Mi se aplică GDPR dacă site-ul meu se află în afara UE?

Dacă procesați date personale ale persoanelor din UE – chiar dacă compania dumneavoastră se află în SUA, Brazilia sau oriunde altundeva – se aplică GDPR. Exemple: un site de comerț electronic australian care livrează în Franța, o companie SaaS din SUA cu clienți din UE, un blog personal pe care cititorii din UE se înscriu pentru un buletin informativ. Principiul teritorial este locația persoanei vizate, nu a operatorului.

Care este diferența dintre un operator de date și un operator de date?

Controlorul decide de ce și cum sunt procesate datele (Facebook, banca dvs.). Procesatorul prelucrează datele în numele controlorului (vânzătorul de e-mail al băncii). GDPR impune obligații diferite pentru fiecare. Majoritatea companiilor acționează ca controlori pentru clienții lor și procesatori pentru serviciile pe care le oferă altor afaceri.

Bannerele cookie sunt cerute de GDPR?

Bannerele cookie sunt solicitate în mare parte de Directiva privind confidențialitatea electronică (o lege separată, mai veche a UE), care necesită consimțământul pentru cookie-urile neesențiale. GDPR stabilește standardul pentru cum arată consimțământul valid - informat, specific, dat în mod liber, ușor de retras. Împreună au produs realitatea tip cookie-banner. Regulamentul privind confidențialitatea electronică, care va înlocui directiva, se află în limbo legislativ de ani de zile.

Mă poate ajuta un VPN cu drepturile GDPR?

Un VPN nu vă acordă drepturi GDPR - acestea se bazează pe rezidență, nu pe ceea ce destinația vede ca IP-ul dvs. Rezidenții UE au drepturi GDPR de oriunde se conectează; utilizatorii din afara UE nu primesc drepturi GDPR prin conectarea printr-un VPN UE. Legea urmează persoana, nu pachetul.

Ce se întâmplă dacă compania mea primește o plângere GDPR?

DPA local investighează. Dacă constată o încălcare, sancțiunile pot include avertismente, interdicții de procesare, remediere obligatorie și amenzi. Majoritatea cazurilor sunt rezolvate prin dialog și remediere, mai degrabă decât prin amenzi. Sancțiunile importante de miliarde de euro implică încălcări repetate de către procesoare foarte mari după mai multe schimburi de reglementare.

GDPR explicat: regulamentul european privind confidențialitatea și de ce a remodelat internetul

GDPR – Regulamentul general privind protecția datelor – este în vigoare în Uniunea Europeană din 2018, iar efectele sale se manifestă pe fiecare site web pe care îl vizitați: bannere cookie, opțiuni de ștergere a contului, instrumente de export de date, dreptul de a fi uitat. Legea nu este perfectă, iar aplicarea a fost inegală, dar rămâne cea mai importantă reglementare privind confidențialitatea din lume.

Întregul articol al articolului este oferit în limba engleză mai jos.

Regulamentul general pentru protecția datelor (GDPR) a intrat în vigoare la 25 mai 2018, înlocuind directiva mai veche a UE din 1995 privind protecția datelor cu un singur regulament care se aplică direct în fiecare stat membru. Acesta guvernează modul în care organizațiile prelucrează datele personale ale persoanelor din UE și SEE. Aria teritorială este largă: orice companie care prelucrează datele rezidenților UE intră sub incidența GDPR, indiferent de locul în care își are sediul compania.

Ceea ce contează drept date cu caracter personal

Definiția GDPR a „datelor cu caracter personal” este mai largă decât au fost majoritatea legilor naționale: orice informație referitoare la o persoană fizică identificată sau identificabilă. Nume, e-mailuri, IP-uri, cookie-uri, ID-uri dispozitiv, date despre locație, fotografii, modele de comportament. Chiar și ID-urile pseudonime contează dacă pseudonimul poate fi legat înapoi la o persoană prin alte date disponibile. Bara este dacă cineva ar putea identifica persoana, nu dacă cineva a încercat.

Cele șase baze legale

Prelucrarea datelor cu caracter personal necesită o bază legală — una dintre:

Consimțământ — persoana vizată a dat în mod explicit, informat, revocabil, gratuit, permisiunea
Contract — prelucrarea este necesară pentru executarea unui contract cu persoana vizată (livrarea unei comenzi, îndeplinirea unui abonament)
Lobligație legală — cerută de lege (evidențe fiscale, anti-spălarea banilor)
Interese vitale — necesare pentru a proteja viața cuiva
sarcină publică — în scopuri de interes public efectuate de o autoritate oficială

alegerea bazei este decisă de operatorul de date și dezvăluită în politica de confidențialitate. „Consimțământul” a devenit cuvântul principal din cauza bannerelor cookie, dar este doar una dintre cele șase baze – iar autoritățile de reglementare din UE au fost clar că consimțământul nu este adecvat ca o soluție pentru procesarea care ar trebui să cadă sub incidența contractului sau a intereselor legitime. zile:

Dreptul de acces — obțineți o copie a tuturor datelor dumneavoastră cu caracter personal și informații despre modul în care sunt procesate
Dreptul la rectificare — corectați datele inexacte
PLZ53X uitat) — solicitați ștergerea în condiții specifice
Dreptul la restricționarea prelucrării — întrerupeți procesarea în timp ce litigiile sunt soluționate
Dreptul la portabilitatea datelor — primiți-vă datele într-un format care poate fi citit de mașină și transmiteți-le unui alt controlor XPLZX64 a obiecta — în special la marketingul direct
Drepturi legate de luarea automată a deciziilor — contesta deciziile luate în întregime prin mijloace automate
Dreptul de a fi informat — clare, accesibile notificări de confidențialitate care au XXPLZPLZ7X

Caracteristica principală a GDPR: amenzi de până la 20 milioane EUR sau 4% din veniturile anuale globale, oricare dintre acestea este mai mare. DPC irlandez a amendat Meta cu 1,2 miliarde de euro în 2023 pentru transferuri neautorizate de date din SUA, iar aceeași agenție le-a amendat deja cu 405 de milioane de euro pentru procesarea de către Instagram a datelor minorilor. Amazon a fost amendat de Luxemburg cu 746 de milioane de euro. Sancțiunile sunt suficient de mari încât majoritatea multinaționalelor să ia în serios conformitatea. DPC din Irlanda se ocupă de cazurile care implică majoritatea giganților tehnologiei din SUA, deoarece au sediul în Dublin și a fost criticat pentru procesarea lentă. Alte DPA (Germania, Franța, Italia) tind să acționeze mai rapid în cazurile mai mici.

Reguli de transfer de date

Una dintre cele mai importante prevederi ale GDPR: datele pot părăsi UE numai către țări cu protecție „adecvată” sau sub garanții specifice. Hotărârile Curții Europene de Justiție Schrems I (2015) și Schrems II (2020) au invalidat cadrele succesive de transfer de date SUA-UE, deoarece legile SUA de supraveghere nu oferă protecție echivalentă cu GDPR. Cadrul actual de confidențialitate a datelor (2023) este în vigoare, dar este deja contestat.

Consecința practică: multe companii păstrează rezidența datelor numai în UE pentru utilizatorii din UE, iar furnizorii de cloud din SUA oferă spațiu de stocare în regiunea UE care nu este transferat prin contract. efecte:

Banere cookie. Acum omniprezente, mai ales dureroase, adesea cu model întunecat. Directiva de bază privind confidențialitatea electronică (mai veche decât GDPR) le cerea deja; Aplicarea GDPR le-a făcut universale.
Politicile de confidențialitate. Mai lungi, mai specifice, cu perioade de păstrare și baze legale dezvăluite.
Ștergerea contului. Fiecare serviciu major oferă acum un buton de ștergere a datelor mele cu autoservire. export. Dreptul la portabilitatea datelor a condus la formate standardizate de export (Google Takeout, descărcare Facebook).
Dezvăluirea obligatorie a încălcării. În 72 de ore de la cunoștința unei încălcări a datelor cu caracter personal.
PLZ21X Protection Office2r care procesează cerințele organizației de protecție21X2 la scară.

Efectele de undă internaționale

GDPR a devenit un șablon. CCPA din California (2020), LGPD din Brazilia (2020), Legea DPDP din India (2023) și zeci de alte legi naționale și-au împrumutat structura. Multinaționalele standardizează adesea practicile echivalente cu GDPR la nivel global, deoarece operarea sub reglementări fragmentate este mai costisitoare decât cea mai strictă. Rezultatul: regulile de confidențialitate pe care trebuie să le respecte toată lumea undeva au devenit reguli de confidențialitate pe care toată lumea le oferă oriunde.

Întrebări frecvente

Mi se aplică GDPR dacă site-ul meu se află în afara UE?: Dacă procesați date personale ale persoanelor din UE – chiar dacă compania dumneavoastră se află în SUA, Brazilia sau oriunde altundeva – se aplică GDPR. Exemple: un site de comerț electronic australian care livrează în Franța, o companie SaaS din SUA cu clienți din UE, un blog personal pe care cititorii din UE se înscriu pentru un buletin informativ. Principiul teritorial este locația persoanei vizate, nu a operatorului.
Care este diferența dintre un operator de date și un operator de date?: Controlorul decide de ce și cum sunt procesate datele (Facebook, banca dvs.). Procesatorul prelucrează datele în numele controlorului (vânzătorul de e-mail al băncii). GDPR impune obligații diferite pentru fiecare. Majoritatea companiilor acționează ca controlori pentru clienții lor și procesatori pentru serviciile pe care le oferă altor afaceri.
Bannerele cookie sunt cerute de GDPR?: Bannerele cookie sunt solicitate în mare parte de Directiva privind confidențialitatea electronică (o lege separată, mai veche a UE), care necesită consimțământul pentru cookie-urile neesențiale. GDPR stabilește standardul pentru cum arată consimțământul valid - informat, specific, dat în mod liber, ușor de retras. Împreună au produs realitatea tip cookie-banner. Regulamentul privind confidențialitatea electronică, care va înlocui directiva, se află în limbo legislativ de ani de zile.
Mă poate ajuta un VPN cu drepturile GDPR?: Un VPN nu vă acordă drepturi GDPR - acestea se bazează pe rezidență, nu pe ceea ce destinația vede ca IP-ul dvs. Rezidenții UE au drepturi GDPR de oriunde se conectează; utilizatorii din afara UE nu primesc drepturi GDPR prin conectarea printr-un VPN UE. Legea urmează persoana, nu pachetul.
Ce se întâmplă dacă compania mea primește o plângere GDPR?: DPA local investighează. Dacă constată o încălcare, sancțiunile pot include avertismente, interdicții de procesare, remediere obligatorie și amenzi. Majoritatea cazurilor sunt rezolvate prin dialog și remediere, mai degrabă decât prin amenzi. Sancțiunile importante de miliarde de euro implică încălcări repetate de către procesoare foarte mari după mai multe schimburi de reglementare.