BNPR: EU-lagstiftningen om data skydd
Översikt
Lär dig mer om skyldigheter enligt BNPR och hur LEX247 är utformat för att hjälpa dig att uppnå BNPR efterlevnad.
LEX247 har alltid gjort säkerhet och integritet bland sina högsta prioriteter. Det är därför vi har åtagit oss att inte bara tillhandahålla verktyg för att underlätta din efterlevnad av BNPR, men att utbilda dig på ditt ansvar som en företagsägare. Eftersom BNPR räckvidd är bred och de potentiella påföljderna för att inte efterleva kraven är stora, har vi säkerställt att våra verktyg är tillgängliga för alla våra kunder, utan extra kostnad.
Denna sida kommer att skissera några av de viktigaste BNPR principer och villkor och presentera hur de gäller för din användning av LEX247. Läs igenom detta noggrant och dela det med ditt sekretess team med de juridiska dokument som anges nedan.
Ansvarsfriskrivning: Denna guide är inte och bör inte betraktas som juridisk rådgivning. Kontakta en jurist för mer information om hur BNPR kan påverka din juridiska praxis eller ditt företag och vad du behöver för att uppfylla kraven.
Allmän uppgiftsskydds förordning ("BNPR")
BNPR är en enhetlig förordning som ersätter och universalizes tidigare sekretesslagar i Europa, och som erbjuder medborgare och invånare i Europeiska unionen (EU) större öppenhet och kontroll över hur deras personuppgifter används av andra. BNPR kräver att företag som handlar i Europa, eller som underlättar transaktioner i Europa, efterlevs.
Controllers och processorer
Det finns två nyckelroller som definieras i BNPR med avseende på personuppgifter: registeransvarig och registerförare. Controllern är verksamheten – du. Som kund hos LEX247 arbetar du som Controller när du använder våra produkter och tjänster. Du har ansvaret för att se till att de personuppgifter som du samlar in behandlas på ett lagligt sätt i enlighet med BNPR och att du använder processorer, såsom LEX247, som har åtagit sig att hantera data på ett kompatibelt sätt.
LEX247 anses vara en processor. Vi agerar på instruktioner av den registeransvarige (du), som kommer i form av in-LEX247 eller externa (API) förfrågningar. Som registeransvariga har förädlaren en skyldighet att förklara vad de gör med personuppgifter. Som registerförare litar vi dock på att du, registeransvarig för data och vår kund, ser till att det finns en laglig grund för behandling.
Bearbetningsföretagen får vid utförandet av sina tjänster använda andra tredje parter vid behandling av personuppgifter. Dessa entiteter kallas under processorer. LEX247 utnyttjar till exempel molninfrastruktur leverantörer som Microsoft Azure, samt andra tjänster för betalningshantering och automatiserad e-post till våra kunder.
Med implementeringen av BNPR uppdaterar vi vår sekretesspolicy och SLUTANVÄNDARLICENSAVTAL med att inkludera databehandlings avsnitt som säkerställer att alla företag som kräver en BNPR-kompatibel processor kan använda LEX247.
Behandling av personuppgifter
För att kunna behandla personuppgifter behöver du en laglig grund för behandling. Det finns flera metoder för att fastställa en laglig grund för BNPR efterlevnad, men de mest sannolika mekanismer som du kommer att lita på när du kommunicerar med dina kunder och leads är något av följande:
- Samtycke– mycket av BNPR kretsar kring konceptet att dina leads och kunder har samtyckt till att du samlar in deras personuppgifter, till dig med hjälp av (t. ex. bearbetning) sina data, eller att ta emot kommunikation. Enligt ICO måste följande kriterier uppfyllas för att visa giltigt medgivande:
- Samtycke måste ges fritt. Detta innebär att ge människor äkta, fortlöpande val och kontroll över hur du använder deras data.
- Samtycke bör vara uppenbart och kräver positiva åtgärder för att anmäla sig. Begäran om medgivande måste vara framträdande, avdelad från andra villkor, koncis, användarvänlig och lätt att förstå.
- Samtycket måste särskilt omfatta den registeransvariges namn, ändamålen med behandlingen och typerna av behandlingsverksamhet.
- Uttryckligt medgivande måste uttryckligen bekräftas i ord, snarare än genom andra positiva åtgärder.
- Det finns ingen fastställd tidsgräns för samtycke. Hur länge det varar beror på sammanhanget. Du bör granska och uppdatera godkännandet på lämpligt sätt.
Kort sagt, under BNPR (och det är en bra idé i allmänhet), samtycke måste erhållas genom en “tydlig jakande handling”. I motsats till “tydliga jakande handlingar” förkryssade rutor eller implicit samtycke är otillräckliga för att fastställa samtycke.
Om du förlitar dig på samtycke som den lagliga grunden för behandling av data, kräver BNPR registrerade bevis på att samtycke har givits. Du behöver alltså i din verksamhet möjlighet att spela in korrekt medgivande för varje kund och bly. När du aktiverar BNPR-funktionen i LEX247 har du möjlighet att få din leads medgivande vid tidpunkten för opt-in, och att samtycke kommer att registreras som en tagg som är associerad med det leadet.
Obs: LEX247 kan inte styra vad du gör med leads i en automatiserad API-miljö. Du måste se till att, när LEX247 fungerar som en sub-processor, att du använder din huvudsakliga processorer för att se till att du är kompatibel med BNPR.
- Kontrakt– förutom samtycke, är en annan laglig grund för behandling av uppgifter om behandlingen av personuppgifter är nödvändig för att fullgöra ett kontrakt. Lösenordsåterställning, faktureringsmeddelanden och onboarding-kommunikation skulle sannolikt falla under denna lagliga grund. Med andra ord, om det är en kund som agerar med dig, finns det vissa bearbetningsuppgifter som måste utföras för att du ska kunna tillhandahålla tjänsten. Likaså, för att hålla sina åtaganden enligt dess EULA och tillhandahålla service till dig, LEX247 måste utföra viss behandling.
Hur LEX247 använder personuppgifter
LEX247 har åtagit sig att full transparens i hanteringen och bearbetningen av dina kunders personuppgifter som du kontrollerar.
Användar data LEX247 samlar in: namn, e-post, telefon, adress, land, IP och användarnamn.
LEX247 spårar följande aktiviteter: transaktioner, helpdesk-biljetter och medlemskap.
Data lagras eller tas bort på controllers begäran. När en Controller upphör att vara en aktiv LEX247-kund, har deras ackumulerade data dragits tillbaka till ett lagrings kluster med servrar som inte har åtkomst på framsidan. Efter en godtycklig tidsperiod raderas data.
Registrerade rättigheter
Enligt BNPR är EU-registrerade vissa rättigheter när det gäller deras uppgifter. Dessa inkluderar:
Rätten till data portabilitet och rätten till tillgång:
LEX247 erbjuder verktyg som låter dig besvara kundfrågor om vilka data du har samlat in genom LEX247 och vad som har gjorts med det. Tänk på, om du har samlat in personuppgifter utanför LEX247, LEX247 har ingen kunskap eller förmåga att svara på frågor om sådana uppgifter.
Rätten att bli bortglömd och rätten till begränsning av behandlingen
Har ett lead eller en klient som vill att deras personliga data ska finnas i databasen? Inga problem! Du kan ta bort kontakten från valfri lista, eller till och med ta bort den helt. Transaktionsregister kommer dock att förbli intakta för bokföringsändamål (även om personuppgifter kommer att Redacted (t. ex. “blackout” från vyn).
Om inte annat krävs enligt lag, i händelse av att LEX247 mottar någon typ av begäran från en person, kommer vi att engagera respektive kund inom sju dagar för att svara på den registrerade begäran.
Tillägg till data behandling
Vårt databehandlingstillägg (DPA) till vårt licensavtal för slutanvändare formaliserar många av detaljerna som beskrivs på denna webbplats på ett specifikt juridiskt språk. Som en del av licensavtalet kommer DPA att reglera villkoren för hur LEX247, som registerförare, bearbetar data för sina kunders räkning (som vanligtvis är registeransvariga) i enlighet med artikel 28 i BNPR.
Om inte annat krävs enligt lag, i händelse av att LEX247 mottar någon typ av begäran från en person, kommer vi att engagera respektive kund inom sju dagar för att svara på den registrerade begäran.
Dessa inkluderar
- under bearbetningsföretag som levererar våra tjänster
- länder genom vilka uppgifterna överförs (gränsöverskridande protokoll)
- säkerhetsåtgärder som vidtas för att se till att dina uppgifter hålls privata
- meddelande protokoll för brott
Vanliga frågor
Påverkar BNPR företag utanför EU?
I många fall, ja. Även företag som inte är baserade i EU anses vara föremål för BNPR om de samlar in personuppgifter om EU-medborgare. Verkställighet av BNPR utanför EU kommer att ske av EU: s myndigheter och det återstår att se hur aggressiva de kommer att bli. Rådgör med din egen jurist, men det är allmänt accepterat att företag som samlar in personuppgifter från EU-medborgare kommer att omfattas av kraven i BNPR.
Kräver BNPR uppgifter som ska lagras i EU?
BNPR kräver inte att databehandling (inklusive lagring av uppgifter) begränsas till EU. Integritetsskydds skölden EU-USA är ett av flera giltiga lagliga mekanismer för att överföra uppgifter mellan EU och USA. Utöver Privacy Shield innehåller LEX247’s data behandlings tillägg EU: s standardklausuler, som också är en giltig mekanism för laglig överföring av uppgifter mellan EU och USA. Våra europeiska baserade kunduppgifter lagras i vårt datacenter i Tyskland.
Hur påverkar BNPR personuppgifter som samlats in före den 25 maj? Måste jag få samtycke för alla mina leads igen?
BNPR gäller alla personuppgifter, även om de samlades in före den 25 maj 2018. När ditt företag förbereder genomförandet av BNPR bör du se till att du kan granska medgivande posterna för de EU-bosatta medlemmarna i din e-postlista eller att du kan få och registrera bevis på samtycke framöver.
Har du en sekretesspolicy?
Ja! Den innehåller information om våra policyer och ansträngningar för att följa alla gällande regler och för att garantera sekretessen för dina data. Den finns här.
Har du en data behandlings policy?
Ja! Vårt databehandlingstillägg till vårt licensavtal innehåller information om vår databehandling och hur vi arbetar med controllers och under processorer för att följa gällande regler och för att säkerställa sekretessen för dina data. Du kan få en kopia av LEX247 DPA genom att göra en skriftlig begäran via e-post till vårt uppgiftsskyddsombud.
Vem är LEX247's Data Protection Officer (uppgiftsskyddsombudet)?
LEX247’s uppgiftsskyddsombudet är: Daniel Halan
E-postadress: Daniel.Halan@lex247.com
I enlighet med artikel 38 i BNPR kan allmänheten kontakta uppgiftsskyddsombudet när det gäller frågor som rör behandling av deras personuppgifter och att utöva sina rättigheter enligt BNPR – till exempel för att invända mot behandlingen av deras uppgifter i de fall då dat en registeransvarig (d.v.s. LEX247’s kund) ger inte ett adekvat svar.
Är LEX247 PCI-kompatibelt?
LEX247 följer, och granskas årligen för efterlevnaden av, betalkort Industry Data Security Standard, som är en rigorös data skyddsram inriktad på skydd av betalkortsuppgifter.
Vår senaste PCI DSS gransknings dokumentation finns tillgänglig på begäran. Kontakta Daniel.Halan@lex247.com om du behöver dokumentationen.
Frågor?
Känn dig fri att kontakta oss via contact page med eventuella frågor du kan ha.
