האם GDPR חל עליי אם האתר שלי נמצא מחוץ לאיחוד האירופי?

אם אתה מעבד נתונים אישיים של אנשים באיחוד האירופי - גם אם החברה שלך נמצאת בארה"ב, ברזיל או בכל מקום אחר - GDPR חל. דוגמאות: אתר מסחר אלקטרוני אוסטרלי שנשלח לצרפת, חברת SaaS בארה"ב עם לקוחות באיחוד האירופי, בלוג אישי שקוראים באיחוד האירופי נרשמים לניוזלטר. העיקרון הטריטוריאלי הוא מיקומו של נושא הנתונים, לא של הבקר.

מה ההבדל בין בקר נתונים למעבד נתונים?

הבקר מחליט מדוע וכיצד מעובדים נתונים (פייסבוק, הבנק שלך). המעבד מעבד נתונים מטעם הבקר (ספק שולח הדוא"ל של הבנק). GDPR מטיל חובות שונות על כל אחד מהם. רוב החברות פועלות כבקרות עבור לקוחותיהן וכמעבדות עבור השירותים שהן מספקות לעסקים אחרים.

האם באנרים של קובצי Cookie נדרשים על פי GDPR?

באנרים של קובצי Cookie נדרשים לרוב על פי הוראת הפרטיות האלקטרונית (חוק נפרד, ישן יותר של האיחוד האירופי), המחייב הסכמה לעוגיות לא חיוניות. GDPR קובע את הסטנדרט כיצד נראית הסכמה תקפה - מושכלת, ספציפית, ניתנת בחופשיות, ניתנת לביטול בקלות. יחד הם הפיקו את ריאליטי הבאנרים של העוגיות. תקנת הפרטיות האלקטרונית שתחליף את ההוראה נמצאת בבעיה חקיקתית כבר שנים.

האם VPN יכול לעזור לי עם זכויות GDPR?

VPN לא מעניק לך זכויות GDPR - אלה מבוססות על תושבות, לא על מה שהיעד רואה כ-IP שלך. לתושבי האיחוד האירופי יש זכויות GDPR מכל מקום שממנו הם מתחברים; משתמשים שאינם מהאיחוד האירופי אינם מקבלים זכויות GDPR על ידי התחברות דרך VPN של האיחוד האירופי. החוק עוקב אחרי האדם, לא אחרי החבילה.

מה קורה אם החברה שלי מקבלת תלונת GDPR?

ה-DPA המקומי חוקר. אם הם מוצאים הפרה, הסנקציות יכולות לכלול אזהרות, איסור עיבוד, תיקון חובה וקנסות. רוב המקרים נפתרים באמצעות דיאלוג ותיקונים ולא בקנסות. הקנסות בפרופיל הגבוה של מיליארד אירו כרוכים בהפרות חוזרות ונשנות של מעבדים גדולים מאוד לאחר חילופי רגולטוריים רבים.

GDPR הסבר: תקנת הפרטיות של אירופה ומדוע היא עיצבה מחדש את האינטרנט

GDPR - תקנת הגנת המידע הכללית - בתוקף ברחבי האיחוד האירופי מאז 2018, וההשפעות שלה מופיעות בכל אתר שאתה מבקר בו: באנרים של קובצי Cookie, אפשרויות מחיקת חשבון, כלי ייצוא נתונים, הזכות להישכח. החוק אינו מושלם, והאכיפה הייתה לא אחידה, אך היא נותרה תקנת הפרטיות התוצאתית ביותר בעולם.

גוף המאמר המלא מסופק באנגלית להלן.

תקנה General Protection Data (GDPR) נכנסה לתוקף ב-25 במאי 2018, והחליפה את הוראת הגנת המידע הישנה של האיחוד האירופי משנת 1995 בתקנה אחת שחלה ישירות בכל מדינה חברה. הוא קובע כיצד ארגונים מעבדים את הנתונים האישיים של אנשים באיחוד האירופי וב-EEA. הטווח הטריטוריאלי רחב: כל חברה המעבדת נתונים של תושבי האיחוד האירופי נופלת תחת GDPR, ללא קשר למקום שבו החברה מבוססת.

מה שנחשב לנתונים אישיים ההגדרה של "נתונים אישיים" של רוב החוקים הלאומיים הייתה רחבה יותר: כל מידע הנוגע לאדם טבעי מזוהה או מזוהה. שמות, מיילים, כתובות IP, עוגיות, מזהי מכשירים, נתוני מיקום, תמונות, דפוסי התנהגות. אפילו תעודות זהות בדוי נחשבות אם ניתן לקשר את השם בדוי לאדם באמצעות נתונים זמינים אחרים. הסרגל הוא אם מישהו יכול לזהות את האדם, לא אם מישהו ניסה.

ששת הבסיסים החוקיים

עיבוד נתונים אישיים דורש בסיס חוקי - אחד מ:

Consent - נשוא הנתונים נתן מפורש, ניתן לביטול, ללא תשלום. הרשאה
Contract — העיבוד הכרחי כדי לבצע חוזה עם נושא הנתונים (מסירת הזמנה, מילוי מנוי)
Lחייבים משפטיים - נדרש על פי חוק (רישומי מס, איסור הלבנת הון ZPLZ2XXVital2ZPLZ2XXVII) אינטרסים — הכרחי כדי להגן על חייו של מישהו
משימה ציבורית — למטרות אינטרס ציבורי המבוצעות על ידי רשות רשמית
Lגיטימיים — הזכויות המאוזנות של הבקר או של צד שלישי מול האינטרסים והנתונים של צד שלישי, freedoms

בחירת הבסיס נקבעת על ידי בקר הנתונים ונחשפת במדיניות הפרטיות. "הסכמה" הפכה למילת הכותרת בגלל באנרים של עוגיות, אבל זה רק אחד משישה בסיסים - ולרגולטורים באיחוד האירופי היה ברור שההסכמה אינה מתאימה כפתרון עוקף לעיבוד שאמור להיות תחת חוזה או אינטרסים לגיטימיים. ימים:

זכות הגישה — קבל עותק של כל הנתונים האישיים שלך ומידע על אופן העיבוד שלהם
הזכות לתיקון — תקן נתונים לא מדויקים נשכח) - בקש מחיקה בתנאים ספציפיים
הזכות להגבלת עיבוד - השהה את העיבוד בזמן שהמחלוקות נפתרות
הזכות לניידות נתונים - קבל את הנתונים שלך בפורמט קריא על ידי מכונה אל PL6ZX4XX4 בקר אחר ושלח אותם לבקר אחר PL66RX6XX4 object - במיוחד לשיווק ישיר
זכויות הקשורות לקבלת החלטות אוטומטית - ערעור על החלטות שהתקבלו לחלוטין באמצעים אוטומטיים
הזכות לקבל מידע - הודעות פרטיות ברורות ונגישות שיש להן teeth
התכונה תופסת הכותרות של GDPR: קנסות של עד 20 מיליון אירו או 4% מההכנסה השנתית העולמית, הגבוה מביניהם. ה-DPC האירי קנס את Meta ב-1.2 מיליארד אירו בשנת 2023 בגין העברות מידע לא מורשות בארה"ב, ואותה סוכנות כבר קנסה אותם ב-405 מיליון אירו בגין עיבוד המידע של אינסטגרם של קטינים. אמזון נקנסה ב-746 מיליון אירו על ידי לוקסמבורג. העונשים גדולים מספיק כדי שרוב החברות הרב-לאומיות מתייחסות ברצינות לציות.
T. כאמור, האכיפה משתנה מאוד. ה-DPC של אירלנד מטפל במקרים שבהם מעורבים רוב ענקיות הטכנולוגיה בארה"ב מכיוון שמרכזן בדבלין, והוא זכה לביקורת על עיבוד איטי. רשויות DPA אחרות (גרמניה, צרפת, איטליה) נוטות לפעול מהר יותר במקרים קטנים יותר.
כללים להעברת נתונים
אחת מההוראות המשפיעות ביותר של GDPR: נתונים עשויים לעזוב את האיחוד האירופי רק למדינות עם הגנה "מתאימה" או תחת אמצעי הגנה ספציפיים. פסקי הדין של בית הדין האירופי לצדק של Schrems I (2015) ו-Schrems II (2020) פסלו מסגרות עוקבות להעברת נתונים בין ארה"ב לאיחוד האירופי מכיוון שחוקי המעקב בארה"ב אינם מספקים הגנה מקבילה ל-GDPR. מסגרת פרטיות הנתונים הנוכחית (2023) בתוקף אך כבר מאותגרת.
ההשלכה המעשית: חברות רבות שומרות על תושבות נתונים באיחוד האירופי בלבד עבור משתמשי האיחוד האירופי, וספקי ענן בארה"ב מציעים אחסון באזור האיחוד האירופי שלא מועבר חוזית החוצה.ul>
Cookie banners. עכשיו בכל מקום, בעיקר כואב, לעתים קרובות עם דפוס כהה. הוראת הפרטיות האלקטרונית הבסיסית (ישנה יותר מ-GDPR) כבר דרשה אותם; אכיפת ה-GDPR הפכה אותם לאוניברסליים.
מדיניות פרטיות. ארוכות יותר, ספציפיות יותר, עם תקופות שמירה ובסיסים חוקיים נחשפו.
מחיקת חשבון. כל שירות גדול מציע כעת כפתור מחיקה-מי-מי-מי-מי-מיי11XXPLa1PLZXPLa בשירות עצמי. export. הזכות לניידות נתונים הובילה לפורמטים סטנדרטיים של ייצוא (Google Takeout, הורדה מפייסבוק).
גילוי הפרה חובה. תוך 72 שעות מרגע שנודע לה על הפרת נתונים אישיים.
PO הארגון לתהליך ההגנה (XDataProtection forOffice) scale.

השפעות האדווה הבינלאומיות

GDPR הפכו לתבנית. ה-CCPA של קליפורניה (2020), LGPD של ברזיל (2020), חוק ה-DPDP של הודו (2023), ועשרות חוקים לאומיים אחרים שאלו את המבנה שלו. חברות רב לאומיות נוהגות לתקן את שיטות העבודה המקבילות ל-GDPR ברחבי העולם מכיוון שפעילות תחת תקנות מקוטעות היא יקרה יותר מהמחמירה ביותר. התוצאה: כללי פרטיות שכולם צריכים לציית להם איפשהו הפכו לכללי פרטיות שכולם מספקים בכל מקום.

שאלות נפוצות

האם GDPR חל עליי אם האתר שלי נמצא מחוץ לאיחוד האירופי?: אם אתה מעבד נתונים אישיים של אנשים באיחוד האירופי - גם אם החברה שלך נמצאת בארה"ב, ברזיל או בכל מקום אחר - GDPR חל. דוגמאות: אתר מסחר אלקטרוני אוסטרלי שנשלח לצרפת, חברת SaaS בארה"ב עם לקוחות באיחוד האירופי, בלוג אישי שקוראים באיחוד האירופי נרשמים לניוזלטר. העיקרון הטריטוריאלי הוא מיקומו של נושא הנתונים, לא של הבקר.
מה ההבדל בין בקר נתונים למעבד נתונים?: הבקר מחליט מדוע וכיצד מעובדים נתונים (פייסבוק, הבנק שלך). המעבד מעבד נתונים מטעם הבקר (ספק שולח הדוא"ל של הבנק). GDPR מטיל חובות שונות על כל אחד מהם. רוב החברות פועלות כבקרות עבור לקוחותיהן וכמעבדות עבור השירותים שהן מספקות לעסקים אחרים.
האם באנרים של קובצי Cookie נדרשים על פי GDPR?: באנרים של קובצי Cookie נדרשים לרוב על פי הוראת הפרטיות האלקטרונית (חוק נפרד, ישן יותר של האיחוד האירופי), המחייב הסכמה לעוגיות לא חיוניות. GDPR קובע את הסטנדרט כיצד נראית הסכמה תקפה - מושכלת, ספציפית, ניתנת בחופשיות, ניתנת לביטול בקלות. יחד הם הפיקו את ריאליטי הבאנרים של העוגיות. תקנת הפרטיות האלקטרונית שתחליף את ההוראה נמצאת בבעיה חקיקתית כבר שנים.
האם VPN יכול לעזור לי עם זכויות GDPR?: VPN לא מעניק לך זכויות GDPR - אלה מבוססות על תושבות, לא על מה שהיעד רואה כ-IP שלך. לתושבי האיחוד האירופי יש זכויות GDPR מכל מקום שממנו הם מתחברים; משתמשים שאינם מהאיחוד האירופי אינם מקבלים זכויות GDPR על ידי התחברות דרך VPN של האיחוד האירופי. החוק עוקב אחרי האדם, לא אחרי החבילה.
מה קורה אם החברה שלי מקבלת תלונת GDPR?: ה-DPA המקומי חוקר. אם הם מוצאים הפרה, הסנקציות יכולות לכלול אזהרות, איסור עיבוד, תיקון חובה וקנסות. רוב המקרים נפתרים באמצעות דיאלוג ותיקונים ולא בקנסות. הקנסות בפרופיל הגבוה של מיליארד אירו כרוכים בהפרות חוזרות ונשנות של מעבדים גדולים מאוד לאחר חילופי רגולטוריים רבים.

ששת הבסיסים החוקיים

כללים להעברת נתונים

השפעות האדווה הבינלאומיות

שאלות נפוצות