Find your portal
Sign up
Find your portal

Regulamento Geral de Proteção de Dados da UE

Introdução

GDPR significa Regulamento Geral de Proteção de Dados e é uma lei de privacidade da UE que entra em vigor em 25 de maio de 2018 [1]. O GDPR se aplica a todas as empresas com nexo na UE ou que visam um público da UE em seus materiais de marketing [2].

O GDPR foi desenvolvido para proteger as informações pessoais confidenciais dos usuários finais, como senhas, endereços, informações financeiras, registros médicos e antecedentes criminais. Também se estende a outras informações de identificação pessoal, como nome, foto, números de identificação do governo e endereço IP. [3]

As empresas têm um incentivo financeiro para seguir a lei. Se uma violação do GDPR for relatada a uma empresa e ela não tomar medidas oportunas para corrigir a violação, ela poderá estar sujeita a multas de até 20 milhões de euros ou 4% das receitas totais, o que for maior. As multas dependem da gravidade da violação e se a empresa considera a conformidade e os regulamentos de segurança de maneira suficientemente séria. [4]

Controladores de dados e processadores de dados

O GDPR tem um modelo de responsabilidade conjunta que é dividido entre um “controlador de dados” (uma empresa que presta um serviço aos usuários finais) e um “processador de dados” (uma empresa que presta um serviço aos controladores de dados que inclui o armazenamento e processamento de dados do usuário final ). [5]

Um controlador de dados depende de seus processadores de dados para cuidar bem dos dados do usuário final. Se um controlador de dados ouvir de um processador de dados que houve uma violação e a violação é grave o suficiente, o controlador de dados deve informar seus usuários finais dentro de 72 horas. [6]

Um controlador de dados também deve fornecer aos usuários finais uma descrição clara de como eles usarão seus dados e obter um consentimento explícito para esse uso. Um controlador de dados também deve fornecer uma maneira para que os usuários finais baixem seus dados de maneira portátil, retirem seu consentimento e removam a si mesmos (e seus dados) do serviço. [7]

Um processador de dados armazena dados do usuário final em nome do controlador de dados e deve garantir que esses dados nunca caiam em mãos erradas. Os processadores de dados devem seguir as melhores práticas do setor, incluindo criptografia de senhas, conformidade com PCI e garantia da segurança dos dados transferidos de/para a UE. [8] Em caso de violação, um processador de dados deve informar os controladores de dados em tempo hábil. Um processador de dados pode usar serviços de terceiros para armazenar e processar dados do usuário final e, nesse caso, o processador de dados deve garantir que esses serviços de terceiros também sejam compatíveis com GDPR.

Como o CYPHER LEARNING é compatível com GDPR

O CYPHER LEARNING é principalmente um processador de dados, pois oferecemos nosso LMS hospedado na nuvem para organizações. Essas organizações são coletoras de dados, pois cadastram usuários finais e esses usuários inserem dados em nosso sistema. Para estar em conformidade como processador de dados, fazemos o seguinte:

  1. Siga as melhores práticas do setor para garantir a segurança do nosso sistema e evitar violações. Para obter mais detalhes sobre nossos recursos de segurança, visite nosso FAQ público .
  2. Forneça políticas de privacidade claras, que estão documentadas aqui .
  3. Fornecer aos nossos clientes uma estrutura que permita que os consentimentos da política sejam necessários para determinados tipos de conta e/ou visitantes.
  4. Permitir que as políticas sejam versionadas (o que requer nova aceitação e relato.
  5. Permita que os usuários finais retirem seu consentimento das políticas, se desejarem.
  6. Allow customers to provide end users with self-service data export for data portability.
  7. Allow customers to provide end users with the ability to self-delete their accounts or request that their accounts are deleted.
  8. Provide end users with a set of privacy settings.
  9. Commit to alert our customers with a timely notification of any serious breach.
  10. Use the EU-US and Swiss-US Privacy shield for EU-US data transfer.
  11. Confirm that the third party services and systems we utilize for the operations of our product are also GDPR compliant.

CYPHER LEARNING is also secondarily a data controller since we require the person who initially signs up for our service to enter some data such as their name and email address. To be compliant as a data collector, we do the following:

  1. Provide clear Terms of service and Privacy Policy.
  2. Provide a method to self-delete their site and all related data.
  3. Use industry best security practices to protect against data breaches.
  4. Commit to alert our customers within 72 hours of any serious breach.
  5. Provide clear privacy policies, which are documented here.

Third party optional integrations in our App Center

CYPHER LEARNING products include a wide variety of optional integrations with third party products via our App Center, and most of these party systems can be considered as a data processor. We do not warrant that these third party products are GDPR compliant, and expressly disclaim any liability for damages which may occur if those third party products are breached.

We also expressly disclaim legal responsibility for having to notify our data collectors or end users if third party systems that we provide optional integrations with via our App Center are breached. Our customers are expected to have a separate contract with each third party system that they integrate with CYPHER LEARNING products, and we recommend that our customers contact each of these third party providers to see if they are GDPR compliant.

Disclaimer

The information on this page is not legal advice for you or your company to use in complying with EU data privacy laws like the GDPR. The content on this page is meant only for educational purposes and to provide you with background information to help you better understand CYPHER LEARNING’s efforts to comply with the regulation.

References

  1. https://gdpr-info.eu/
  2. https://www.workplaceprivacyreport.com/2018/01/articles/international-2/does-the-gdpr-apply-to-your-us-based-company/
  3. https://gdpr-info.eu/art-4-gdpr/
  4. https://www.gdpreu.org/compliance/fines-and-penalties/
  5. https://advisera.com/eugdpracademy/knowledgebase/eu-gdpr-controller-vs-processor-what-are-the-differences/
  6. https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/
  7. https://www.i-scoop.eu/gdpr/right-to-data-portability/
  8. https://www.itgovernance.co.uk/blog/transferring-personal-data-under-the-gdpr/

Para obter mais detalhes sobre o GDPR, visite https://www.eugdpr.org/ .