GDPREU privacy regulation

GDPR

11 min přečtenoSoukromí

GDPR — obecné nařízení o ochraně osobních údajů — platí v celé Evropské unii od roku 2018 a jeho účinky se projeví na každé webové stránce, kterou navštívíte: bannery cookie, možnosti smazání účtu, nástroje pro export dat, právo být zapomenut. Zákon není dokonalý a jeho vymáhání je nerovnoměrné, ale zůstává nejdůslednějším nařízením o ochraně soukromí na světě.

Celé tělo článku je uvedeno níže v angličtině.

General Data Protection Regulation (GDPR) vstoupilo v platnost 25. května 2018 a nahradilo starší směrnici EU o ochraně dat z roku 1995 jediným nařízením, které platí přímo v každém členském státě. Upravuje, jak organizace zpracovávají osobní údaje lidí v EU a EHP. Územní dosah je široký: pod GDPR spadá jakákoliv společnost zpracovávající údaje obyvatel EU, bez ohledu na to, kde má společnost sídlo.

Co se považuje za osobní údaje

GDPR definice „osobních údajů“ je širší, než byla většina vnitrostátních právních předpisů: jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby. Jména, e-maily, adresy IP, soubory cookie, ID zařízení, údaje o poloze, fotografie, vzorce chování. Dokonce i pseudonymní ID se počítají, pokud lze pseudonym zpětně propojit s jednotlivcem prostřednictvím jiných dostupných údajů. Hranicí je, zda někdo mohl identifikovat osobu, nikoli to, zda se o to někdo pokusil.

Šest zákonných základů

Zpracování osobních údajů vyžaduje zákonný základ – jeden z:

  • Souhlas – subjekt údajů poskytl výslovný, informovaný a svobodně povolení
  • Smlouva — zpracování je nezbytné pro splnění smlouvy se subjektem údajů (doručení objednávky, splnění předplatného)
  • Právní povinnost — vyžadováno zákonem (daňová evidence, zájmy proti praní špinavých peněz2VPLXX525XPLZ27ZPLXX5XPLZ22 — nezbytné k ochraně něčího života
  • Veřejný úkol — pro účely veřejného zájmu prováděné úředním orgánem
  • Oprávněné zájmy — zájmy správce nebo třetí strany, vyvážené s právy a svobodou volby subjektu údajůXZPLZ8367 rozhoduje správce údajů a je zveřejněno v zásadách ochrany osobních údajů. „Souhlas“ se stal hlavním slovem kvůli bannerům na soubory cookie, ale je to pouze jeden ze šesti základů – a regulačním orgánům EU bylo jasné, že souhlas není vhodné jako řešení pro zpracování, které by mělo spadat pod smlouvu nebo oprávněné zájmy. dny:

    • Právo na přístup — získejte kopii všech svých osobních údajů a informace o tom, jak jsou zpracovávány
    • Právo na opravu — opravte nepřesné údajeXPLZ52PLZ53XPLZprávoXPL do BeX
    • PLZ zapomenut) — žádost o smazání za určitých podmínek
    • Právo na omezení zpracování — pozastavení zpracování po dobu vyřešení sporů
    • Právo na přenositelnost dat — přijměte svá data ve strojově čitelném formátu a přeneste je jinému ovladačiPLX5PLZ66X4Right object — zejména k přímému marketingu
    • Práva související s automatizovaným rozhodováním — napadení rozhodnutí učiněná výhradně automatizovanými prostředky
    • Právo být informován — jasná a dostupná upozornění na ochranu osobních údajů, která mají
      • X78PLZ77 zuby

      Hlavní rys GDPR: pokuty až do výše 20 milionů EUR nebo 4 % celosvětového ročního příjmu, podle toho, která hodnota je vyšší. Irský DPC udělil Meta v roce 2023 pokutu ve výši 1,2 miliardy eur za neautorizované přenosy dat do USA a stejná agentura jim již udělila pokutu 405 milionů eur za zpracování údajů nezletilých na Instagramu. Amazon dostal od Lucemburska pokutu 746 milionů eur. Sankce jsou dostatečně vysoké, že většina nadnárodních společností bere dodržování předpisů vážně.

      To znamená, že vymáhání se velmi liší. Irský DPC řeší případy týkající se většiny amerických technologických gigantů, protože sídlí v Dublinu, a byl kritizován za pomalé zpracování. Jiné orgány pro ochranu údajů (Německo, Francie, Itálie) mají tendenci jednat rychleji v menších případech.

      Pravidla pro přenos dat

      Jedno z nejdůslednějších ustanovení GDPR: data mohou opustit EU pouze do zemí s „odpovídající“ ochranou nebo pod zvláštními ochrannými opatřeními. Rozsudky Evropského soudního dvora Schrems I (2015) a Schrems II (2020) zrušily platnost po sobě jdoucích rámců pro přenos dat mezi USA a EU, protože zákony USA o dohledu neposkytují ochranu ekvivalentní GDPR. Současný rámec ochrany osobních údajů (2023) je v platnosti, ale již je zpochybněn.

      Praktický důsledek: mnoho společností udržuje data pouze v EU pro uživatele z EU a poskytovatelé cloudových služeb v USA nabízejí úložiště v regionu EU, které se smluvně nepřevádí ven.

      Co se GDPR ve skutečnosti změnilo

      ul>

    • Cookie bannery. Nyní všudypřítomné, většinou bolestivé, často s tmavým vzorem. Základní směrnice o soukromí a elektronických komunikacích (starší než GDPR) je již vyžadovala; Prosazování GDPR je učinilo univerzálními.
    • Zásady ochrany osobních údajů. Delší, konkrétnější, se zveřejněnými lhůtami uchovávání a zákonnými základy.
    • Smazání účtu. Každá hlavní služba nyní nabízí samoobslužné tlačítko pro export mých dat. přenositelnost dat vedla ke standardizovaným exportním formátům (Google Takeout, Facebook download).
    • Povinné zveřejnění porušení. Do 72 hodin od zjištění narušení osobních údajů.
    • DPO (Data Protection Officer) pro organizace zpracovávající atX požadavky měřítko.

    Mezinárodní vlnové efekty

    GDPR se staly šablonou. Kalifornský zákon CCPA (2020), brazilský LGPD (2020), indický zákon DPDP (2023) a desítky dalších národních zákonů si vypůjčily jeho strukturu. Nadnárodní společnosti často celosvětově standardizují postupy ekvivalentní GDPR, protože provozování podle roztříštěných předpisů je dražší než ta nejpřísnější. Výsledek: pravidla ochrany osobních údajů, která musí každý někde dodržovat, se stala pravidly ochrany osobních údajů, která každý poskytuje všude.

Často kladené otázky

Vztahuje se na mě GDPR, pokud je můj web mimo EU?
Pokud zpracováváte osobní údaje lidí v EU – i když je vaše společnost v USA, Brazílii nebo kdekoli jinde – platí GDPR. Příklady: australský web elektronického obchodu, který zasílá do Francie, americká společnost SaaS se zákazníky z EU, osobní blog, na kterém se čtenáři z EU přihlašují k odběru zpravodaje. Územním principem je místo, kde se nachází subjekt údajů, nikoli správce.
Jaký je rozdíl mezi správcem údajů a zpracovatelem údajů?
Správce rozhoduje o tom, proč a jak jsou údaje zpracovávány (Facebook, vaše banka). Zpracovatel zpracovává údaje jménem správce (prodejce banky pro zasílání e-mailů). GDPR na každého klade jiné povinnosti. Většina společností působí jako správci pro své zákazníky a zpracovatelé služeb, které poskytují jiným podnikům.
Jsou bannery cookie vyžadovány GDPR?
Bannery cookie jsou většinou vyžadovány směrnicí o ePrivacy (samostatný starší zákon EU), která vyžaduje souhlas pro nepodstatné soubory cookie. GDPR nastavuje standard pro to, jak vypadá platný souhlas – informovaný, konkrétní, svobodně daný, snadno odvolatelný. Společně vytvořili realitu cookie-banneru. Nařízení o soukromí a elektronických komunikacích, které směrnici nahradí, je již léta v legislativním limbu.
Může mi VPN pomoci s právy GDPR?
VPN vám neuděluje práva GDPR – ta jsou založena na trvalém pobytu, nikoli na tom, co cíl vidí jako vaši IP. Obyvatelé EU mají práva GDPR, ať se připojí odkudkoli; Uživatelé mimo EU nezískají práva GDPR připojením přes EU VPN. Zákon následuje osobu, ne paket.
Co se stane, když moje společnost dostane stížnost na GDPR?
Vyšetřuje to místní DPA. Pokud zjistí porušení, sankce mohou zahrnovat varování, zákaz zpracování, povinné nápravy a pokuty. Většina případů se řeší spíše dialogem a nápravou než pokutami. Významné sankce v miliardách eur zahrnují opakované porušení ze strany velmi velkých zpracovatelů po několika výměnách regulačních orgánů.
GDPR vysvětleno: evropské nařízení o ochraně osobních údajů a proč přetvořilo internet