Koskeeko GDPR minua, jos sivustoni on EU:n ulkopuolella?

Jos käsittelet EU:ssa olevien ihmisten henkilötietoja – vaikka yrityksesi olisi Yhdysvalloissa, Brasiliassa tai missä tahansa muualla – sovelletaan GDPR:ää. Esimerkkejä: australialainen verkkokauppasivusto, joka lähettää tuotteita Ranskaan, yhdysvaltalainen SaaS-yritys, jolla on EU-asiakkaita, henkilökohtainen blogi, jossa EU-lukijat tilaavat uutiskirjeen. Alueperiaatteena on rekisteröidyn sijainti, ei rekisterinpitäjän sijainti.

Mitä eroa on rekisterinpitäjällä ja tietojen käsittelijällä?

Rekisterinpitäjä päättää miksi ja miten tietoja käsitellään (Facebook, pankkisi). Käsittelijä käsittelee tietoja rekisterinpitäjän (pankin sähköpostin lähettäjän) puolesta. GDPR asettaa jokaiselle erilaiset velvoitteet. Useimmat yritykset toimivat asiakkaidensa rekisterinpitäjinä ja muille yrityksille tarjoamiensa palveluiden käsittelijöinä.

Vaaditaanko GDPR evästebannereita?

Evästebannereita vaatii enimmäkseen sähköisen viestinnän tietosuojadirektiivi (erillinen, vanhempi EU-laki), joka edellyttää suostumusta ei-välttämättömiin evästeisiin. GDPR asettaa standardin sille, miltä voimassa oleva suostumus näyttää – tietoinen, tarkka, vapaasti annettu, helposti peruutettava. Yhdessä he tuottivat eväste-banneritodellisuuden. Direktiivin korvaava sähköisen viestinnän tietosuoja-asetus on ollut lainsäädännöllisessä hämärässä jo vuosia.

Voiko VPN auttaa minua GDPR-oikeuksien kanssa?

VPN ei myönnä sinulle GDPR-oikeuksia – ne perustuvat asuinpaikkaan, eivät siihen, mitä kohde näkee IP-osoitteesi. EU:n asukkailla on GDPR-oikeudet riippumatta siitä, mistä he muodostavat yhteyden; EU:n ulkopuoliset käyttäjät eivät saa GDPR-oikeuksia muodostamalla yhteyttä EU:n VPN:n kautta. Laki seuraa henkilöä, ei pakettia.

Mitä tapahtuu, jos yritykseni saa GDPR-valituksen?

Paikallinen DPA tutkii. Jos he havaitsevat rikkomuksen, seuraamukset voivat sisältää varoituksia, käsittelykieltoja, pakollisia korjauksia ja sakkoja. Useimmat tapaukset ratkaistaan vuoropuhelun ja korjaamisen avulla sakkojen sijaan. Korkean profiilin miljardin euron rangaistukset sisältävät erittäin suurten prosessorien toistuvia rikkomuksia useiden säännöstenvaihdon jälkeen.

GDPR selitetty: Euroopan tietosuoja-asetus ja miksi se muokkasi Internetiä

GDPR – yleinen tietosuoja-asetus – on ollut voimassa kaikkialla Euroopan unionissa vuodesta 2018, ja sen vaikutukset näkyvät kaikilla vierailemillasi verkkosivuilla: evästebannerit, tilin poistovaihtoehdot, tiedonvientityökalut, oikeus tulla unohdetuksi. Laki ei ole täydellinen, ja täytäntöönpano on ollut epätasaista, mutta se on edelleen maailman merkittävin yksityisyyden suoja.

Artikkelin koko runko on englanniksi alla.

Yleinen tietosuoja-asetus (GDPR) astui voimaan 25. toukokuuta 2018, ja se korvasi EU:n vanhemman 1995 tietosuojadirektiivin yhdellä asetuksella, jota sovelletaan suoraan kaikissa jäsenvaltioissa. Se säätelee, miten organisaatiot käsittelevät ihmisten henkilötietoja EU:ssa ja ETA:ssa. Alueellinen ulottuvuus on laaja: kaikki EU:n asukkaiden tietoja käsittelevät yritykset kuuluvat GDPR:n soveltamisalaan riippumatta yrityksen kotipaikasta.

Mitä pidetään henkilötiedoina

GDPR:n määritelmä "henkilötiedoista" on laajempi kuin useimmat kansalliset lait ovat olleet: kaikki tunnistettuun tai tunnistettavaan luonnolliseen henkilöön liittyvät tiedot. Nimet, sähköpostit, IP-osoitteet, evästeet, laitetunnukset, sijaintitiedot, valokuvat, käyttäytymismallit. Jopa pseudonyymeillä tunnisteilla on merkitystä, jos salanimi voidaan linkittää takaisin henkilöön muiden saatavilla olevien tietojen kautta. Rikki on se, pystyykö joku tunnistamaan henkilön, ei se, onko kukaan yrittänyt.

Kuusi laillista perustetta

Henkilötietojen käsittely edellyttää laillista perustetta – yksi seuraavista:

Suostumus – rekisteröity on antanut, nimenomaisesti peruuttanut, ilmoittanut lupa
Sopimus — käsittely on tarpeen rekisteröidyn kanssa tehdyn sopimuksen toteuttamiseksi (tilauksen toimittaminen, tilauksen täyttäminen)
Lakivelvollisuus — lain edellyttämä (verorekisteri, rahanpesun torjunta, PLZPLZ2XXV2PLX2PLZPLZ2XXV) edut — välttämätön jonkun hengen suojelemiseksi
Julkinen tehtävä — julkisen viranomaisen suorittamiin yleisen edun mukaisiin tarkoituksiin
Oikeutetut edut — rekisterinpitäjän tai kolmannen osapuolen oikeudet ja oikeudet ja tietojen välinen tasapaino vapaudet

Rekisterinpitäjä päättää perusteen valinnasta ja se ilmoitetaan tietosuojaselosteessa. "Suostumus" tuli otsikkosanaksi evästebannerien takia, mutta se on vain yksi kuudesta perusteesta – ja EU:n sääntelyviranomaiset ovat olleet selväksi, että suostumus ei ole sopiva ratkaisu käsittelyyn, jonka pitäisi kuulua sopimusten tai oikeutettujen etujen piiriin.

Kahdeksan rekisteröidyn oikeutta

PlZ41XGDPR, joka yleensä antaa datan kohteille oikeudet3 päivää:

Pääsyoikeus — hanki kopio kaikista henkilötiedoistasi ja tiedoista niiden käsittelystä
Oikeus oikaisuun — korjaa virheelliset tiedotXPLZ522PLZX
X aikakaudelle unohtunut) — pyydä poistamista tietyissä olosuhteissa
Oikeus käsittelyn rajoittamiseen — keskeytä käsittely, kunnes riidat ratkaistaan
Oikeus tietojen siirrettävyyteen — vastaanota tietosi koneellisesti luettavassa muodossa ja lähetä ne6XX toiseen ohjausyksikköön6PLZPLX6 object — erityisesti suoramarkkinointiin
Automaattiseen päätöksentekoon liittyvät oikeudet — kyseenalaistaa kokonaan automatisoiduin keinoin tehdyt päätökset
Oikeus saada tietoa — selkeät, helposti saatavilla olevat tietosuojailmoitukset7PLZP6XXXXPLZ teeth
GDPR:n otsikoihin tarttuva ominaisuus: sakkoja jopa 20 miljoonaan euroon tai 4 % maailmanlaajuisista vuosituloista sen mukaan, kumpi on suurempi. Irlantilainen DPC määräsi Metalle 1,2 miljardin euron sakot vuonna 2023 luvattomista yhdysvaltalaisista tiedonsiirroista, ja sama virasto oli jo määrännyt heille 405 miljoonan euron sakot Instagramin alaikäisten tietojen käsittelystä. Luxemburg määräsi Amazonille 746 miljoonan euron sakot. Rangaistukset ovat riittävän suuria, jotta useimmat monikansalliset yhtiöt ottavat noudattamisen vakavasti.
Täytäntöönpano vaihtelee kuitenkin valtavasti. Irlannin DPC käsittelee tapauksia, joissa on mukana useimmat yhdysvaltalaiset teknologiajätit, koska niiden pääkonttori on Dublinissa, ja sitä on kritisoitu hitaasta käsittelystä. Muut tietosuojaviranomaiset (Saksa, Ranska, Italia) toimivat yleensä nopeammin pienissä tapauksissa.
Tiedonsiirtosäännöt
Yksi GDPR:n merkittävimmistä säännöksistä: tiedot voivat lähteä EU:sta vain maihin, joissa on "riittävä" suoja tai tietyt suojatoimenpiteet. Euroopan yhteisöjen tuomioistuimen Schrems I (2015) ja Schrems II (2020) tuomiot mitätöivät peräkkäiset USA:n ja EU:n väliset tiedonsiirtokehykset, koska Yhdysvaltain valvontalainsäädäntö ei tarjoa GDPR:ää vastaavaa suojaa. Nykyinen Data Privacy Framework (2023) on voimassa, mutta se on jo haastettu.
Käytännön seuraus: monet yritykset säilyttävät EU:n käyttäjille vain EU:n datan asuinpaikan, ja yhdysvaltalaiset pilvipalveluntarjoajat tarjoavat EU-alueen tallennustilaa, jota ei sopimusten mukaan siirretä ulos.
Mitä GDPRXX todellisuudessa muuttuiZ9 vaikutukset
ul>
Evästebannerit. Nyt kaikkialla, enimmäkseen kipeä, usein tummakuvioinen. Taustalla oleva sähköisen viestinnän tietosuojadirektiivi (vanhempi kuin GDPR) edellytti niitä jo; GDPR-valvonta teki niistä yleismaailmallisia.
Tietosuojakäytännöt. Pidemmät, tarkemmat, säilytysajat ja lailliset perusteet julkistetaan.
Tilin poistaminen. Jokaisessa suuressa palvelussa on nyt itsepalveluDelete-my-data-painike.XZ11DaXXXX3PLZ1DaXXXX. vienti. Oikeus tietojen siirrettävyyteen johti standardoituihin vientimuotoihin (Google Takeout, Facebook-lataus).
Pakollinen tietomurron paljastaminen. 72 tunnin kuluessa henkilötietojen tietoturvaloukkauksesta.
XPOZ prosessin organisaation vaatimukset2 Offices21Xr (Data21XD) mittakaavassa.

Kansainvälisistä ripple-efekteistä

GDPR:stä tuli malli. Kalifornian CCPA (2020), Brasilian LGPD (2020), Intian DPDP-laki (2023) ja kymmenet muut kansalliset lait lainasivat sen rakennetta. Monikansalliset yritykset standardoivat usein GDPR:ää vastaavia käytäntöjä maailmanlaajuisesti, koska pirstoutuneiden säännösten alainen toiminta on tiukinta kallista. Tulos: yksityisyyssäännöistä, joita kaikkien on noudatettava jossain, on tullut yksityisyyssääntöjä, joita kaikki tarjoavat kaikkialla.

Usein kysytyt kysymykset

Koskeeko GDPR minua, jos sivustoni on EU:n ulkopuolella?: Jos käsittelet EU:ssa olevien ihmisten henkilötietoja – vaikka yrityksesi olisi Yhdysvalloissa, Brasiliassa tai missä tahansa muualla – sovelletaan GDPR:ää. Esimerkkejä: australialainen verkkokauppasivusto, joka lähettää tuotteita Ranskaan, yhdysvaltalainen SaaS-yritys, jolla on EU-asiakkaita, henkilökohtainen blogi, jossa EU-lukijat tilaavat uutiskirjeen. Alueperiaatteena on rekisteröidyn sijainti, ei rekisterinpitäjän sijainti.
Mitä eroa on rekisterinpitäjällä ja tietojen käsittelijällä?: Rekisterinpitäjä päättää miksi ja miten tietoja käsitellään (Facebook, pankkisi). Käsittelijä käsittelee tietoja rekisterinpitäjän (pankin sähköpostin lähettäjän) puolesta. GDPR asettaa jokaiselle erilaiset velvoitteet. Useimmat yritykset toimivat asiakkaidensa rekisterinpitäjinä ja muille yrityksille tarjoamiensa palveluiden käsittelijöinä.
Vaaditaanko GDPR evästebannereita?: Evästebannereita vaatii enimmäkseen sähköisen viestinnän tietosuojadirektiivi (erillinen, vanhempi EU-laki), joka edellyttää suostumusta ei-välttämättömiin evästeisiin. GDPR asettaa standardin sille, miltä voimassa oleva suostumus näyttää – tietoinen, tarkka, vapaasti annettu, helposti peruutettava. Yhdessä he tuottivat eväste-banneritodellisuuden. Direktiivin korvaava sähköisen viestinnän tietosuoja-asetus on ollut lainsäädännöllisessä hämärässä jo vuosia.
Voiko VPN auttaa minua GDPR-oikeuksien kanssa?: VPN ei myönnä sinulle GDPR-oikeuksia – ne perustuvat asuinpaikkaan, eivät siihen, mitä kohde näkee IP-osoitteesi. EU:n asukkailla on GDPR-oikeudet riippumatta siitä, mistä he muodostavat yhteyden; EU:n ulkopuoliset käyttäjät eivät saa GDPR-oikeuksia muodostamalla yhteyttä EU:n VPN:n kautta. Laki seuraa henkilöä, ei pakettia.
Mitä tapahtuu, jos yritykseni saa GDPR-valituksen?: Paikallinen DPA tutkii. Jos he havaitsevat rikkomuksen, seuraamukset voivat sisältää varoituksia, käsittelykieltoja, pakollisia korjauksia ja sakkoja. Useimmat tapaukset ratkaistaan vuoropuhelun ja korjaamisen avulla sakkojen sijaan. Korkean profiilin miljardin euron rangaistukset sisältävät erittäin suurten prosessorien toistuvia rikkomuksia useiden säännöstenvaihdon jälkeen.