Responsabilitățile companiilor de asset management în ceea ce privește GDPR
Regulamentul General privind Protecția Datelor al Uniunii Europene (GDPR) a devenit efectiv la 25 mai 2018 și oferă persoanelor din UE control asupra modului în care datele lor pot fi utilizate. Companiile de gestionare a activelor (asset management), cu accesul lor la date personale și informații despre valoarea netă a unei persoane, trebuie să aibă protocoale robuste de protecție a datelor. Află care sunt responsabilitățile companiilor de asset management în ceea ce privește GDPR!
Termeni cheie privind Regulamentul GDPR
Înainte de a intra în detalii, există câteva termeni cheie cu care organizațiile trebuie să se familiarizeze atunci când implementează cerințele GDPR. Iată care sunt aceștia:
Subiectul datelor – Drepturile subiecților datelor sunt protejate în conformitate cu GDPR. Din perspectiva managerilor de active, subiecții datelor sunt investitorii ale căror fonduri sunt supravegheate de compania de gestionare a activelor. Angajații stabiliți în UE vor fi, de asemenea, subiecți de date.
Date personale – Conceptul de date personale se referă la: nume și/sau număr de identificare, date de localizare, un identificator online, date specifice individuale, cum ar fi trăsăturile lor fizice, fiziologice și genetice
Controlorul de date – Controlorii de date sunt persoanele care stabilesc modul în care se efectuează colectarea datelor personale și activitățile asociate de procesare a datelor. Ei definesc ce date vor fi capturate, de la cine și motivul pentru care este necesar. Acest lucru înseamnă stabilirea unei abordări a confidențialității datelor prin aplicarea unui cadru inteligent de confidențialitate a datelor. Responsabilitățile suplimentare includ responsabilitatea pentru incidente precum încălcări ale datelor care necesită comunicarea acestora către persoanele afectate și organele de reglementare.
Procesorul de date – Procesorii de date pot fi interni sau agenții angajați pentru a gestiona procesarea datelor personale. De asemenea, procesorii de date supraveghează sistemele IT care stochează informațiile, precum și măsurile de securitate, transferurile de date și ștergerea datelor.
Ofițerul de protecție a datelor (DPO) – Există două scenarii în care trebuie numit un DPO. În primul rând, atunci când există o cerință zilnică de monitorizare și procesare a volumelor semnificative de date ale consumatorilor și, în al doilea rând, în industrii specializate de date, cum ar fi cele care procesează informații referitoare la condamnările penale.
Cu toate acestea, chiar dacă procesarea nu se încadrează în aceste categorii, se sugerează numirea unui Ofițer de Protecție a Datelor pentru a asigura conformitatea cu GDPR.
Baze legale pentru prelucrarea datelor
Pentru a se conforma reglementărilor, GDPR oferă șase baze legale pentru prelucrarea și stocarea datelor personale. În protecția datelor, o bază legală se referă la justificarea prelucrării datelor personale.
Cele șase baze legale pentru prelucrarea datelor conform reglementărilor GDPR sunt:
- Consimțământul individului în cauză – Datele sunt furnizate liber de către individ în circumstanțe clare și neambigue.
- Obligația contractuală între organizație și individ – Organizația are nevoie de anumite date pentru a le furniza un serviciu.
- Obligația legală a organizației – Organizația poate avea nevoie de anumite informații pentru a se conforma cerințelor legale sau statutare.
- Interesele vitale ale individului – Organizația poate avea nevoie să prelucreze anumite date pentru a proteja viața cuiva.
- Interesul public/ sarcina publică – Organizația poate prelucra informații pentru a îndeplini funcțiile publice stabilite în lege.
- Interesul legitim – Organizația are un interes în prelucrarea datelor, cum ar fi detaliile de contact, deoarece are un interes comercial legitim în a trimite e-mailuri sau a suna individul din motive de vânzare.
Responsabilitățile GDPR ale companiilor de gestionare a activelor
Organele de reglementare ale GDPR din UE pun un puternic accent pe încercările autentice de conformitate. Acest lucru înseamnă că procedurile, documentele și evaluările de conformitate sunt dovezi esențiale în cazul în care o organizație din industria de gestionare a activelor va fi subiectul unei plângeri, încălcări de date sau inspecții.
Tot personalul companiei de asset management trebuie să înțeleagă protocoalele de protecție a datelor și responsabilitățile lor pentru a asigura conformitatea cu GDPR. Iată la ce trebuie să fiți atenți:
- Termenii și condițiile de consimțământ trebuie să fie clare și neechivoce
- Software-ul de gestionare a datelor trebuie să fie în conformitate cu GDPR
- Securitatea rețelei trebuie testată în mod regulat pentru a minimiza potențialul unei încălcări de securitate. GDPR necesită dovezi ale procedurilor robuste pentru verificările de securitate ale rețelei, împreună cu protocoale pentru testarea hardware-ului și a criptării datelor.
- Site-ul companiei trebuie să îndeplinească cerințele GDPR.
Cu consimțământul explicit necesar din partea rezidenților UE, următoarele aspecte trebuie abordate:
1. Formulare de contact
Utilizatorii trebuie să fie conștienți de colectarea datelor lor atunci când folosesc formularele de contact. În majoritatea companiilor de gestionare a activelor, asta înseamnă că informațiile vor fi procesate și stocate înainte de utilizare. Crearea unei casete de bifare pentru a semnala acceptarea este o modalitate de a obține consimțământul. Însă, termenii și condițiile trebuie să fie ușor de găsit și să ofere informații clare cu privire la procesarea datelor personale.
2. Notificare despre cookie-uri
Este esențial să informați utilizatorii că site-ul colectează cookie-uri. Acest lucru înseamnă de obicei crearea unui strat suprapus care apare imediat ce cineva intră pe site și necesită un răspuns de pentru a accepta cookie-urile.
GDPR solicită furnizarea următoarelor informații:
- Identitatea organizației care procesează datele
- Scopul procesării datelor datele colectate prin cookie-uri. Este important să se justifice pe ce bază legală și în ce scopuri managerii de active colectează, prelucrează și stochează datele personale.
- Posibilitatea de a retrage permisiunea. Trebuie să fie la fel de ușor pentru individ să-și retragă permisiunea precum este să acorde consimțământul. Odată ce aceasta este retrasă, compania nu mai poate prelucra informațiile și datele colectate trebuie șterse.
- Potențialul de transfer de date către o țară terță. Transferul datelor se referă la transferul datelor personale ale cetățenilor Uniunii Europene în afara UE în scopuri de afaceri legitime.
Managerii de active au nevoie de cunoștințele și înțelegerea necesare pentru a implementa o abordare a confidențialității datelor în gestionarea datelor personale. Ei sunt obligați să se asigure că dețin doar datele necesare pentru a efectua serviciile aplicabile și să le șteargă atunci când nu mai sunt necesare conform legii sau reglementărilor aplicabile.
Implicațiile neconformității
Gestionarea incorectă a activităților de prelucrare a datelor afectează reputația companiei. Încălcările de date, acțiunile unei autorități de protecție a datelor și amenzile rezultate vor putea avea un impact considerabil asupra reputației organizațiilor.
De asemenea, și impactul financiar poate fi semnificativ, chiar și pentru cele mai mari organizații. Încălcările reglementărilor GDPR pot duce la amenzi usturătoare de milioane de Euro sau procent din cifra de afaceri mondială a firmei din anul financiar precedent.
În plus față de aceste amenzi, Regulamentul GDPR acordă fiecărei persoane afectate dreptul de a solicita compensații atunci când există o încălcare a conformității, fie că este vorba despre o încălcare a datelor sau despre incapacitatea de a renunța la cookie-uri.
„Interes comercial legitim” (Legitimate interest)
„Interes comercial legitim” înseamnă că trebuie să existe un motiv clar pentru ca o companie să colecteze și prelucreze anumite date despre o persoană fizică. Motivele pentru colectarea și prelucrarea datelor nu trebuie să încalce drepturile persoanei naturale. Din acest motiv, înregistrarea consimțământului este un cerință foarte importantă a GDPR.
Consimțământul trebuie să fie dat liber, neechivoc, clar și transparent pentru persoana vizată. Nu trebuie să existe texte legale lungi și confuze pe care să le citească. Consimțământul trebuie înregistrat corect. De asemenea, calea pentru a se dezabona trebuie să fie la fel de simplă – și clară – pentru persoana vizată.
Așadar, înțelegerea reglementărilor GDPR, a celor mai bune practici și a modului în care puteți respecta în mod etic aceste reguli este imperativă. Pentru a gestiona mai bine tot ce ține de GDPR, vă pot fi utile informările noastre lunare despre amenzile GDPR. Aici puteți citi care sunt cele mai frecvente motive pentru care se acordă amenzi GDPR, astfel încât să vă pregătiți mai bine și să evitați încălcările de Regulament GDPR.
Surse articol: Gdpreu.org