GDPREU privacy regulation

GDPR

11 min prečítanéOchrana osobných údajov

GDPR – všeobecné nariadenie o ochrane údajov – platí v celej Európskej únii od roku 2018 a jeho účinky sa prejavia na každej webovej stránke, ktorú navštívite: bannery súborov cookie, možnosti vymazania účtu, nástroje na export údajov, právo byť zabudnutý. Zákon nie je dokonalý a jeho presadzovanie je nerovnomerné, ale zostáva najdôslednejším nariadením o ochrane súkromia na svete.

Celé telo článku je uvedené v angličtine nižšie.

Všeobecné nariadenie o ochrane údajov (GDPR) nadobudlo účinnosť 25. mája 2018 a nahradilo staršiu smernicu EÚ o ochrane údajov z roku 1995 jediným nariadením, ktoré platí priamo v každom členskom štáte. Upravuje, ako organizácie spracúvajú osobné údaje ľudí v EÚ a EHP. Územný dosah je široký: pod GDPR sa vzťahuje každá spoločnosť, ktorá spracúva údaje obyvateľov EÚ, bez ohľadu na to, kde má spoločnosť sídlo.

Čo sa považuje za osobné údaje

Definícia „osobných údajov“ podľa GDPR je širšia, než bola väčšina vnútroštátnych právnych predpisov: akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Mená, e-maily, adresy IP, súbory cookie, ID zariadení, údaje o polohe, fotografie, vzorce správania. Dokonca aj pseudonymné ID sa počítajú, ak je možné pseudonym spojiť s jednotlivcom prostredníctvom iných dostupných údajov. Prekážkou je, či niekto dokázal identifikovať osobu, nie to, či sa o to niekto pokúsil.

Šesť zákonných základov

Spracovanie osobných údajov si vyžaduje zákonný základ – jeden z:

  • Súhlas – dotknutá osoba dala výslovný, informovaný a slobodne súhlas povolenie
  • Zmluva — spracovanie je nevyhnutné na plnenie zmluvy s dotknutou osobou (doručenie objednávky, plnenie predplatného)
  • Právna povinnosť — vyžadovaná zákonom (daňová evidencia, proti legalizácii príjmov z trestnej činnosti)XXX úroky2VPLXX5XPLZ27ZPLXX5XPLZ22 — potrebné na ochranu niečieho života
  • Verejná úloha — na účely verejného záujmu vykonávané úradným orgánom
  • Oprávnené záujmy — záujmy prevádzkovateľa alebo tretej strany, vyvážené s právami a slobodou výberu dotknutej osobyXPL3Z367 rozhoduje prevádzkovateľ údajov a je zverejnený v zásadách ochrany osobných údajov. „Súhlas“ sa stal hlavným slovom kvôli bannerom na súbory cookie, ale je to len jeden zo šiestich základov – a regulačné orgány EÚ dali jasne najavo, že súhlas nie je vhodný ako riešenie pre spracovanie, ktoré by malo spadať pod zmluvu alebo legitímne záujmy. dní:

    • Právo na prístup — získajte kópiu všetkých svojich osobných údajov a informácie o tom, ako sa spracúvajú
    • Právo na opravu — opravte nepresné údajeXPLZ52 do 54X53XPLZ (právo do 5 zabudnuté) — žiadosť o vymazanie za určitých podmienok
    • Právo na obmedzenie spracovania — pozastavenie spracovania, kým sa spory nevyriešia
    • Právo na prenosnosť údajov — prijmite svoje údaje v strojovo čitateľnom formáte a preneste ich do iného kontroléraPLX5PLZ6 object — najmä na priamy marketing
    • Práva súvisiace s automatizovaným rozhodovaním — napadnutie rozhodnutí výlučne automatizovanými prostriedkami
    • Právo byť informovaný — jasné a dostupné upozornenia o ochrane osobných údajov
      • X7PLZ77 zuby

      Prvoradá funkcia GDPR: pokuty až do výšky 20 miliónov EUR alebo 4 % celosvetového ročného príjmu, podľa toho, ktorá hodnota je vyššia. Írsky DPC udelil Meta v roku 2023 pokutu 1,2 miliardy eur za neoprávnené prenosy údajov do USA a rovnaká agentúra im už uložila pokutu 405 miliónov eur za spracovanie údajov neplnoletých na Instagrame. Amazon dostal od Luxemburska pokutu 746 miliónov eur. Sankcie sú dostatočne vysoké na to, aby väčšina nadnárodných spoločností brala dodržiavanie predpisov vážne. Írsky DPC rieši prípady týkajúce sa väčšiny amerických technologických gigantov, pretože majú sídlo v Dubline, a bol kritizovaný za pomalé spracovanie. Iné orgány na ochranu údajov (Nemecko, Francúzsko, Taliansko) majú tendenciu konať rýchlejšie v menších prípadoch.

      Pravidlá prenosu údajov

      Jedno z najdôslednejších ustanovení GDPR: údaje môžu opustiť EÚ len do krajín s „primeranou“ ochranou alebo pod osobitnými zárukami. Rozhodnutia Európskeho súdneho dvora Schrems I (2015) a Schrems II (2020) zrušili platnosť postupných rámcov prenosu údajov medzi USA a EÚ, pretože zákony USA o dohľade neposkytujú ochranu ekvivalentnú GDPR. Súčasný rámec ochrany osobných údajov (2023) je v platnosti, ale už je spochybňovaný.

      Praktický dôsledok: mnohé spoločnosti zachovávajú údaje pre používateľov z EÚ iba v EÚ a poskytovatelia cloudu v USA ponúkajú úložisko pre región EÚ, ktoré sa zmluvne neprenáša von.

      Čo sa vlastne zmenilo GDPR93<

      ul>

    • Cookie bannery. Teraz všadeprítomné, väčšinou bolestivé, často s tmavým vzorom. Základná smernica o elektronickom súkromí (staršia ako GDPR) ich už vyžadovala; Presadzovanie GDPR ich urobilo univerzálnymi.
    • Zásady ochrany osobných údajov. Dlhšie, presnejšie, so zverejnenými lehotami uchovávania a zákonnými základmi.
    • Vymazanie účtu. Každá hlavná služba teraz ponúka samoobslužné tlačidlo na export údajov na vymazanie.XPLZ11Z3PLZ1XPRÁVA prenosnosť údajov viedla k štandardizovaným exportným formátom (Google Takeout, Facebook download).
    • Povinné zverejnenie porušenia. Do 72 hodín od zistenia porušenia ochrany osobných údajov.
    • DPO (Data Protection Officer) pre organizácie, ktoré spracúvajú atX požiadavky pre organizácie mierka.

    Predlohou sa stal medzinárodný vlnový efekt

    GDPR. Kalifornský CCPA (2020), brazílsky LGPD (2020), indický zákon DPDP (2023) a desiatky ďalších národných zákonov si požičali jeho štruktúru. Nadnárodné spoločnosti často celosvetovo štandardizujú postupy ekvivalentné GDPR, pretože fungovanie v rámci roztrieštených nariadení je drahšie ako tie najprísnejšie. Výsledok: pravidlá ochrany osobných údajov, ktoré musí každý niekde dodržiavať, sa stali pravidlami ochrany osobných údajov, ktoré každý poskytuje všade.

Často kladené otázky

Vzťahuje sa na mňa GDPR, ak je môj web mimo EÚ?
Ak spracúvate osobné údaje ľudí v EÚ – aj keď je vaša spoločnosť v USA, Brazílii alebo kdekoľvek inde – platí GDPR. Príklady: austrálska webová stránka elektronického obchodu, ktorá doručuje do Francúzska, americká spoločnosť SaaS so zákazníkmi z EÚ, osobný blog, v ktorom sa čitatelia z EÚ prihlasujú na odber bulletinu. Územným princípom je poloha dotknutej osoby, nie prevádzkovateľa.
Aký je rozdiel medzi správcom údajov a spracovateľom údajov?
Prevádzkovateľ rozhoduje o tom, prečo a ako sa údaje spracúvajú (Facebook, vaša banka). Spracovateľ spracúva údaje v mene prevádzkovateľa (obchodníka banky na odosielanie e-mailov). GDPR ukladá každému iné povinnosti. Väčšina spoločností pôsobí ako správcovia pre svojich zákazníkov a spracovatelia služieb, ktoré poskytujú iným podnikom.
Vyžaduje GDPR bannery so súbormi cookie?
Bannery cookie väčšinou vyžaduje smernica o elektronickom súkromí (samostatný starší zákon EÚ), ktorá vyžaduje súhlas pre nepodstatné súbory cookie. GDPR stanovuje štandard, ako vyzerá platný súhlas – informovaný, konkrétny, slobodne daný, ľahko odvolateľný. Spoločne vytvorili realitu cookie bannerov. Nariadenie o súkromí a elektronických komunikáciách, ktoré nahradí smernicu, je už roky v legislatívnom limbu.
Môže mi VPN pomôcť s právami GDPR?
Sieť VPN vám neudeľuje práva GDPR – tie sú založené na bydlisku, nie na tom, čo cieľ považuje za vašu IP. Obyvatelia EÚ majú práva GDPR bez ohľadu na to, odkiaľ sa pripájajú; Používatelia mimo EÚ nezískajú práva GDPR pripojením cez EU VPN. Zákon nasleduje osobu, nie paket.
Čo sa stane, ak moja spoločnosť dostane sťažnosť na GDPR?
Vyšetruje to miestna agentúra DPA. Ak zistia porušenie, sankcie môžu zahŕňať upozornenia, zákazy spracovania, povinnú nápravu a pokuty. Väčšina prípadov sa rieši skôr dialógom a nápravou než pokutami. Významné sankcie vo výške miliárd eur zahŕňajú opakované porušenia zo strany veľmi veľkých spracovateľov po viacerých regulačných výmenách.
Vysvetlenie GDPR: Európske nariadenie o ochrane osobných údajov a prečo zmenilo internet