Primjenjuje li se GDPR na mene ako je moja stranica izvan EU-a?

Ako obrađujete osobne podatke ljudi u EU - čak i ako je vaša tvrtka u SAD-u, Brazilu ili bilo gdje drugdje - primjenjuje se GDPR. Primjeri: australska web-lokacija za e-trgovinu koja dostavlja u Francusku, američka SaaS tvrtka s klijentima iz EU-a, osobni blog na kojem se čitatelji iz EU-a prijavljuju za bilten. Teritorijalno načelo je lokacija nositelja podataka, a ne voditelja obrade.

Koja je razlika između voditelja obrade i obrađivača podataka?

Kontrolor odlučuje zašto i kako se podaci obrađuju (Facebook, vaša banka). Procesor obrađuje podatke u ime kontrolora (bankin dobavljač za slanje e-pošte). GDPR postavlja različite obveze svakome. Većina tvrtki djeluje kao kontrolori za svoje klijente i procesori za usluge koje pružaju drugim tvrtkama.

Jesu li banneri kolačića obavezni prema GDPR-u?

Bannere s kolačićima uglavnom zahtijeva Direktiva o e-privatnosti (zaseban, stariji zakon EU-a), koja zahtijeva pristanak za nebitne kolačiće. GDPR postavlja standard kako valjani pristanak izgleda — informiran, specifičan, slobodno dan, lako povučen. Zajedno su proizveli cookie-banner stvarnost. Uredba o e-privatnosti koja će zamijeniti direktivu već je godinama u zakonodavnom nedoumici.

Može li mi VPN pomoći s GDPR pravima?

VPN vam ne daje GDPR prava — ona se temelje na prebivalištu, a ne na tome što odredište vidi kao vaš IP. Stanovnici EU-a imaju prava prema GDPR-u gdje god se povezuju; korisnici izvan EU-a ne dobivaju GDPR prava povezivanjem putem EU VPN-a. Zakon slijedi osobu, a ne paket.

Što se događa ako moja tvrtka dobije pritužbu u vezi s GDPR-om?

Lokalni DPA istražuje. Ako utvrde kršenje, sankcije mogu uključivati upozorenja, zabrane obrade, obvezne sanacije i novčane kazne. Većina slučajeva rješava se dijalogom i sanacijom, a ne novčanim kaznama. Visokoprofilne kazne od milijardu eura uključuju opetovana kršenja od strane vrlo velikih procesora nakon više regulatornih razmjena.

Objašnjenje GDPR-a: Europska uredba o privatnosti i zašto je preoblikovala internet

GDPR — Opća uredba o zaštiti podataka — na snazi je u cijeloj Europskoj uniji od 2018., a njezini učinci vidljivi su na svakoj web stranici koju posjetite: natpisi s kolačićima, mogućnosti brisanja računa, alati za izvoz podataka, pravo na zaborav. Zakon nije savršen, a provedba je neujednačena, ali ostaje najkonzekventnija regulativa o privatnosti na svijetu.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Opća uredba o zaštiti podataka (GDPR) stupila je na snagu 25. svibnja 2018., zamjenjujući stariju Direktivu EU-a o zaštiti podataka iz 1995. jednom uredbom koja se izravno primjenjuje u svakoj državi članici. Uređuje način na koji organizacije obrađuju osobne podatke ljudi u EU i EEA. Teritorijalni doseg je širok: svaka tvrtka koja obrađuje podatke stanovnika EU-a potpada pod GDPR, bez obzira na to gdje se tvrtka nalazi.

Što se računa kao osobni podaci

GDPR-ova definicija "osobnih podataka" šira je od većine nacionalnih zakona: sve informacije koje se odnose na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati. Imena, adrese e-pošte, IP adrese, kolačići, ID-ovi uređaja, podaci o lokaciji, fotografije, obrasci ponašanja. Čak se i ID-ovi pod pseudonimom računaju ako se pseudonim može povezati s pojedincem putem drugih dostupnih podataka. Pitanje je je li netko mogao identificirati osobu, a ne je li itko pokušao.

Šest zakonitih osnova

Za obradu osobnih podataka potrebna je zakonska osnova — jedna od:

Pristanak — ispitanik je dao izričit, informiran, slobodno opoziv dopuštenje
Ugovor — obrada je neophodna za izvršenje ugovora s nositeljem podataka (isporuka narudžbe, ispunjavanje pretplate)
Pravna obveza — propisano zakonom (porezna evidencija, sprječavanje pranja novca)
Vitalno interesi — nužni za zaštitu nečijeg života
Javni zadatak — u svrhe javnog interesa koje provodi službeno tijelo
Legitimni interesi — interesi voditelja obrade ili treće strane, u ravnoteži s pravima subjekta podataka i slobode

O izboru osnove odlučuje voditelj obrade podataka i objavljuje se u politici privatnosti. "Pristanak" je postao naslovna riječ zbog bannera s kolačićima, ali to je samo jedna od šest osnova — a EU regulatori su bili jasni da pristanak nije prikladan kao zaobilazno rješenje za obradu koja bi trebala potpadati pod ugovor ili legitimne interese.

Osam prava ispitanika

GDPR daje prava subjektima podataka koja organizacije moraju poštovati na zahtjev, obično u roku od 30 dana:

Pravo pristupa — nabavite kopiju svih svojih osobnih podataka i informacija o tome kako se obrađuju
Pravo na ispravak — ispravite netočne podatke
Pravo na brisanje (pravo na biti zaboravljen) — zatražite brisanje pod posebnim uvjetima
Pravo na ograničenje obrade — pauzirajte obradu dok se sporovi riješe
Pravo na prenosivost podataka — primite svoje podatke u strojno čitljivom formatu i prenesite ih drugom kontroler
Pravo na prigovor — posebno na izravni marketing
Prava povezana s automatiziranim donošenjem odluka — osporavanje odluka koje se u potpunosti donose automatiziranim sredstvima
Pravo na informiranje — jasna, dostupna privatnost obavijesti

Kazne koje imaju zube

Značajka GDPR-a koja privlači naslove: novčane kazne do 20 milijuna eura ili 4% globalnog godišnjeg prihoda, što god je veće. Irski DPC kaznio je Metu s 1,2 milijarde eura 2023. godine zbog neovlaštenog prijenosa podataka u SAD, a ista ih je agencija već kaznila s 405 milijuna eura zbog Instagramove obrade podataka maloljetnika. Luksemburg je Amazon kaznio sa 746 milijuna eura. Kazne su dovoljno velike da većina multinacionalnih kompanija ozbiljno shvaća usklađenost.

Ipak, provedba jako varira. Irski DPC obrađuje slučajeve koji uključuju većinu američkih tehnoloških divova jer im je sjedište u Dublinu, a kritiziran je zbog sporog procesuiranja. Drugi DPA-ovi (Njemačka, Francuska, Italija) obično djeluju brže na manjim slučajevima.

Pravila o prijenosu podataka

Jedna od najkonzekventnijih odredbi GDPR-a: podaci mogu napustiti EU samo u zemlje s "adekvatnom" zaštitom ili pod određenim zaštitnim mjerama. Presude Europskog suda pravde Schrems I (2015.) i Schrems II (2020.) poništile su uzastopne okvire za prijenos podataka između SAD-a i EU-a jer američki zakoni o nadzoru ne pružaju zaštitu jednaku GDPR-u. Trenutačni okvir za privatnost podataka (2023.) je na snazi, ali se već dovodi u pitanje.

Praktična posljedica: mnoge tvrtke zadržavaju prebivalište podataka samo u EU za korisnike u EU, a američki pružatelji usluga oblaka nude pohranu podataka u EU regiji koja se ugovorom ne prenosi van.

Što je GDPR zapravo promijenio

Vidljivo učinci:

Cookie banneri. Sada sveprisutni, uglavnom bolni, često s tamnim uzorkom. Temeljna Direktiva o e-privatnosti (starija od GDPR-a) već ih je zahtijevala; Provedba GDPR-a učinila ih je univerzalnima.
Pravila privatnosti. Dulja, specifičnija, s razdobljima zadržavanja i otkrivenim zakonskim osnovama.
Brisanje računa. Svaka veća usluga sada nudi samoposlužni gumb za brisanje mojih podataka.
Podaci izvoz. Pravo na prenosivost podataka dovelo je do standardiziranih formata za izvoz (Google Takeout, preuzimanje s Facebooka).
Obavezno otkrivanje povrede. U roku od 72 sata od saznanja o povredi osobnih podataka.
DPO (Službenik za zaštitu podataka) zahtjevi za organizacije koje proces na skali.

Međunarodni efekti mreškanja

GDPR postali su predložak. Kalifornijski CCPA (2020), brazilski LGPD (2020), indijski DPDP Act (2023) i deseci drugih nacionalnih zakona posudili su njegovu strukturu. Multinacionalne tvrtke često standardiziraju prakse koje su ekvivalentne GDPR-u na globalnoj razini jer je poslovanje prema fragmentiranim propisima skuplje od onih najstrožih. Rezultat: pravila o privatnosti kojih se svatko negdje mora pridržavati postala su pravila o privatnosti koja svatko pruža posvuda.

Često postavljana pitanja

Primjenjuje li se GDPR na mene ako je moja stranica izvan EU-a?: Ako obrađujete osobne podatke ljudi u EU - čak i ako je vaša tvrtka u SAD-u, Brazilu ili bilo gdje drugdje - primjenjuje se GDPR. Primjeri: australska web-lokacija za e-trgovinu koja dostavlja u Francusku, američka SaaS tvrtka s klijentima iz EU-a, osobni blog na kojem se čitatelji iz EU-a prijavljuju za bilten. Teritorijalno načelo je lokacija nositelja podataka, a ne voditelja obrade.
Koja je razlika između voditelja obrade i obrađivača podataka?: Kontrolor odlučuje zašto i kako se podaci obrađuju (Facebook, vaša banka). Procesor obrađuje podatke u ime kontrolora (bankin dobavljač za slanje e-pošte). GDPR postavlja različite obveze svakome. Većina tvrtki djeluje kao kontrolori za svoje klijente i procesori za usluge koje pružaju drugim tvrtkama.
Jesu li banneri kolačića obavezni prema GDPR-u?: Bannere s kolačićima uglavnom zahtijeva Direktiva o e-privatnosti (zaseban, stariji zakon EU-a), koja zahtijeva pristanak za nebitne kolačiće. GDPR postavlja standard kako valjani pristanak izgleda — informiran, specifičan, slobodno dan, lako povučen. Zajedno su proizveli cookie-banner stvarnost. Uredba o e-privatnosti koja će zamijeniti direktivu već je godinama u zakonodavnom nedoumici.
Može li mi VPN pomoći s GDPR pravima?: VPN vam ne daje GDPR prava — ona se temelje na prebivalištu, a ne na tome što odredište vidi kao vaš IP. Stanovnici EU-a imaju prava prema GDPR-u gdje god se povezuju; korisnici izvan EU-a ne dobivaju GDPR prava povezivanjem putem EU VPN-a. Zakon slijedi osobu, a ne paket.
Što se događa ako moja tvrtka dobije pritužbu u vezi s GDPR-om?: Lokalni DPA istražuje. Ako utvrde kršenje, sankcije mogu uključivati upozorenja, zabrane obrade, obvezne sanacije i novčane kazne. Većina slučajeva rješava se dijalogom i sanacijom, a ne novčanim kaznama. Visokoprofilne kazne od milijardu eura uključuju opetovana kršenja od strane vrlo velikih procesora nakon više regulatornih razmjena.