Hvad virksomheder skal gøre for at overholde persondataloven

cover-personal-data-protection-law-compliance-a-guide-for-businesses.png
Hvad virksomheder skal gøre for at overholde persondataloven

06.06.2023

At overholde persondatalovgivningen indebærer mere end blot at delegere ansvar til entreprenører og serviceudbydere eller tilføje et par linjer kode til eksisterende teknologiske løsninger. I virkeligheden indebærer det personaleforberedelse, teknologi og processer. Denne artikel vil guide virksomheder i, hvordan de kan implementere foranstaltninger til at overholde persondatalovgivningen ikke kun i Vietnam, men også globalt, for at undgå lovovertrædelser og minimere uventede risici.

Regeringen i Vietnam's Dekret 13 om beskyttelse af persondata træder i kraft den 1. juli 2023. Dette dekret gælder for alle indenlandske og udenlandske organisationer og enkeltpersoner, der er involveret i behandlingen af persondata i Vietnam, herunder behandlingen af persondata for vietnamesiske borgere uden for Vietnam. Som følge heraf skal virksomheder implementere aktiviteter til håndtering af privatliv for at overholde kravene i Dekret nr. 13, samtidig med at de sikrer overholdelse af globale regler om beskyttelse af persondata, såsom GDPR og andre lignende bestemmelser.

2132154

1. PDPD og andre love om beskyttelse af persondata: Sammenligning

Mange lande og regioner rundt om i verden har nu vedtaget persondata-beskyttelsesregler og love for at beskytte brugernes privatliv og sikkerhed. Her er nogle eksempler:

  • Vietnam's Personal Data Protection Decree (PDPD)
  • General Data Protection Regulation (GDPR)
  • Singapore’s Personal Data Protection Act (PDPA)
  • California Privacy Rights Act (CPRA)
  • Brazilian General Data Protection Law (LGPD)

Overholdelse af både PDPD og de førnævnte love er afgørende for virksomheder, der opererer på det vietnamesiske og internationale marked. Her er nogle sammenligninger mellem PDPD og andre love om beskyttelse af persondata:

Anvendelsesområde

  • PDPD og LGPD: Gælder både for organisationer og enkeltpersoner involveret i behandlingen af persondata.
  • GDPR og CPRA: Anvendes typisk for virksomheder og kommercielle enheder.

Principper

  • PDPD: Gennemsigtighed, lovlighed, formål begrænsning, proaktivitet, sikkerhed og begrænsninger for overførsel af data på tværs af grænser, indtil kravene er opfyldt.
  • GDPR, CPRA og LGPD: Indeholder lignende principper såsom lovlighed, retfærdighed og gennemsigtighed; formål begrænsning; data minimering; nøjagtighed; opbevaringsbegrænsning; integritet og fortrolighed; og ansvarlighed.

Dataejeres rettigheder

  • PDPD: Adgang, rettelse, sletning og indsigelse mod behandling af persondata.
  • GDPR, CPRA og LGPD: Sikrer også adgangs-, rettelses-, slette- og indsigelsesrettigheder, samt retten til dataportabilitet og retten til ikke at være underlagt automatiske beslutninger.

Straffeforanstaltninger for overtrædelse

  • PDPD: Administrative bøder (op til 100 millioner vietnamesiske dong) og strafferetlige sanktioner (op til 7 års fængsel).
  • GDPR, CPRA og LGPD: Pålægger højere administrative bøder (op til 20 millioner euro eller 4% af den globale årlige omsætning ifølge GDPR).

pdpd and other personal data protection laws comparison

Nogle eksempler på bøder for at overtræde kunders privatlivsrettigheder inkluderer:

I 2018 brugte Cambridge Analytica, et dataanalysefirma forbundet med den amerikanske præsident Donald Trump, personlige oplysninger fra over 87 millioner Facebook-brugere til politiske formål. Facebook erkendte senere sikkerhedsbrud, herunder kompromitteringen af millioner af brugeres personlige oplysninger. Dette resulterede i en bøde på næsten $5 milliarder for Facebook, svarende til cirka 9% af deres indtægt i 2018.

I marts 2021 blev Meta - dengang kendt som Facebook - beordret til at betale $650 millioner for privatlivsbrud relateret til ansigtsgenkendelsesteknologi i Facebooks fotomærkningsfunktion.

I Frankrig blev Google i januar 2022 idømt en bøde på €150 millioner (over $169 millioner), og Facebook blev bødet €60 millioner (over $67 millioner) for at bruge kunders aktivitetshistorik (cookies) til at koordinere reklameinformation.

Cathay Pacific Airways blev også bødet med £500.000 for databrud vedrørende kunders pasoplysninger. Hotelkæden Marriott blev bødet næsten £100 millioner for at have udsat data for 339 millioner kunder, og British Airways blev bødet £183 millioner for databrud vedrørende kunder også.

2. Fem trin til etablering af en overholdelsesproces for persondatabeskyttelse

For at overholde Persondatalovgivningen og undgå bøder skal enhver enkeltperson, organisation og virksomhed forstå de regler og principper, der er fastsat i PDPD, GDPR og andre lignende reguleringer. Følgende er en trinvis vejledning til udvikling af en meget gavnlig overensstemmelsesproces:

Trin 1: Opret en datakortlægningsreference

Organisationer skal have en afdeling for overvågning af databeskyttelse og en databeskyttelsesansvarlig (DPO). En DPO skal forstå, hvor organisationens data er lagret, samt indholdet af disse data.

Hvis organisationens datakortlægningsreference er ufuldstændig eller utilstrækkelig, bør DPO'en konsultere relevante parter i organisationens IT-afdeling for at udvikle en omfattende plan for datastyring.

Bemærk: Hvis organisationen indgår kontrakter med og overfører persondata til underleverandører eller tredjeparts serviceudbydere såsom cloud-tjenester eller datasikkerhedsvirksomheder, gælder datakortlægningsreferencen og kravene for overholdelse af Persondataloven også for disse underleverandører.

Trin 2: Identificer typer af behandlede persondata

Organisationer og virksomheder skal forstå karakteren af deres kunders persondata ud over at vide, hvor det i øjeblikket er lagret. Persondata klassificeres i to kategorier under Persondatalovgivningen Vietnam 2023: grundlæggende persondata og følsomme persondata. Organisationer skal forstå og sikre, at dataindsamling, -behandling og -lagring overholder lovgivningsmæssige krav.

Trin 3: Opnå kundens samtykke

Dataemnernes samtykke er afgørende for at lagre og overføre deres persondata. Organisationer skal give klare og transparente oplysninger til kunderne for at opnå deres samtykke til lagring og behandling af persondata.

Hver enkelt har ret til at vide, hvor deres persondata er lagret, og hvordan den behandles. De har også ret til at indgive en klage, hvis organisationen lagrer unøjagtige oplysninger, og anmode om, at de bliver rettet eller slettet.

Bemærk: Samtykke gælder ikke kun for behandlingen af persondata. Dekret 13, ligesom GDPR, kræver overholdelse af principperne, nemlig at behandle data (i) lovligt; (ii) gennemsigtigt; (iii) til formål(er) angivet; (iv) begrænset formål og omfang; (v) ved hjælp af passende og opdaterede data; og (vi) fortroligt; mens (vii) sikre, at data lagres i den passende opbevaringsperiode, og (viii) være ansvarlig.

Trin 4: Datasikkerhed og meddelelse/rapportering af databrud

Organisationer og virksomheder skal deltage i tekniske supportaktiviteter for at sikre informationsikkerhed og forhindre lækage af kunders personlige oplysninger. Hvis der imidlertid opstår et brud på informationssikkerheden, skal hændelsen rapporteres både til virksomheden og de berørte personer.

Persondataloven i Vietnam, ligesom GDPR-reglerne, kræver, at virksomhederne underretter myndighederne om eventuelle brud på persondata inden for 72 timer efter, at bruddet er sket.

Trin 5: Hold øje med dataoverførsler

PDPD, ligesom GDPR, fastsætter strenge krav for at begrænse overførslen af persondata. Virksomheder skal have bestemmelser og foranstaltninger på plads for at forhindre uautoriserede dataoverførsler. Overførsel af persondata til udenlandske lande skal overholde bestemmelserne i Dekret 13 samt bestemmelserne om adgang til dataindhold.

I tilfælde, hvor overførsel af persondata krænker nationale interesser eller sikkerhed, har Ministeriet for Offentlig Sikkerhed beføjelse til at forbyde enhver aktivitet, der involverer overførsel af persondata til udlandet.

the pdpd like the gdpr establishes stringent requirements for restricting the transfer of personal data

3. Hvordan kan R Digitals teknologiløsninger hjælpe virksomheder?

Når Persondataloven i Vietnam træder i kraft i 2023, skal virksomheder ikke kun forberede dokumentation og procedurer for at opfylde kravene i loven, men også ændre deres teknologi for at være i overensstemmelse med organisationens ledelse og forretningsoperationer. Dette er et vigtigt og nødvendigt skridt for at sikre lovgivningsmæssig overholdelse og minimere juridiske risici samt negative virkninger på organisationens omdømme.

R Digital hjælper virksomheder med at implementere open-source teknologi, der prioriterer privatliv og beskyttelse af brugerdata. Her er nogle eksempler:

  • AesirX Analytics teknologi

AesirX Analytics er det bedste gratis og overensstemmende alternativ til Google Analytics i øjeblikket tilgængeligt.

Selvom Google Analytics (GA) tilbyder et gratis analyseværktøj, mener mange databeskyttelsesagenturer i forskellige lande, at dette værktøj ikke længere kan bruges, fordi det ikke opfylder standarderne for den generelle databeskyttelsesforordning (GDPR).

Desuden anvender GA cookies til at indsamle data og generere statistiske rapporter. Mange browsere blokerer og forbyder i stigende grad cookies, hvilket resulterer i datafejl og ineffektiv GA-analyse på grund af besøgendes afvisninger og afvisninger af sporing.

R Digitals AesirX Analytics løsning overholder derimod fuldt ud GDPR, CPRA og andre reguleringer. AesirX Analytics indsamler især førstepartsdata, foretager juridiske analyser og præsterer mere end 30% bedre end traditionelle værktøjer.

  • AesirX SSO teknologi

Individer og organisationer kan drage fordel af SSO-løsningen på forskellige måder. En enkelt logon tillader for eksempel adgang til flere websteder/applikationer med en enkelt logon, hvilket reducerer sandsynligheden for glemsomhed af adgangskoder og opmuntrer brugerne til at bruge stærkere og mere sikre adgangskoder. Det øger produktiviteten og reducerer logintiden samtidig med at det mindsker omkostningerne og arbejdsbelastningen for personale- og IT-teams. Det forbedrer også sikkerheden og kundeoplevelsen.

  • AesirX WEB3 ID autentifikationsløsning

AesirX WEB3 ID-løsningen anvender Concordium nulviden sikkerhedsteknologi og blockchain til at beskytte personlige oplysninger. Det er en ny identitetsbekræftelsesløsning, der prioriterer privatliv ved at lade brugere bekræfte deres identitet uden at afsløre personlige oplysninger.

Overholdelse af Persondataloven er et afgørende krav for virksomheder. Fra indsamling og opbevaring af data til behandling af personoplysninger på internettet skal der etableres passende sikkerhedsforanstaltninger. R Digital forstår vigtigheden af datasikkerhed og gældende reguleringer. Vi er klar til at hjælpe virksomheder med at implementere nye lovlige teknologier og forbedre deres eksisterende digitale løsninger. Kontakt R Digital for en gratis konsultation og vurdering af din hjemmesides overholdelse af persondata-beskyttelseslovgivningen og e-handelsløsninger.

GRATIS KONSULTATION OG OVERENSSTEMMELSESREVISION 

Har du samme udfordring?

KONTAKT OS