General Data Protection Regulation (GDPR)

Almooond's guide to the European data protection rules 

 

Overview of the new privacy laws and best practices

Since May 25 th , 2018, the  General Data Protection Regulation (GDPR)  is into effect, opening a new era of data protection and privacy for everyone. While you've certainly heard and read a lot of information about GDPR, it can be difficult to understand exactly what it means for your business, in practical terms, and what you should do to be compliant with the new rules.

At Almooond, we are committed to follow best practices in terms security and privacy. We strive to provide the same level of protection to all users and customers, without distinction on their location or citizenship. And we apply those best practices for all data, not just personal data.

Almooond and its subsidiaries are compliant with GDPR.

 

A. What you need to know about GDPR


The best way to understand GDPR is to  Read the Official text It's a bit long (99 articles over 88 pages), but quite readable for non-experts. It is an EU Regulation, that aims to harmonize and modernize existing privacy legislation, such as the EU Data Privacy Directive that it replaces. It lays down rules for the protection of natural persons with regard to the processing of their personal data, and the free flow of personal data within Europe. It is a Regulation, not a Directive, therefore applicable immediately in all EU member states, without requiring transposition into the domestic law of each country. EU countries have a limited margin of interpretation for the finer points, but fundamental rules will be the same for everyone, everywhere in EU. GDPR also brings the legislation to the next millennium, taking into account social media, cloud computing, cybercrime and the major challenges that they cause in terms of personal data privacy and security. GDPR is not a world-breaking new legislation, and it is fundamentally a good thing for citizens and businesses.

We want to emphasize that GDPR can be great for you and your customers. Complying to the GDPR may initially represent a lot of work, but there are upsides to the new rules:

- Increased trust from your customers and users

- Simplification: same rules are applied in all countries across EU

- Rationalization and centralization of your organizational processes

The purpose of GDPR is to give individuals more oversight on their personal data. If your company puts in place the correct strategies and systems, it will be easier to manage, more secure and safer for the years to come.

What are the risks if you aren't compliant?

The maximum penalty for non-compliance is an administrative fine of 20 million euros, or 4% of your global annual turnover, whichever is higher. A smaller maximum of 10 million euros or 2% of your global annual turnover is applicable for lesser infringements. These maximums are meant to be dissuasive for businesses of all sizes, but GDPR also requires the fines to be kept proportionate. Supervisory authorities (also known as Data Protection Authorities: DPAs) must take into account the circumstances of each case, including the nature, gravity, and duration of the infringement. These DPAs are also granted powers to investigate and impose corrective actions, which include the limitation of the infringing activities, without necessarily imposing a fine. Another risk if you do not comply is the loss of trust from your customers and prospects, who care about the way you process their data! Finally, many DPAs have hinted that they won't impose fines in 2018 yet, but they expect businesses to demonstrate that they are working towards compliance.

 

Key principles of GDPR

Scope

The regulation applies to any processing of personal data by any organization:

  1. If the controlling or processing organization is located in the EU
  2. If the organization is not located in the EU, but the processing involves personal data of data subjects located in the EU, and is related to commercial offerings or behaviour monitoring.

         The scope therefore includes non-EU companies, which was not the case with older legislation.

Roles

The regulation distinguishes two main types of entities:

  • Data controller: any entity who determines the purposes and means of the processing of personal data, alone or jointly. As a general rule, every organization is a controller for its own data.
  • Data processor : any entity who processes data on behalf of a data controller.

         For example, if your company owns a database hosted on the Almooond Cloud, you are the controller for that database, and Almooond is only a data processor. If you instead use Almooond on premise, you are both controller and processor of the data.

Personal Data

GDPR gives a broad definition of personal data: any information relating to an identified or identifiable natural person. An identifiable person is one that can be identified, directly or indirectly, by means of their names, emails, phone numbers, biometric information, location data, financial data, etc. Online identifiers (IP addresses, device IDs, …) are also in scope.

This applies in business contexts too:  info@Almooond.com  is not considered personal, but  john.smith@Almooond.com  is, because it can be used to identify a physical person within a company.

GDPR also requires a higher level of protection for sensitive data, which includes specific categories of personal data such as health, genetic, racial or religion information.


Data Processing Principles

In order to be compliant, processing activities must observe the following rules: (as listed in Article 5 of GDPR)

1. Lawfulness, fairness and transparency: to collect data, you must have a legal basis, a clear purpose, and you must inform the subject about it.  Have a simple and clear Privacy Policy, and refer to it everywhere you collect data.  Verify the legal basis for each of your data processing activities

2. Purpose limitation: once collected for a purpose, request permission if you want to use it for a different purpose. e.g. - You can't decide to sell your customer data if it was not collected for that purpose.

3. Minimisation: you must only collect the data necessary for your purpose.

4.  Accuracy: reasonable steps should be taken to make sure that data is kept updated, with regard to the purpose e.g. - Be sure to handle bounced emails, and correct or delete the addresses.

5. Storage limitation: personal data should only be kept for the duration needed to fulfil its primary purpose.  Define time limits for erasure or review of the personal data you process, depending on their purpose.

6. Integrity and Confidentiality: data processors must implement appropriate access control, security and data loss prevention measures, in accordance with the types and extents of data being processed.  e.g. - Make sure your backup system is working, have proper security controls in place, use encryption to protect sensitive data such as passwords.

7. Accountability: data controllers are responsible for, and must be able to demonstrate compliance with all above processing principles. Establish and maintain a data mapping reference for your organization, describing the compliance of your processing activities.  Inform your customers via a clear Privacy Policy.

Legal Basis

In order to be lawful under GDPR ( first principle ), processing of personal data must be based on one of six possible legal bases, as listed in Article 6 (1):

  1. Consent. Valid when the data subject has  explicitly and  freely  given consent after being properly  informed , including a  clearly stated  and  specific purpose . The burden of proof for all of this lies on the controller.
  2. Necessary for the performance of a contract , or to fulfil requests from the data subject, in preparation for a contract.
  3. Compliance with a legal obligation that is imposed on the controller.
  4. Protecting a vital interest . When the processing is necessary to save a life.
  5. Public interest or official authority .
  6. Legitimate interest. Applicable when the controller has a legitimate interest that is not overridden by the interests and fundamental rights of the data subject.

One major change brought by GDPR over previous data privacy regulation is the stricter requirements for obtaining valid consent.

Data Subject Rights.  Existing data privacy rights for individuals are further expanded by the GDPR. Organizations must be prepared to handle requests from data subjects in a timely manner (within 1 month), free of charge:

  1. Right to Access - Individuals have the right to know  what  and  how  their personal data is being processed, in full transparency.
  2. Right to Rectification - Individuals have the right to obtain  correction  or  completion  of their personal data.
  3. Right to Erasure - Individuals have the right to obtain  deletion  of their personal data for legitimate reasons (consent withdrawn, no longer necessary for the purpose, etc.).
  4. Right to Restriction - Individuals can request that the controller  stops processing  their personal data, if they do not want or cannot request full deletion.
  5. Right to Object - Individuals have the right to  object  to certain processing of their personal data at any time, for example for direct marketing purposes.
  6. Data Portability - Individuals have the right to request that personal data held by a controller be  provided to them , or to another controller.


B. How you should prepare for GDPR

Disclaimer
We cannot provide legal advice, this section is only provided for informational purposes. Please reach out to your legal counsel in order to determine exactly how GDPR affects your company.

Here are the key steps we suggest for a GDPR compliance roadmap:

  1. Establish a Data Mapping of the data processing activities of your organization to  get a clear picture of the situation . Data Protection Authorities often provide spreadsheet templates to help in this task. For each process, document the type of personal data and how it was collected ; the  purpose legal basis  and  erasure policy  of the treatment ; the technical and organizational  security measures  implemented, and the  subcontractors  (processors) involved.

    You will need to maintain this data mapping regularly, as your processes evolve.

  2. Based on step 1, choose a Remediation Strategy for any processing where you do not have a legal basis (e.g. missing consent) or where you do not have appropriate security measures in place. Adapt your processes, your internal procedures, your access control rules, backups, monitoring, etc.
  3. Update and publish a clear Privacy Policy on your website. Explain what personal data you process, how you do it, and what are the rights of individuals with regard to their data.
  4. Review your Contracts with a legal counsel, and adapt them to GDPR.
  5. Decide how you will answer the various kinds of Data Subject Requests.
  6. Prepare your Incident Response Procedure in case of data breach.

Depending on your situation, other elements could be added to the list, such as the appointment of a Data Protection Officer. Consult your internal processing experts and your legal counsels to determine any other relevant measure.

Remember!
Establishing a clear mapping of your processes will make everything easier on the road to compliance!

C. How is Almooond compliant with GDPR

At Almooond, implementing privacy and security best practices is not a new idea. As a Cloud hosting company, we're constantly revising and improving our systems, tools and processes, in order to maintain a great and secure platform.

Our GDPR Roles

Our responsibilities in terms of personal data protection depend on our various data processing activities:

Our Roles

Data Processing

Kind of data

Data Controller & Processor

On Almooond's premise

Personal data provided to us by our direct customers and prospects, our partners and all direct users of Almooond.com (names, emails, addresses, passwords)

Data Processor

On Almoond's Cloud

Any personal data stored in the databases of our customers, hosted in the Almooond Cloud or transferred to us for the purpose of using one of our services. The owner of the database is the data controller.

No role

On Customers' Premises

Any data located in databases hosted on-premise or in any hosting not operated by us.


Our GDPR documents

As a Data Controller, our activities are covered in our  Privacy Policy , which has been updated for GDPR. This policy explains as clearly as possible  what data we process,  why  we process it, and  how  we do it. Closely related to this, our Security Policy explains the security best practices we implemented at Almooond, at all levels (technical and organizational) in order to guarantee that your data is processed in a safe and secure manner.

In addition to those policies, our activities as a Data Processor are subject to the acceptation of our Service/Subscription Level Agreement . This agreement has been updated in order to add the necessary Data Protection clauses, as required by the GDPR.

As a Customer of Almooond you don't have anything to do to accept these changes, you already benefit from the new guarantees, and we will consider that you agree if we don't hear anything from you! 


In addition to these documents, we have also updated our website to insert privacy notices in all relevant places, in order to keep our users informed at all times.


Contact Us
Please contact us to be directed to the relevant DPA contacts. As further explained in the Privacy Shield Principles, a binding arbitration option will also be made available to you in order to address residual complaints not resolved by any other means.
Almooond is subject to the investigatory and enforcement powers of the Greek authorities and of the European Union Trade Commission.

Almooond Ltd
Dunav 41, 2850, Petrich
Bulgaria 
Landline: +359 2 490.3337

E-Mail:  privacy@almooond.com

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)

Οδηγός της Almooond για τους Ευρωπαϊκούς Κανόνες Προστασίας Δεδομένων

 

Επισκόπηση των νέων νόμων περί απορρήτου και βέλτιστων πρακτικών

Από τις 25 Μαΐου 2018, τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ανοίγοντας μια νέα εποχή προστασίας δεδομένων και απορρήτου για όλους. Αν και σίγουρα έχετε ακούσει και διαβάσει πολλές πληροφορίες σχετικά με το GDPR, μπορεί να είναι δύσκολο να κατανοήσετε ακριβώς τι σημαίνει για την επιχείρησή σας, σε πρακτικούς όρους, και τι πρέπει να κάνετε για να συμμορφωθείτε με τους νέους κανόνες.

Στην Almooond, δεσμευόμαστε να ακολουθούμε τις βέλτιστες πρακτικές όσον αφορά την ασφάλεια και το απόρρητο. Προσπαθούμε να παρέχουμε το ίδιο επίπεδο προστασίας σε όλους τους χρήστες και πελάτες, χωρίς διάκριση ως προς την τοποθεσία ή την υπηκοότητά τους. Και εφαρμόζουμε αυτές τις βέλτιστες πρακτικές για όλα τα δεδομένα, όχι μόνο για προσωπικά δεδομένα.

Η Almooond και οι θυγατρικές της συμμορφώνονται με το GDPR.

 

A. Τι πρέπει να γνωρίζετε για το GDPR

Ο καλύτερος τρόπος για να κατανοήσετε το GDPR είναι να διαβάσετε την Επίσημη Σελίδα. Είναι λίγο μεγάλο (99 άρθρα σε 88 σελίδες), αλλά αρκετά ευανάγνωστο για μη ειδικούς. Είναι λίγο μεγάλο (99 άρθρα σε 88 σελίδες), αλλά αρκετά ευανάγνωστο για μη ειδικούς. Είναι ένας κανονισμός της ΕΕ, ο οποίος στοχεύει στην εναρμόνιση και τον εκσυγχρονισμό της υφιστάμενης νομοθεσίας περί απορρήτου, όπως η Οδηγία της ΕΕ για την Προστασία Προσωπικών Δεδομένων που αντικαθιστά. Θεσπίζει κανόνες για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων και την ελεύθερη ροή προσωπικών δεδομένων εντός της Ευρώπης. Είναι Κανονισμός και όχι Οδηγία, επομένως εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, χωρίς να απαιτείται μεταφορά στο εσωτερικό δίκαιο κάθε χώρας. Οι χώρες της ΕΕ έχουν περιορισμένο περιθώριο ερμηνείας για τα πιο λεπτά σημεία, αλλά οι θεμελιώδεις κανόνες θα είναι ίδιοι για όλους, παντού στην ΕΕ. Ο GDPR φέρνει επίσης τη νομοθεσία στην επόμενη χιλιετία, λαμβάνοντας υπόψη τα μέσα κοινωνικής δικτύωσης, το cloud computing, το έγκλημα στον κυβερνοχώρο και τις μεγάλες προκλήσεις που προκαλούν όσον αφορά το απόρρητο και την ασφάλεια των προσωπικών δεδομένων. Ο GDPR δεν είναι μια παγκόσμια νέα νομοθεσία και είναι θεμελιωδώς καλό για τους πολίτες και τις επιχειρήσεις.

Θέλουμε να τονίσουμε ότι το GDPR μπορεί να είναι υπέροχο για εσάς και τους πελάτες σας. Η συμμόρφωση με τον GDPR μπορεί αρχικά να αντιπροσωπεύει πολλή δουλειά, αλλά υπάρχουν θετικά στοιχεία στους νέους κανόνες:

- Αυξημένη εμπιστοσύνη από τους πελάτες σας και τους χρήστες

- Απλοποίηση: εφαρμόζονται οι ίδιοι κανόνες σε όλες τις χώρες της ΕΕ

- Εξορθολογισμός και συγκέντρωση των οργανωτικών διαδικασιών σας

Ο σκοπός του GDPR είναι να παρέχει στα άτομα μεγαλύτερη εποπτεία στα προσωπικά τους δεδομένα. Εάν η εταιρεία σας εφαρμόζει τις σωστές στρατηγικές και συστήματα, θα είναι ευκολότερη η διαχείριση και ασφαλέστερη για τα επόμενα χρόνια.

Ποιοι είναι οι κίνδυνοι εάν δεν συμμορφώνεστε;

Η μέγιστη ποινή για μη συμμόρφωση είναι ένα διοικητικό πρόστιμο 20 εκατομμυρίων ευρώ, ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών σας, όποιο από τα δύο είναι υψηλότερο. Για μικρότερες παραβάσεις ισχύει μικρότερο μέγιστο ποσό 10 εκατομμυρίων ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών σας. Αυτά τα ανώτατα όρια προορίζονται να είναι αποτρεπτικά για επιχειρήσεις όλων των μεγεθών, αλλά ο GDPR απαιτεί επίσης τα πρόστιμα να διατηρούνται αναλογικά. Οι εποπτικές αρχές (γνωστές και ως Αρχές Προστασίας Δεδομένων: ΑΠΔ) πρέπει να λαμβάνουν υπόψη τις συνθήκες κάθε περίπτωσης, συμπεριλαμβανομένης της φύσης, της σοβαρότητας και της διάρκειας της παράβασης. Σε αυτές τις ΑΠΔ εκχωρούνται επίσης εξουσίες να διερευνούν και να επιβάλλουν διορθωτικές ενέργειες, οι οποίες περιλαμβάνουν τον περιορισμό των παραβατικών δραστηριοτήτων, χωρίς απαραίτητα να επιβάλλουν πρόστιμο. Ένας άλλος κίνδυνος εάν δεν συμμορφωθείτε είναι η απώλεια εμπιστοσύνης από τους πελάτες και τους υποψήφιους πελάτες σας, οι οποίοι ενδιαφέρονται για τον τρόπο με τον οποίο επεξεργάζεστε τα δεδομένα τους! Τέλος, πολλές ΑΠΔ έχουν αφήσει να εννοηθεί ότι δεν θα επιβάλουν πρόστιμα το 2018 ακόμη, αλλά περιμένουν από τις επιχειρήσεις να αποδείξουν ότι εργάζονται για τη συμμόρφωση.

Βασικές αρχές του GDPR

Σκοπός

Ο κανονισμός ισχύει για οποιαδήποτε επεξεργασία προσωπικών δεδομένων από οποιονδήποτε οργανισμό:

  1. Εάν ο οργανισμός ελέγχου ή επεξεργασίας βρίσκεται στην Ε.Ε
  2. Εάν ο οργανισμός δεν βρίσκεται στην ΕΕ, αλλά η επεξεργασία περιλαμβάνει προσωπικά δεδομένα υποκειμένων των δεδομένων που βρίσκονται στην ΕΕ και σχετίζεται με εμπορικές προσφορές ή παρακολούθηση συμπεριφοράς.

Ως εκ τούτου, το πεδίο εφαρμογής περιλαμβάνει εταιρείες εκτός ΕΕ, κάτι που δεν συνέβαινε με την παλαιότερη νομοθεσία.Roles

Ρόλους

Ο κανονισμός διακρίνει δύο βασικούς τύπους οντοτήτων:

  • Υπεύθυνος επεξεργασίας δεδομένων: κάθε οντότητα που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μόνος ή από κοινού. Κατά γενικό κανόνα, κάθε οργανισμός είναι υπεύθυνος επεξεργασίας για τα δικά του δεδομένα.
  • Ο εκτελών της επεξεργασίας δεδομένων: κάθε οντότητα που επεξεργάζεται δεδομένα για λογαριασμό υπεύθυνου επεξεργασίας δεδομένων.

Για παράδειγμα, εάν η εταιρεία σας διαθέτει μια βάση δεδομένων που φιλοξενείται στο Almooond Cloud, είστε υπεύθυνος επεξεργασίας αυτής της βάσης δεδομένων και η Almooond είναι μόνο ο εκτελών της επεξεργαστής δεδομένων. Αν αντ 'αυτού χρησιμοποιείτε το Almooond on premise, είστε και ο υπεύθυνος και ο εκτελών της επεξεργασία των δεδομένων. 


Προσωπικά δεδομένα

Ο GDPR δίνει έναν ευρύ ορισμό των προσωπικών δεδομένων: κάθε πληροφορία που σχετίζεται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ένα αναγνωρίσιμο άτομο είναι αυτό που μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, μέσω των ονομάτων, των email, των αριθμών τηλεφώνου, των βιομετρικών στοιχείων, των δεδομένων τοποθεσίας, των οικονομικών δεδομένων κ.λπ. Τα διαδικτυακά αναγνωριστικά (διευθύνσεις IP, αναγνωριστικά συσκευών, …) περιλαμβάνονται επίσης στο πεδίο εφαρμογής.

Αυτό ισχύει και σε επιχειρηματικά πλαίσια: το info@Almooond.com δεν θεωρείται προσωπικό, αλλά το john.smith@Almooond.com, επειδή μπορεί να χρησιμοποιηθεί για την αναγνώριση ενός φυσικού προσώπου σε μια εταιρεία.

Ο GDPR απαιτεί επίσης υψηλότερο επίπεδο προστασίας για ευαίσθητα δεδομένα, το οποίο περιλαμβάνει συγκεκριμένες κατηγορίες προσωπικών δεδομένων όπως πληροφορίες υγείας, γενετικές, φυλετικές ή θρησκευτικές πληροφορίες.

 
Αρχές Επεξεργασίας Δεδομένων

Σύμφωνα με το άρθρο 5 ΓΚΠΔ, για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων (απλών και ειδικών κατηγοριών), πρέπει η επεξεργασία να διέπεται από συγκεκριμένες αρχές. Αυτές είναι:


1. Νομιμότητα, δικαιοσύνη και διαφάνεια: για τη συλλογή δεδομένων, πρέπει να έχετε νομική βάση, σαφή σκοπό και να ενημερώσετε το υποκείμενο σχετικά. Έχετε μια απλή και σαφή Πολιτική Απορρήτου και ανατρέχετε σε αυτήν οπουδήποτε συλλέγετε δεδομένα. Επαληθεύστε τη νομική βάση για κάθε δραστηριότητα επεξεργασίας δεδομένων σας.

2. Περιορισμός σκοπού: αφού συλλεχθεί για έναν σκοπό, ζητήστε άδεια εάν θέλετε να το χρησιμοποιήσετε για διαφορετικό σκοπό. π.χ. - Δεν μπορείτε να αποφασίσετε να πουλήσετε τα δεδομένα των πελατών σας εάν δεν συλλέχθηκαν για αυτόν τον σκοπό.

3. Ελαχιστοποίηση δεδομένων: Θα πρέπει να συλλέγετε και να επεξεργάζεστε μόνο όσα δεδομένα είναι απολύτως απαραίτητα για τους καθορισμένους σκοπούς.

4.  Ακρίβεια: πρέπει να ληφθούν εύλογα μέτρα για να διασφαλιστεί ότι τα δεδομένα διατηρούνται ενημερωμένα, σε σχέση με το σκοπό π.χ. -Φροντίστε να χειρίζεστε τα αναπηδημένα email και να διορθώνετε ή να διαγράφετε τις διευθύνσεις.

5. Περιορισμός αποθήκευσης: τα προσωπικά δεδομένα θα πρέπει να διατηρούνται μόνο για τη διάρκεια που απαιτείται για την εκπλήρωση του πρωταρχικού τους σκοπού. Καθορίστε χρονικά όρια για τη διαγραφή ή τον έλεγχο των προσωπικών δεδομένων που επεξεργάζεστε, ανάλογα με τον σκοπό τους.

6. Ακεραιότητα και εμπιστευτικότητα: οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να εφαρμόζουν κατάλληλα μέτρα ελέγχου πρόσβασης, ασφάλειας και πρόληψης απώλειας δεδομένων, σύμφωνα με τους τύπους και την έκταση των δεδομένων που υποβάλλονται σε επεξεργασία. π.χ. - Βεβαιωθείτε ότι το εφεδρικό σύστημά σας λειτουργεί, έχετε τους κατάλληλους ελέγχους ασφαλείας, χρησιμοποιήστε κρυπτογράφηση για την προστασία ευαίσθητων δεδομένων, όπως κωδικών πρόσβασης.

7. Υπευθυνότητα: οι υπεύθυνοι επεξεργασίας δεδομένων είναι υπεύθυνοι και πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωση με όλες τις παραπάνω αρχές επεξεργασίας. Δημιουργήστε και διατηρήστε μια αναφορά χαρτογράφησης δεδομένων για τον οργανισμό σας, περιγράφοντας τη συμμόρφωση των δραστηριοτήτων επεξεργασίας σας. Ενημερώστε τους πελάτες σας μέσω μιας ξεκάθαρης Πολιτικής απορρήτου.

Νομική βάση

Προκειμένου να είναι νόμιμη βάσει του GDPR (πρώτη αρχή), η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να βασίζεται σε μία από τις έξι πιθανές νομικές βάσεις, όπως αναφέρονται στο άρθρο 6 παράγραφος 1:

  1. Συγκατάθεση. Ισχύει όταν το υποκείμενο των δεδομένων έχει δώσει ρητά και ελεύθερα τη συγκατάθεσή του αφού ενημερωθεί σωστά, συμπεριλαμβανομένου ενός σαφώς δηλωμένου και συγκεκριμένου σκοπού. Το βάρος της απόδειξης για όλα αυτά βαρύνει τον ελεγκτή.
  2. Απαραίτητο για την εκτέλεση μιας σύμβασης ή για την εκπλήρωση αιτημάτων από το υποκείμενο των δεδομένων, κατά την προετοιμασία μιας σύμβασης.
  3. Συμμόρφωση με νομική υποχρέωση που επιβάλλεται στον υπεύθυνο επεξεργασίας.
  4. Προστασία ζωτικής σημασίας συμφέροντος. Όταν η επεξεργασία είναι απαραίτητη για να σωθεί μια ζωή.
  5. Δημόσιο συμφέρον ή επίσημη αρχή.
  6. Έννομο συμφέρον. Ισχύει όταν ο υπεύθυνος επεξεργασίας έχει έννομο συμφέρον που δεν υπερισχύει των συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων.

Μια σημαντική αλλαγή που επέφερε ο GDPR σε σχέση με τον προηγούμενο κανονισμό περί απορρήτου δεδομένων είναι οι αυστηρότερες απαιτήσεις για τη λήψη έγκυρης συναίνεσης.

Δικαιώματα υποκειμένου δεδομένων. Τα υφιστάμενα δικαιώματα προστασίας προσωπικών δεδομένων για τα άτομα επεκτείνονται περαιτέρω από τον GDPR. Οι οργανισμοί πρέπει να είναι έτοιμοι να χειριστούν αιτήματα από τα υποκείμενα των δεδομένων έγκαιρα (εντός 1 μήνα), δωρεάν:

  1. Δικαίωμα πρόσβασης - Τα άτομα έχουν το δικαίωμα να γνωρίζουν τι και πώς υφίστανται επεξεργασία τα προσωπικά τους δεδομένα, με πλήρη διαφάνεια.
  2. Δικαίωμα διόρθωσης - Τα άτομα έχουν το δικαίωμα να επιτύχουν διόρθωση ή συμπλήρωση των προσωπικών τους δεδομένων.
  3. Δικαίωμα διαγραφής - Τα άτομα έχουν το δικαίωμα να επιτύχουν τη διαγραφή των προσωπικών τους δεδομένων για νόμιμους λόγους (η συγκατάθεση ανακλήθηκε, δεν είναι πλέον απαραίτητη για τον σκοπό αυτό, κ.λπ.).
  4. Δικαίωμα περιορισμού - Τα άτομα μπορούν να ζητήσουν από τον υπεύθυνο επεξεργασίας να σταματήσει την επεξεργασία των προσωπικών τους δεδομένων, εάν δεν θέλουν ή δεν μπορούν να ζητήσουν την πλήρη διαγραφή.
  5. Δικαίωμα αντίρρησης - Τα άτομα έχουν το δικαίωμα να αντιταχθούν σε ορισμένη επεξεργασία των προσωπικών τους δεδομένων ανά πάσα στιγμή, για παράδειγμα για σκοπούς άμεσου μάρκετινγκ.
  6. Φορητότητα δεδομένων - Τα άτομα έχουν το δικαίωμα να ζητήσουν να παρασχεθούν σε αυτά ή σε άλλο υπεύθυνο επεξεργασίας τα προσωπικά δεδομένα που κατέχει ένας υπεύθυνος επεξεργασίας.



B. Πώς πρέπει να προετοιμαστείτε για το GDPR​

Αποποίηση ευθυνών
Δεν μπορούμε να παρέχουμε νομικές συμβουλές, αυτή η ενότητα παρέχεται μόνο για ενημερωτικούς σκοπούς. Απευθυνθείτε στον νομικό σας σύμβουλο για να προσδιορίσετε ακριβώς πώς επηρεάζει ο GDPR την εταιρεία σας.

Ακολουθούν τα βασικά βήματα που προτείνουμε για έναν οδικό χάρτη συμμόρφωσης με τον GDPR:   

1.      Δημιουργήστε μια χαρτογράφηση δεδομένων των δραστηριοτήτων επεξεργασίας δεδομένων του οργανισμού σας για να έχετε μια σαφή εικόνα της κατάστασης. Οι Αρχές Προστασίας Δεδομένων παρέχουν συχνά πρότυπα υπολογιστικών φύλλων για να βοηθήσουν σε αυτό το έργο. Για κάθε διαδικασία, τεκμηριώστε τον τύπο των προσωπικών δεδομένων και τον τρόπο συλλογής τους’ ο σκοπός, η νομική βάση και η πολιτική διαγραφής της θεραπείας, τα τεχνικά και οργανωτικά μέτρα ασφαλείας που εφαρμόστηκαν και οι εμπλεκόμενοι υπεργολάβοι (μεταποιητές)

Θα χρειαστεί να διατηρείτε αυτή τη χαρτογράφηση δεδομένων τακτικά, καθώς οι διαδικασίες σας εξελίσσονται.

2.      Με βάση το βήμα 1, επιλέξτε μια στρατηγική αποκατάστασης για οποιαδήποτε επεξεργασία για την οποία δεν έχετε νομική βάση (π.χ. έλλειψη συναίνεσης) ή όπου δεν έχετε λάβει τα κατάλληλα μέτρα ασφαλείας. Προσαρμόστε τις διαδικασίες σας, τις εσωτερικές σας διαδικασίες, τους κανόνες ελέγχου πρόσβασης, τα αντίγραφα ασφαλείας, την παρακολούθηση κλπ.

3.      Ενημερώστε και δημοσιεύστε μια σαφή Πολιτική Απορρήτου στον ιστότοπό σας. Εξηγήστε ποια προσωπικά δεδομένα επεξεργάζεστε, πώς το κάνετε και ποια είναι τα δικαιώματα των ατόμων σε σχέση με τα δεδομένα τους.

4.      Ελέγξτε τα Συμβόλαιά σας με νομικό σύμβουλο και προσαρμόστε τα στον GDPR.

5.      Αποφασίστε πώς θα απαντήσετε στα διάφορα είδη αιτημάτων για το θέμα των δεδομένων.

6.      Προετοιμάστε τη Διαδικασία Αντιμετώπισης Συμβάντων σε περίπτωση παραβίασης δεδομένων.

Ανάλογα με την κατάστασή σας, θα μπορούσαν να προστεθούν άλλα στοιχεία στη λίστα, όπως ο διορισμός Υπεύθυνου Προστασίας Δεδομένων. Συμβουλευτείτε τους εσωτερικούς σας εμπειρογνώμονες επεξεργασίας και τους νομικούς σας συμβούλους για να καθορίσετε οποιοδήποτε άλλο σχετικό μέτρο.

Θυμηθείτε!
Η δημιουργία μιας σαφούς χαρτογράφησης των διαδικασιών σας θα κάνει τα πάντα πιο εύκολα στο δρόμο προς τη συμμόρφωση!

C. Πώς συμμορφώνεται η Almooond GDPR

Στην Almooond, η εφαρμογή βέλτιστων πρακτικών απορρήτου και ασφάλειας δεν είναι καινούργια ιδέα. Ως εταιρεία φιλοξενίας Cloud, αναθεωρούμε και βελτιώνουμε συνεχώς τα συστήματα, τα εργαλεία και τις διαδικασίες μας, προκειμένου να διατηρήσουμε μια εξαιρετική και ασφαλή πλατφόρμα.

Οι ρόλοι μας στο GDPR

Οι ευθύνες μας όσον αφορά την προστασία των προσωπικών δεδομένων εξαρτώνται από τις διάφορες δραστηριότητές μας για την επεξεργασία δεδομένων:

Οι Ρόλοι Μας

Επεξεργασία δεδομένων

Είδος δεδομένων

Υπεύθυνος επεξεργασίας δεδομένων και εκτελών

 Στις εγκαταστάσεις της Almooond

Προσωπικά δεδομένα που μας παρέχονται από τους άμεσους και υποψήφιους πελάτες μας, τους συνεργάτες μας και όλους τους άμεσους χρήστες της Almooond.com (ονόματα, email, διευθύνσεις, κωδικοί πρόσβασης)

Εκτελών της επεξεργασίας δεδομένων​

 Στο Cloud της Almoond


Οποιαδήποτε προσωπικά δεδομένα αποθηκεύονται στις βάσεις δεδομένων των πελατών μας, φιλοξενούνται στο Almooond Cloud ή μεταφέρονται σε εμάς με σκοπό τη χρήση μιας από τις υπηρεσίες μας. Ο ιδιοκτήτης της βάσης δεδομένων είναι ο υπεύθυνος επεξεργασίας δεδομένων.

Χωρίς ρόλο

Στις εγκαταστάσεις των πελατών

Οποιαδήποτε δεδομένα βρίσκονται σε βάσεις δεδομένων που φιλοξενούνται επί τόπου ή σε οποιαδήποτε φιλοξενία που δεν διαχειριζόμαστε εμείς.


Τα έγγραφά μας GDPR

Ως Υπεύθυνος Επεξεργασίας Δεδομένων, οι δραστηριότητές μας καλύπτονται από την Πολιτική Απορρήτου μας , η οποία έχει ενημερωθεί για τον GDPR. Αυτή η πολιτική εξηγεί όσο το δυνατόν πιο ξεκάθαρα ποια δεδομένα επεξεργαζόμαστε, γιατί τα επεξεργαζόμαστε και πώς το κάνουμε. Σε στενή σχέση με αυτό, η Πολιτική Ασφαλείας μας εξηγεί τις βέλτιστες πρακτικές ασφάλειας που εφαρμόσαμε στην Almooond, σε όλα τα επίπεδα (τεχνικό και οργανωτικό) προκειμένου να εγγυηθούμε ότι τα δεδομένα σας υποβάλλονται σε επεξεργασία με ασφαλή τρόπο.

Εκτός από αυτές τις πολιτικές, οι δραστηριότητές μας ως Υπεύθυνος Επεξεργασίας Δεδομένων υπόκεινται στην αποδοχή της Συμφωνίας Επιπέδου Υπηρεσιών/Συνδρομής. Αυτή η συμφωνία έχει ενημερωθεί προκειμένου να προστεθούν οι απαραίτητες ρήτρες Προστασίας Δεδομένων, όπως απαιτείται από τον GDPR.

Ως Πελάτης της Almooond δεν έχετε τίποτα να κάνετε για να αποδεχτείτε αυτές τις αλλαγές, επωφεληθείτε ήδη από τις νέες εγγυήσεις και θα θεωρήσουμε ότι συμφωνείτε εάν δεν ακούσουμε τίποτα από εσάς!

Εκτός από αυτά τα έγγραφα, έχουμε επίσης ενημερώσει τον ιστότοπό μας για να εισάγουμε σημειώσεις απορρήτου σε όλα τα σχετικά μέρη, προκειμένου να ενημερώνουμε τους χρήστες μας ανά πάσα στιγμή.


Επικοινωνήστε μαζί μας
Επικοινωνήστε μαζί μας για να κατευθυνθείτε στις σχετικές επαφές της ΑΠΔ. Όπως εξηγείται περαιτέρω στις Αρχές της Ασπίδας Προστασίας Προσωπικών Δεδομένων, μια δεσμευτική επιλογή διαιτησίας θα τεθεί επίσης στη διάθεσή σας για την αντιμετώπιση υπολειπόμενων καταγγελιών που δεν έχουν επιλυθεί με κανένα άλλο μέσο.
Η Almooond υπόκειται στις εξουσίες διερεύνησης και επιβολής των ελληνικών αρχών και της Επιτροπής Εμπορίου της Ευρωπαϊκής Ένωσης.

Almooond Ltd
Dunav 41, 2850, Petrich
Βουλγαρία
Τηλέφωνο: +359 2 490.3337

E-Mail privacy@almooond.com

Allgemeine Datenschutzverordnung (GDPR)

Almooond's Leitfaden zu den europäischen Datenschutzbestimmungen

 

Überblick über die neuen Datenschutzgesetze und bewährte Verfahren

Seit dem 25. Mai 2018 ist die Allgemeine Datenschutzverordnung (DSGVO) in Kraft, die eine neue Ära des Datenschutzes und der Privatsphäre für jedermann einläutet. Sie haben sicherlich schon viel über die DSGVO gehört und gelesen, aber es kann schwierig sein, genau zu verstehen, was sie in der Praxis für Ihr Unternehmen bedeutet und was Sie tun müssen, um die neuen Regeln einzuhalten.

Bei Almooond haben wir uns verpflichtet, die besten Praktiken in Bezug auf Sicherheit und Datenschutz zu befolgen. Wir bemühen uns, allen Nutzern und Kunden das gleiche Maß an Schutz zu bieten, unabhängig von ihrem Standort oder ihrer Staatsangehörigkeit. Und wir wenden diese bewährten Verfahren auf alle Daten an, nicht nur auf personenbezogene Daten.

Almooond und seine Tochtergesellschaften halten sich an die GDPR.


A. Was Sie über GDPR wissen müssen
 

Der beste Weg, die DSGVO zu verstehen, besteht darin, den offiziellen Text zu lesen.  Er ist zwar etwas lang (99 Artikel auf 88 Seiten), aber auch für Nicht-Experten gut lesbar. Es handelt sich um eine EU-Verordnung, die darauf abzielt, bestehende Rechtsvorschriften zum Schutz der Privatsphäre, wie die EU-Datenschutzrichtlinie, die sie ersetzt, zu harmonisieren und zu modernisieren. Sie legt Regeln für den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und für den freien Verkehr personenbezogener Daten in Europa fest. Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, ist sie in allen EU-Mitgliedstaaten sofort anwendbar, ohne dass sie in das innerstaatliche Recht der einzelnen Länder umgesetzt werden muss. Die EU-Länder haben einen begrenzten Auslegungsspielraum für die Feinheiten, aber die grundlegenden Regeln werden für alle gleich sein, überall in der EU. Die GDPR bringt die Gesetzgebung auch in das nächste Jahrtausend und berücksichtigt soziale Medien, Cloud Computing, Cyberkriminalität und die großen Herausforderungen, die sie im Hinblick auf den Schutz personenbezogener Daten und die Sicherheit mit sich bringen. Die DSGVO ist keine bahnbrechende neue Rechtsvorschrift, und sie ist grundsätzlich eine gute Sache für Bürger und Unternehmen.

Wir möchten betonen, dass die GDPR für Sie und Ihre Kunden von großem Nutzen sein kann. Die Einhaltung der DSGVO mag anfangs eine Menge Arbeit bedeuten, aber die neuen Regeln haben auch ihre Vorteile:

- Erhöhtes Vertrauen bei Ihren Kunden und Nutzern

- Vereinfachung: in allen Ländern der EU gelten dieselben Regeln

- Rationalisierung und Zentralisierung Ihrer organisatorischen Abläufe

Der Zweck der DSGVO ist es, dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten zu geben. Wenn Ihr Unternehmen die richtigen Strategien und Systeme einführt, werden sie in den kommenden Jahren einfacher zu verwalten, sicherer und geschützter sein.

Was sind die Risiken, wenn Sie sich nicht an die Vorschriften halten?

Die Höchststrafe für Verstöße ist ein Bußgeld von 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für geringere Verstöße gilt ein geringerer Höchstbetrag von 10 Millionen Euro oder 2 % Ihres weltweiten Jahresumsatzes. Diese Höchstbeträge sollen für Unternehmen aller Größenordnungen abschreckend sein, aber die DSGVO verlangt auch, dass die Geldbußen verhältnismäßig sind. Die Aufsichtsbehörden (auch bekannt als Datenschutzbehörden: DPAs) müssen die Umstände jedes einzelnen Falles berücksichtigen, einschließlich der Art, Schwere und Dauer des Verstoßes. Die Datenschutzbehörden sind auch befugt, Untersuchungen durchzuführen und Abhilfemaßnahmen aufzuerlegen, zu denen auch die Einschränkung von Verstößen gehört, ohne dass unbedingt eine Geldstrafe verhängt werden muss. Ein weiteres Risiko, das Sie eingehen, wenn Sie die Vorschriften nicht einhalten, ist der Verlust des Vertrauens Ihrer Kunden und Interessenten, denen die Art und Weise, wie Sie ihre Daten verarbeiten, wichtig ist! Schließlich haben viele Datenschutzbehörden angedeutet, dass sie 2018 noch keine Bußgelder verhängen werden, aber sie erwarten, dass die Unternehmen nachweisen, dass sie auf die Einhaltung der Vorschriften hinarbeiten.

 

Die wichtigsten Grundsätze der GDPR  

Umfang

Die Verordnung gilt für jede Verarbeitung personenbezogener Daten durch jede Organisation:

  1. Wenn die kontrollierende oder verarbeitende Organisation in der EU ansässig ist
  2. Wenn die Organisation nicht in der EU ansässig ist, die Verarbeitung jedoch personenbezogene Daten von in der EU ansässigen Personen betrifft und im Zusammenhang mit kommerziellen Angeboten oder Verhaltensüberwachung steht.

         Der Anwendungsbereich umfasst daher auch Unternehmen außerhalb der EU, was bei den älteren Rechtsvorschriften nicht der Fall war.

Rollen

In der Verordnung wird zwischen zwei Haupttypen von Einrichtungen unterschieden:

  • Für die Verarbeitung Verantwortlicher: jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. In der Regel ist jede Organisation für ihre eigenen Daten verantwortlich.
  • Datenverarbeiter: jede Stelle, die Daten im Auftrag eines für die Datenverarbeitung Verantwortlichen verarbeitet.

         Wenn Ihr Unternehmen beispielsweise eine Datenbank besitzt, die in der Almooond Cloud gehostet wird, sind Sie der Controller für diese Datenbank und Almooond ist nur ein Datenverarbeiter. Wenn Sie stattdessen Almooond vor Ort nutzen, sind Sie sowohl der für die Verarbeitung Verantwortliche als auch der Verarbeiter der Daten.


Persönliche Daten  

Die DSGVO enthält eine weit gefasste Definition des Begriffs "personenbezogene Daten": alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine identifizierbare Person ist eine Person, die direkt oder indirekt anhand ihres Namens, ihrer E-Mail-Adresse, ihrer Telefonnummer, ihrer biometrischen Daten, ihrer Standortdaten, ihrer Finanzdaten usw. identifiziert werden kann. Online-Kennungen (IP-Adressen, Geräte-IDs,...) fallen ebenfalls in den Anwendungsbereich.

Dies gilt auch für den geschäftlichen Bereich: info@Almooond.com gilt nicht als personenbezogen, john.smith@Almooond.com hingegen schon, da sie zur Identifizierung einer natürlichen Person innerhalb eines Unternehmens verwendet werden kann.

Die DSGVO verlangt auch ein höheres Schutzniveau für sensible Daten, zu denen besondere Kategorien personenbezogener Daten wie Informationen über Gesundheit, Genetik, Rasse oder Religion gehören.


Grundsätze der Datenverarbeitung

Um die Vorschriften einzuhalten, müssen bei der Verarbeitung die folgenden Regeln beachtet werden: (wie in Artikel 5 der DSGVO aufgeführt) 

1. Rechtmäßigkeit, Fairness und Transparenz: Für die Erhebung von Daten muss es eine Rechtsgrundlage und einen klaren Zweck geben, und die betroffene Person muss darüber informiert werden.  Erstellen Sie eine einfache und klare Datenschutzerklärung und verweisen Sie darauf, wenn Sie Daten erheben. Überprüfen Sie die Rechtsgrundlage für jede Ihrer Datenverarbeitungsaktivitäten

2. Zweckbindung: Wenn die Daten für einen bestimmten Zweck erhoben wurden, müssen Sie um Erlaubnis bitten, wenn Sie sie für einen anderen Zweck verwenden wollen. Z. B. - Sie können nicht beschließen, Ihre Kundendaten zu verkaufen, wenn sie nicht für diesen Zweck erhoben wurden.

3. Minimierung: Sie dürfen nur die für Ihren Zweck erforderlichen Daten sammeln.

4.  Richtigkeit: Es sollten angemessene Schritte unternommen werden, um sicherzustellen, dass die Daten im Hinblick auf den Zweck auf dem neuesten Stand gehalten werden, z. B. - Achten Sie darauf, dass unzustellbare E-Mails bearbeitet und die Adressen korrigiert oder gelöscht werden.

5. Speicherbegrenzung: Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie es für die Erfüllung ihres Hauptzwecks erforderlich ist.  Legen Sie Fristen für die Löschung oder Überprüfung der von Ihnen verarbeiteten personenbezogenen Daten fest, je nach deren Zweck.

6. Integrität und Vertraulichkeit: Die Datenverarbeiter müssen je nach Art und Umfang der verarbeiteten Daten geeignete Maßnahmen zur Zugangskontrolle, Sicherheit und Verhinderung von Datenverlusten ergreifen, z. B. - Stellen Sie sicher, dass Ihr Backup-System funktioniert, dass Sie angemessene Sicherheitskontrollen durchführen und sensible Daten wie Passwörter durch Verschlüsselung schützen.

7. Rechenschaftspflicht: Die für die Datenverarbeitung Verantwortlichen sind für die Einhaltung aller oben genannten Verarbeitungsgrundsätze verantwortlich und müssen dies auch nachweisen können. Erstellen und pflegen Sie eine Datenabbildungsreferenz für Ihre Organisation, in der die Einhaltung Ihrer Verarbeitungstätigkeiten beschrieben wird.  Informieren Sie Ihre Kunden durch eine klare Datenschutzrichtlinie.


Rechtliche Grundlagen  

Um nach der DSGVO rechtmäßig zu sein (erster Grundsatz), muss die Verarbeitung personenbezogener Daten auf einer der sechs möglichen Rechtsgrundlagen beruhen, die in Artikel 6 (1) aufgeführt sind:

  1. Einverständnis. Gültig, wenn die betroffene Person ausdrücklich und freiwillig ihre Einwilligung gegeben hat, nachdem sie ordnungsgemäß informiert wurde, einschließlich eines klar angegebenen und spezifischen Zwecks. Die Beweislast für all dies liegt bei dem für die Verarbeitung Verantwortlichen.
  2. Erforderlich für die Erfüllung eines Vertrags oder zur Erfüllung von Anfragen der betroffenen Person in Vorbereitung eines Vertrags.
  3. Erfüllung einer gesetzlichen Verpflichtung, die dem für die Verarbeitung Verantwortlichen auferlegt wurde.
  4. Schutz eines lebenswichtigen Interesses. Wenn die Verarbeitung notwendig ist, um ein Leben zu retten.
  5. Öffentliches Interesse oder öffentliche Gewalt.
  6. Legitimes Interesse. Anwendbar, wenn der für die Verarbeitung Verantwortliche ein berechtigtes Interesse hat, das nicht durch die Interessen und Grundrechte der betroffenen Person überlagert wird.

Eine wichtige Änderung, die die DSGVO im Vergleich zu früheren Datenschutzvorschriften mit sich bringt, sind die strengeren Anforderungen an die Einholung einer gültigen Einwilligung.

Rechte der betroffenen Personen. Die bestehenden Datenschutzrechte für Einzelpersonen werden durch die Datenschutz-Grundverordnung weiter ausgebaut. Organisationen müssen bereit sein, Anfragen von betroffenen Personen zeitnah (innerhalb eines Monats) und kostenlos zu bearbeiten:

  1. Auskunftsrecht - Der Einzelne hat das Recht zu erfahren, welche und wie seine personenbezogenen Daten verarbeitet werden, und zwar in voller Transparenz.
  2. Recht auf Berichtigung - Einzelpersonen haben das Recht, die Berichtigung oder Vervollständigung ihrer personenbezogenen Daten zu verlangen.
  3. Recht auf Löschung - Einzelpersonen haben das Recht, die Löschung ihrer personenbezogenen Daten aus berechtigten Gründen zu erwirken (Widerruf der Einwilligung, für den Zweck nicht mehr erforderlich usw.).
  4. Recht auf Einschränkung - Einzelpersonen können verlangen, dass der für die Verarbeitung Verantwortliche die Verarbeitung ihrer personenbezogenen Daten einstellt, wenn sie keine vollständige Löschung wünschen oder verlangen können.
  5. Widerspruchsrecht - Einzelpersonen haben das Recht, einer bestimmten Verarbeitung ihrer personenbezogenen Daten jederzeit zu widersprechen, z. B. zu Zwecken der Direktwerbung.
  6. Datenübertragbarkeit - Einzelpersonen haben das Recht zu verlangen, dass personenbezogene Daten, die sich im Besitz eines für die Verarbeitung Verantwortlichen befinden, ihnen oder einem anderen für die Verarbeitung Verantwortlichen zur Verfügung gestellt werden.


B. Wie Sie sich auf die GDPR vorbereiten sollten  

Haftungsausschluss
Wir können keine Rechtsberatung anbieten, dieser Abschnitt dient nur zu Informationszwecken. Bitte wenden Sie sich an Ihren Rechtsbeistand, um genau zu bestimmen, wie die DSGVO Ihr Unternehmen betrifft.

Hier sind die wichtigsten Schritte, die wir für einen Umsetzungsplan für die Einhaltung der DSGVO vorschlagen:

  1. Erstellen Sie ein Data Mapping der Datenverarbeitungstätigkeiten Ihrer Organisation, um sich ein klares Bild von der Situation zu machen. Die Datenschutzbehörden stellen häufig Vorlagen für Tabellenkalkulationen zur Verfügung, die bei dieser Aufgabe helfen. Dokumentieren Sie für jeden Vorgang die Art der personenbezogenen Daten und wie sie erhoben wurden, den Zweck, die Rechtsgrundlage und die Löschungsrichtlinien der Verarbeitung, die technischen und organisatorischen Sicherheitsmaßnahmen sowie die beteiligten Unterauftragnehmer (Auftragsverarbeiter).

    Sie müssen diese Datenzuordnung regelmäßig pflegen, wenn sich Ihre Prozesse weiterentwickeln.

  2. Wählen Sie auf der Grundlage von Schritt 1 eine Abhilfestrategie für alle Verarbeitungen, für die Sie keine Rechtsgrundlage haben (z. B. fehlende Einwilligung) oder für die Sie keine angemessenen Sicherheitsmaßnahmen ergriffen haben. Passen Sie Ihre Prozesse, Ihre internen Verfahren, Ihre Zugangskontrollregeln, Backups, Überwachung usw. an.
  3. Aktualisieren und veröffentlichen Sie eine klare Datenschutzrichtlinie auf Ihrer Website. Erläutern Sie, welche personenbezogenen Daten Sie verarbeiten, wie Sie dies tun und welche Rechte der Einzelne in Bezug auf seine Daten hat.
  4. Überprüfen Sie Ihre Verträge mit einem Rechtsbeistand und passen Sie sie an die DSGVO an.
  5. Entscheiden Sie, wie Sie die verschiedenen Arten von Anfragen der betroffenen Personen beantworten werden.
  6. Bereiten Sie Ihr Verfahren zur Reaktion auf einen Zwischenfall im Falle einer Datenverletzung vor.

Je nach Ihrer Situation können weitere Elemente in die Liste aufgenommen werden, z. B. die Ernennung eines Datenschutzbeauftragten. Konsultieren Sie Ihre internen Datenverarbeitungsexperten und Ihren Rechtsbeistand, um weitere relevante Maßnahmen zu treffen.

Denken Sie daran!
Wenn Sie Ihre Prozesse klar abbilden, wird alles einfacher auf dem Weg zur Einhaltung der Vorschriften!
 

C. Wie erfüllt Almooond die GDPR? 

Bei Almooond ist die Einführung von Best Practices für Datenschutz und Sicherheit keine neue Idee. Als Cloud-Hosting-Unternehmen überarbeiten und verbessern wir ständig unsere Systeme, Tools und Prozesse, um eine großartige und sichere Plattform zu erhalten.


Unsere GDPR-Rollen 

Unsere Verantwortlichkeiten in Bezug auf den Schutz personenbezogener Daten hängen von unseren verschiedenen Datenverarbeitungstätigkeiten ab: 

Unsere Rollen

Datenverarbeitung

Art der Daten

Datenverantwortlicher und -verarbeiter

Zur Prämisse von Almooond

Persönliche Daten, die uns von unseren direkten Kunden und Interessenten, unseren Partnern und allen direkten Nutzern von Almooond.com zur Verfügung gestellt werden (Namen, E-Mails, Adressen, Passwörter)

Datenverarbeiter

Auf Almoonds Cloud

Alle personenbezogenen Daten, die in den Datenbanken unserer Kunden gespeichert sind, die in der Almooond Cloud gehostet werden oder uns zum Zweck der Nutzung einer unserer Dienstleistungen übermittelt werden. Der Eigentümer der Datenbank ist der für die Datenverarbeitung Verantwortliche.

  Keine Rolle

In den Räumlichkeiten der Kunden

Alle Daten, die sich in Datenbanken befinden, die vor Ort oder in einem nicht von uns betriebenen Hosting untergebracht sind.


Unsere GDPR-Dokumente 

Als für die Datenverarbeitung Verantwortlicher werden unsere Aktivitäten in unserer Datenschutzrichtlinie behandelt, die für die GDPR aktualisiert wurde. In dieser Richtlinie wird so klar wie möglich erklärt, welche Daten wir verarbeiten, warum wir sie verarbeiten und wie wir es tun. In engem Zusammenhang damit steht unsere Sicherheitsrichtlinie, in der wir die besten Sicherheitspraktiken erläutern, die wir bei Almooond auf allen Ebenen (technisch und organisatorisch) eingeführt haben, um zu gewährleisten, dass Ihre Daten sicher und geschützt verarbeitet werden.

Zusätzlich zu diesen Richtlinien unterliegt unsere Tätigkeit als Datenverarbeiter der Annahme unserer Dienstleistungs-/Abonnementvereinbarung. Diese Vereinbarung wurde aktualisiert, um die notwendigen Datenschutzklauseln hinzuzufügen, wie von der GDPR gefordert.

Als Kunde von Almooond müssen Sie nichts tun, um diese Änderungen zu akzeptieren, Sie profitieren bereits von den neuen Garantien, und wir gehen davon aus, dass Sie einverstanden sind, wenn wir nichts von Ihnen hören!

Zusätzlich zu diesen Dokumenten haben wir auch unsere Website aktualisiert und an allen relevanten Stellen Hinweise zum Datenschutz eingefügt, um unsere Nutzer jederzeit auf dem Laufenden zu halten.
 


Kontakt 

Bitte setzen Sie sich mit uns in Verbindung, damit wir Sie an die zuständigen DPA-Kontakte verweisen können. Wie in den Privacy-Shield-Prinzipien näher erläutert, wird Ihnen auch eine verbindliche Schlichtungsoption zur Verfügung gestellt, um verbleibende Beschwerden zu behandeln, die nicht auf anderem Wege gelöst werden können.
Almooond unterliegt den Ermittlungs- und Durchsetzungsbefugnissen der griechischen Behörden und der Handelskommission der Europäischen Union.

 
Almooond Ltd
Dunav 41, 2850, Petrich
Bulgarien 
Festnetz: +359 2 490.3337

E-Mail:  privacy@almooond.com


Общ регламент за защита на данните (ОРЗД)

Ръководство на Almooond за европейските правила за защита на данните 

 

Преглед на новите закони за поверителност и най-добри практики

От 25-ти май, 2018-та година,   Общият регламент за защита на данните (ОРЗД)   е в сила, отваряйки нова ера на защита на данните и поверителността за всички. Въпреки че със сигурност сте чували и чели много информация за ОРЗД, може да е трудно да разберете какво точно означава това за Вашия бизнес, на практика, и какво трябва да направите, за да бъдете в съответствие с новите правила.

В Almooond се ангажираме да следваме най-добрите практики по отношение на сигурността и поверителността. Стремим се да предоставим еднакво ниво на защита на всички потребители и клиенти, без разлика в тяхното местоположение или гражданство. И ние прилагаме тези най-добри практики за всички данни, не само за личните такива.

Almooond и неговите дъщерни дружества са в съответствие с ОРЗД


 ​A. Какво трябва да знаете за ОРЗД


Най-добрият начин да разберете ОРЗД е да  прочетете официалния текст   Малко е дълъг (99 статии на 88 страници), но доста четим дори за хора, които не са специалисти. Това е регламент на ЕС, който има за цел да хармонизира и модернизира съществуващото законодателство за поверителност, като например Директивата на ЕС за поверителност на данните, която заменя. Той определя правила за защита на физическите лица по отношение на обработката на техните лични данни и свободното движение на лични данни в Европа. Това е регламент, а не директива, следователно незабавно приложим във всички държави-членки на ЕС, без да се изисква транспониране във вътрешното законодателство на всяка страна. Страните от ЕС имат ограничена свобода на тълкуване на по-фините точки, но основните правила ще бъдат еднакви за всички, навсякъде в ЕС. ОРЗД също пренася законодателството в следващото хилядолетие, като взема предвид социалните медии, облачните изчисления, киберпрестъпността и големите предизвикателства, които те причиняват по отношение на поверителността и сигурността на личните данни. ОРЗД не е световно ново законодателство и по същество е нещо добро за гражданите и бизнеса.

Искаме да подчертаем, че ОРЗД може да бъде страхотен за Вас и Вашите клиенти. Спазването на ОРЗД първоначално може да представлява много работа, но има положителни страни на новите правила:

- Повишено доверие от вашите клиенти и потребители

- Опростяване: едни и същи правила се прилагат във всички страни в ЕС

- Рационализация и централизация на вашите организационни процеси

Целта на ОРЗД е да даде на хората повече контрол върху техните лични данни. Ако вашата компания въведе правилните стратегии и системи, тя ще бъде по-лесна за управление, по-сигурна и по-безопасна за идните години.

Какви са рисковете, ако не спазвате правилата?

Максималното наказание за неспазване е административна глоба от 20 милиона евро или 4% от глобалния Ви годишен оборот, което от двете е по-високо. По-малък максимум от 10 милиона евро или 2% от глобалния Ви годишен оборот е приложим за по-малки нарушения. Тези максимуми са предназначени да бъдат възпиращи за фирми от всякакъв размер, но ОРЗД също така изисква глобите да бъдат пропорционални. Надзорните органи (известни също като органи за защита на данните: ОЗД) трябва да вземат предвид обстоятелствата на всеки случай, включително естеството, тежестта и продължителността на нарушението. На тези ОЗД също така се предоставят правомощия да разследват и налагат коригиращи действия, които включват ограничаване на дейностите в нарушение, без непременно да налагат глоба. Друг риск, ако не го спазвате, е загубата на доверие от Вашите клиенти и потенциални клиенти, които се интересуват от начина, по който обработвате техните данни! И накрая, много ОЗД намекнаха, че все още няма да налагат глоби през 2018 г., но очакват фирмите да демонстрират, че работят за съответствие.


Ключови принципи на ОРЗД

Обхват

Регламентът се прилага за всяко обработване на лични данни от всяка организация:

  1. Ако контролиращата или обработващата организация се намира в ЕС
  2. Ако организацията не се намира в ЕС, но обработването включва лични данни на субекти на данни, намиращи се в ЕС, и е свързано с търговски предложения или наблюдение на поведението.

         Следователно обхватът включва компании извън ЕС, което не беше случаят с по-старото законодателство.

Роли

Наредбата разграничава два основни вида субекти:

  • Администратор на данни: всяко лице, което определя целите и средствата за обработка на лични данни, самостоятелно или съвместно. Като общо правило всяка организация е администратор на собствените си данни.
  • Обработващ данни: всеки субект, който обработва данни от името на администратор на данни.

         Например, ако Вашата компания притежава база данни, хоствана в облака Almooond, Вие сте администраторът на тази база данни, а Almooond е само процесор за данни. Ако вместо това използвате Almooond на място, Вие сте едновременно администратор и обработващ данните.


Лични данни

ОРЗД дава широка дефиниция на лични данни: всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или косвено, чрез техните имена, имейли, телефонни номера, биометрична информация, данни за местоположение, финансови данни и т.н. Онлайн идентификаторите (IP адреси, идентификатори на устройства, ...) също са в обхват.

Това важи и в бизнес контекст: info@Almooond.com не се счита за личен, но john.smith@Almooond.com е, защото може да се използва за идентифициране на физическо лице в рамките на компания.

ОРЗД също така изисква по-високо ниво на защита за чувствителни данни, което включва специфични категории лични данни като здравна, генетична, расова или религиозна информация.



Принципи за обработка на данни

 За да бъдат в съответствие, дейностите по обработване трябва да спазват следните правила: (както е изброено в член 5 от ОРЗД)

1. Законност, справедливост и прозрачност: за да събирате данни, трябва да имате правно основание, ясна цел и трябва да информирате субекта за това. Имайте проста и ясна Политика на поверителност и се позовавайте на нея навсякъде, където събирате данни. Проверете правното основание за всяка от вашите дейности по обработка на данни

2. Ограничение на целта: веднъж събрана за определена цел, поискайте разрешение, ако искате да я използвате за друга цел. например - Не можете да решите да продадете Вашите клиентски данни, ако не са събрани за тази цел.

3. Минимизиране: трябва да събирате само данните, необходими за Вашата цел.

4. Точност: трябва да се предприемат разумни стъпки, за да се гарантира, че данните се поддържат актуализирани по отношение на целта, например - Уверете се, че обработвате върнатите имейли и коригирайте или изтрийте адресите.

5. Ограничение на съхранението: личните данни трябва да се съхраняват само за времето, необходимо за изпълнение на основната им цел. Определете срокове за изтриване или преглед на личните данни, които обработвате, в зависимост от тяхната цел.

6. Цялостност и поверителност: обработващите данни трябва да прилагат подходящи мерки за контрол на достъпа, сигурност и предотвратяване на загуба на данни в съответствие с видовете и обема на данните, които се обработват. например - Уверете се, че Вашата система за архивиране работи, разполагайте с подходящи контроли за сигурност, използвайте криптиране за защита на чувствителни данни като пароли.

7. Отчетност: администраторите на данни носят отговорност за и трябва да могат да демонстрират съответствие с всички горепосочени принципи за обработка. Създайте и поддържайте справка за картографиране на данни за Вашата организация, описваща съответствието на Вашите дейности по обработка. Информирайте клиентите си чрез ясна Политика на поверителност.


Правно основание

За да бъде законосъобразно съгласно ОРЗД (първи принцип), обработването на лични данни трябва да се основава на едно от шест възможни правни основания, изброени в член 6 (1):

  1. Съгласие. Валидно, когато субектът на данните е дал изрично и свободно съгласие, след като е бил надлежно информиран, включително ясно посочена и конкретна цел. Тежестта на доказване за всичко това е на администратора.
  2. Необходими за изпълнение на договор или за изпълнение на искания от субекта на данните, в подготовка за договор.
  3. Спазване на законово задължение, което е наложено на администратора.
  4. Защита на жизненоважен интерес. Когато обработката е необходима за спасяване на живот.
  5. Обществен интерес или официална власт.
  6. Легитимен интерес. Приложимо, когато администраторът има легитимен интерес, който не е по-важен от интересите и основните права на субекта на данните.

Една голяма промяна, внесена от ОРЗД спрямо предишния регламент за поверителност на данните, са по-строгите изисквания за получаване на валидно съгласие.

Права на субекта на данни. Съществуващите права за поверителност на данните за физически лица се разширяват допълнително от ОРЗД. Организациите трябва да са готови да обработват искания от субекти на данни своевременно (в рамките на 1 месец), безплатно:

  1. Право на достъп – Физическите лица имат право да знаят какви и как се обработват личните им данни при пълна прозрачност.
  2. Право на коригиране – Физическите лица имат право да получат коригиране или допълване на своите лични данни.
  3. Право на изтриване - Физическите лица имат право да получат изтриване на личните си данни при законни причини (оттеглено съгласие, вече не е необходимо за целта и т.н.).
  4. Право на ограничаване – Физическите лица могат да поискат от администратора да спре обработката на личните им данни, ако не желаят или не могат да поискат пълно изтриване.
  5. Право на възражение – Физическите лица имат право да възразят срещу определено обработване на техните лични данни по всяко време, например за целите на директния маркетинг.
  6. Преносимост на данните - Физическите лица имат право да поискат личните данни, съхранявани от администратор, да бъдат предоставени на тях или на друг администратор.



 B. Как да се подготвите за ОРЗД

ВАЖНО

Не можем да предоставяме правни съвети, този раздел е само за информационни цели. Моля, свържете се с Вашия правен съветник, за да определите как точно ОРЗД засяга Вашата компания.

Ето основните стъпки, които предлагаме за карта за съответствие с ОРЗД:

  1. Създайте картографиране на данни на дейностите по обработка на данни във Вашата организация, за да получите ясна картина на ситуацията. Органите за защита на данните често предоставят шаблони за електронни таблици, за да помогнат в тази задача. За всеки процес, документирайте вида на личните данни и как са били събрани; целта, правното основание и политиката за изтриване; въведените технически и организационни мерки за сигурност и участващите подизпълнители (обработващи).

    Ще трябва редовно да поддържате това картографиране на данни, тъй като Вашите процеси се развиват.


  2. Въз основа на стъпка 1 изберете стратегия за коригиране за всяко обработване, при което нямате правно основание (напр. липсващо съгласие) или при което не разполагате с подходящи мерки за сигурност. Адаптирайте Вашите процеси, Вашите вътрешни процедури, Вашите правила за контрол на достъпа, архивиране, наблюдение и т.н.
  3. Актуализирайте и публикувайте ясна Политика за поверителност на вашия уебсайт. Обяснете какви лични данни обработвате, как го правите и какви са правата на физическите лица по отношение на техните данни.
  4. Прегледайте своите договори с правен съветник и ги адаптирайте към ОРЗД.
  5. Решете как ще отговаряте на различните видове Заявки от субекти на данни.
  6. Подгответе своята Процедура за реагиране при инцидент в случай на нарушение на данните.

В зависимост от Вашата ситуация към списъка могат да бъдат добавени други елементи, като например назначаването на служител по защита на данните. Консултирайте се с вътрешните си експерти по обработване и юридическите си съветници, за да определите всяка друга подходяща мярка.

Запомнете!
Установяването на ясно картографиране на вашите процеси ще направи всичко по-лесно по пътя към съответствие с регламента!

 

C. Как Almooond покрива изискванията на ОРЗД

В Almooond прилагането на най-добрите практики за поверителност и сигурност не е нова идея. Като облачна хостинг компания, ние непрекъснато преразглеждаме и подобряваме нашите системи, инструменти и процеси, за да поддържаме страхотна и сигурна платформа.


Нашите ОРЗД роли

Нашите отговорности по отношение на защитата на личните данни зависят от нашите различни дейности по обработка на данни: 

Нашите роли

Обработване на данните

Тип данни

Администратор и обработващ данни

На място в Almoond

Лични данни, предоставени ни от нашите директни клиенти и потенциални клиенти, нашите партньори и всички директни потребители на Almooond.com (имена, имейли, адреси, пароли)

Обработващ данни


В облака на Almoond

Всички лични данни, съхранявани в базите данни на нашите клиенти, хоствани в облака Almooond или прехвърлени към нас с цел използване на една от нашите услуги. Собственикът на базата данни е администраторът на данни.

 Няма роля

На място при клиента

Всички данни, намиращи се в бази данни, хоствани локално или във всеки хостинг, който не се управлява от нас.


Нашите ОРЗД документи

Като администратор на данни, нашите дейности са обхванати от нашата Политика за поверителност, която е актуализирана за ОРЗД. Тази политика обяснява възможно най-ясно какви данни обработваме, защо ги обработваме и как го правим. Тясно свързана с това, нашата Политика за сигурност обяснява най-добрите практики за сигурност, които внедрихме в Almooond, на всички нива (техническо и организационно), за да гарантираме, че Вашите данни се обработват по безопасен и сигурен начин.

В допълнение към тези политики, нашите дейности като Обработващ данни са предмет на приемането на нашето Споразумение за ниво на обслужване/абонамент. Това споразумение е актуализирано, за да се добавят необходимите клаузи за защита на данните, както се изисква от GDPR.

Като клиент на Almooond няма какво да правите, за да приемете тези промени, вече се възползвате от новите гаранции и ние ще считаме, че сте съгласни, ако не чуем нищо от Вас!

В допълнение към тези документи, ние също актуализирахме нашия уебсайт, за да вмъкнем бележки за поверителност на всички подходящи места, за да държим нашите потребители информирани по всяко време.

 
Свържете се с нас

Моля, свържете се с нас, за да бъдете насочени към съответните контакти на ОЗД. Както е обяснено допълнително в Privacy Shield Principles, ще Ви бъде предоставена и обвързваща арбитражна опция, за да разгледате остатъчни оплаквания, които не са решени по никакъв друг начин.

Almooond е обект на правомощията за разследване и правоприлагане на гръцките власти и на Търговската комисия на Европейския съюз.

Almooond Ltd
Дунав 41, 2850, Петрич
България
Телефон: +359 2 490.3337

И-мейл:    privacy@almooond.com