With the new European Data Protection Regulation going into effect on May 25, businesses are working feverishly to understand what is required to be in compliance.

Containing 99 articles, the comprehensive regulation “was designed to harmonize data privacy laws across Europe, to protect and empower all EU citizens’ data privacy, and to reshape the way organizations across the region approach data privacy,” explained Roman Spitko in a special session at IHRSA 2018 in San Diego, CA. Spitko also hosted an IHRSA webinar about GDPR, which is available now.

(Live in the EU? Verify your identity to continue receiving communications from IHRSA.)

Spitko, que é diretor da faculdade de administração e economia da German University for Prevention & Healthcare Management, aconselhou os participantes sobre a forma de cumprir o novo regulamento e os riscos de não o fazer.

Aqui estão cinco pontos da sua sessão.

1. O RGPD aplica-se a todas as pessoas que fazem negócios na UE

Os novos regulamentos são relevantes para todos os clubes de fitness e, por conseguinte, para todos os operadores de clubes que exercem a sua atividade na União Europeia.

2. O incumprimento tem um preço

O incumprimento pode custar-lhe até 4% do seu volume de negócios anual ou 20 milhões de euros, consoante o valor mais elevado.

3. Considerar a possibilidade de nomear um responsável pela proteção de dados

Poderá ser necessário nomear um responsável pela proteção de dados (RPD). Existem muitos modelos de negócio no sector do fitness que processam dados biométricos ou dados relativos à saúde. Se o tratamento deste tipo de dados for qualificado como atividade principal, então poderá ser obrigatório para estes clubes nomear um RPD.

"O incumprimento pode custar-lhe até 4% do seu volume de negócios anual ou 20 milhões de euros, consoante o valor mais elevado."

4. Os requisitos variam consoante a dimensão

Requirements are different for organizations with fewer than 250 employees. A business in this category is not required to maintain a record of processing activities under its responsibility unless “the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data […] or personal data relating to criminal convictions and offenses” (Article 30, Number 5).

5. Subcontratar com cautela

Subcontratar o processamento de dados a outra empresa que diz estar em conformidade não isenta o seu clube de responsabilidade. Se se verificar que a empresa escolhida não está em conformidade, a sua empresa também será responsável.

Saiba mais sobre o RGPD

For more advice about GDPR from Roman Spitko, watch his IHRSA webinar, “New European Protection Rules: The Impact on Your Gym” (free for IHRSA members).