¿Qué debería hacer ahora?

Parte de nuestros amplios servicios en el área de creación de sitios web es, por supuesto, el apoyo en la implementación de una declaración de protección de datos que cumpla con el RGPD y contenido práctico y legalmente verificado en el RGPD.

Cree protección de datos ahora