GDPR în 2022: cele mai importante întrebări și răspunsuri pentru tine despre regulamentul european

Regulamentul general privind protecția datelor sau GDPR a fost implementat de câțiva ani buni.

În cazul în care încă ai nelămuriri despre el, ți-am pregătit o listă cu posibile întrebări și răspunsurile aferente, în speranța că la final vei fi un expert în acest regulament.

Regulamentul general privind protecția datelor (GDPR) este un regulament al Uniunii Europene (UE) care a intrat în vigoare la 25 mai 2018. Consolidează și se bazează pe cadrul actual al UE de protecție a datelor, Regulamentul general privind protecția datelor (GDPR) înlocuiește Regulamentul din 1995.

În esență, GDPR este un nou set de reguli conceput pentru a oferi cetățenilor UE mai mult control asupra datelor lor personale. Acesta își propune să simplifice mediul de reglementare pentru afaceri, astfel încât atât cetățenii, cât și întreprinderile din Uniunea Europeană să poată beneficia pe deplin de economia digitală.

Practic, aproape fiecare aspect al vieții noastre se învârte în jurul datelor. De la companii de social media, la bănci, retaileri și guverne – aproape fiecare serviciu pe care îl folosim implică colectarea și analiza datelor noastre personale. Numele, adresa, numărul cardului de credit și multe altele colectate, analizate și, poate cel mai important, stocate de organizații.

Cum a apărut?

În ianuarie 2012, Comisia Europeană a stabilit planuri de reformă a protecției datelor în Uniunea Europeană, pentru a face Europa „aptă pentru era digitală”. Aproape patru ani mai târziu, s-a ajuns la un acord asupra a ceea ce a implicat și cum va fi pus în aplicare.

Una dintre componentele cheie ale reformelor este introducerea Regulamentului general privind protecția datelor (GDPR). Acest nou cadru UE se aplică organizațiilor din toate statele membre și are implicații pentru întreprinderi și persoane din întreaga Europă și nu numai.

„Viitorul digital al Europei poate fi construit doar pe încredere. Cu standarde comune solide pentru protecția datelor, oamenii pot fi siguri că dețin controlul asupra informațiilor lor personale”, a declarat Andrus Ansip, vicepreședinte pentru Piața unică digitală, vorbind atunci când reformele au fost convenite în decembrie 2015.

Cui se aplică GDPR?

GDPR se aplică oricărei organizații care operează în UE, precum și oricăror organizații din afara UE care oferă bunuri sau servicii clienților sau întreprinderilor din UE. Asta înseamnă în cele din urmă că aproape fiecare corporație importantă din lume are nevoie de o strategie de conformitate cu GDPR.

Există două tipuri diferite de manipulatori de date cărora li se aplică legislația: „procesatori” și „operatori”. Definițiile fiecăruia sunt prevăzute la articolul 4 din Regulamentul general privind protecția datelor.

Operatorul este o „persoană, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal”, în timp ce operatorul este o „persoană, autoritate publică, agenție sau alt organism care prelucrează datele cu caracter personal în numele operatorului”.

Ce sunt datele personale conform GDPR?

Tipurile de date considerate personale conform legislației existente includ numele, adresa și fotografiile. GDPR extinde definiția datelor cu caracter personal astfel încât ceva de genul unei adrese IP să poată fi date personale. Include, de asemenea, date personale sensibile, cum ar fi date genetice și date biometrice, care ar putea fi procesate pentru a identifica în mod unic o persoană.

Când a intrat în vigoare GDPR?

După patru ani de pregătire și dezbatere, GDPR a fost aprobat de Parlamentul European în aprilie 2016, iar textele și regulamentele oficiale ale directivei au fost publicate în toate limbile oficiale ale UE în mai 2016. Legislația a intrat în vigoare în întreaga Europă Unire la 25 mai 2018.

Ce înseamnă GDPR pentru consumatori/cetățeni?

Din cauza numărului mare de încălcări de date și hack-uri care au loc, realitatea nefericită pentru mulți este că unele dintre datele lor – fie că este o adresă de e-mail, o parolă, un număr de securitate socială sau dosare de sănătate confidențiale – au fost expuse pe internet.

Una dintre schimbările majore pe care le aduce GDPR este să ofere consumatorilor dreptul de a ști când datele lor au fost piratate. Organizațiile sunt obligate să notifice organismele naționale corespunzătoare cât mai curând posibil, pentru a se asigura că cetățenii UE pot lua măsurile adecvate pentru a preveni abuzul asupra datelor lor.

Consumatorilor li se promite, de asemenea, un acces mai ușor la propriile date personale în ceea ce privește modul în care sunt prelucrate, organizațiile fiind nevoite să detalieze modul în care folosesc informațiile despre clienți într-un mod clar și ușor de înțeles.

Unele organizații s-au mutat deja pentru a se asigura că acest lucru este cazul, chiar dacă este la fel de simplu ca trimiterea de e-mail-uri clienților cu informații despre modul în care sunt utilizate datele lor și oferirea lor de o renunțare dacă nu își emit consimțământul pentru a fi parte. din ea. Multe organizații, cum ar fi cele din sectoarele de retail și marketing, au contactat clienții pentru a-i întreba dacă doresc să facă parte din baza lor de date.

În aceste circumstanțe, clientul ar trebui să aibă o modalitate ușoară de a renunța la detaliile sale pe o listă de corespondență. Între timp, unele alte sectoare au fost avertizate că au mult mai multe de făcut pentru a asigura conformitatea GDPR – mai ales atunci când este implicat consimțământul.

GDPR aduce, de asemenea, un proces clarificat de „dreptul de a fi uitat”, care oferă drepturi și libertăți suplimentare persoanelor care nu mai doresc ca datele lor personale prelucrate să fie șterse, cu condiția să nu existe motive pentru păstrarea lor.

Organizațiile vor trebui să țină cont de aceste drepturi ale consumatorilor.

Care sunt amenzile și penalitățile GDPR pentru nerespectare?

Nerespectarea GDPR poate duce la o amendă cuprinsă între 10 milioane de euro și 4% din cifra de afaceri globală anuală a companiei, o cifră care pentru unii ar putea însemna miliarde.

Amenzile depind de gravitatea încălcării și de dacă se consideră că compania a respectat și reglementările privind securitatea într-un mod suficient de serios.

Amenda maximă de 20 de milioane de euro sau patru procente din cifra de afaceri la nivel mondial – oricare dintre acestea este mai mare – este pentru încălcarea drepturilor persoanelor vizate, transfer internațional neautorizat de date cu caracter personal și nepunerea în aplicare a procedurilor pentru sau ignorarea cererilor de acces la subiecte pentru datele lor.

O amendă mai mică de 10 milioane de euro sau două procente din cifra de afaceri la nivel mondial va fi aplicată companiilor care manipulează datele în alte moduri. Acestea includ, dar nu se limitează la, eșecul de a raporta o încălcare a datelor, eșecul de a construi confidențialitatea prin proiectare și de a se asigura că protecția datelor este aplicată în prima etapă a unui proiect și să fie conformă prin numirea unui responsabil cu protecția datelor – în cazul în care organizația fi unul dintre cei impusi de GDPR.

GDPR este aici, deci ce acum?

Începând cu 25 mai 2018, GDPR a intrat în vigoare, în zilele și săptămânile anterioare, companiile au trimis e-mailuri clienților prin care le solicită să se înscrie pentru noile politici de confidențialitate și consimțământ.

Utilizatorii europeni care au vizitat site-uri web de știri importante din SUA, cum ar fi The LA Times, The Chicago Times și The Baltimore Sun în dimineața zilei de 25 mai, au descoperit că nu au putut accesa site-urile web, editorii indicând GDPR drept motiv.

„Din păcate, site-ul nostru web este indisponibil în prezent în majoritatea țărilor europene. Suntem implicați în această problemă și ne angajăm să analizăm opțiunile care susțin gama noastră completă de oferte digitale pe piața UE”, se arată într-o declarație pe site-ul Chicago Tribune.

Declarații similare au fost postate în publicațiile de știri operate de Lee Enterprises și grupurile Tronc – multe dintre aceste publicații încă afișează același mesaj pentru utilizatorii europeni care încearcă să viziteze site-urile.

Interzicerea accesului utilizatorilor la produse – cel puțin pentru moment – este privită de mulți ca un preț care merită plătit pentru a evita potențiale amenzi. Deși unii și-ar pune întrebarea, ce făceau cu datele utilizatorilor și ce consimțământ au avut?

Ce s-a schimbat de când a fost introdus GDPR?

Editorii nu sunt singurele organizații care trebuie să se împace cu noua realitate, deoarece unele dintre cele mai mari companii de tehnologie, inclusiv Facebook, spun că au început să simtă mușcătura GDPR. Rețeaua de socializare a dat vina pe GDPR pentru o scădere semnificativă a numărului de utilizatori, precum și pentru o scădere a creșterii veniturilor din publicitate în Europa.

Organizațiile de toate dimensiunile s-au trezit într-o oarecare măsură afectate de aceasta. Analiștii de la Forrester spun ca multe companii au raportat o scadere cu intre 25% si 40% a pieței lor adresabile pentru e-mailuri si alte forme de contact.

Ca urmare, multe companii se trezesc nevoite să se gândească la noi metode de a atrage consumatori și de a genera venituri. Analistul Gartner a sugerat că unele companii ar putea fi nevoite să-și regândească strategia pentru centrele de date ca urmare a legislației precum GDPR.

În anul de la introducerea GDPR, unele dintre cele mai mari firme de tehnologie din lume au încercat să-și repoziționeze produsele ca fiind axate pe confidențialitate – o strategie care probabil a apărut într-o anumită parte datorită creșterii gradului de conștientizare cu privire la confidențialitate și consimțământ.

CEO-ul Apple, Tim Cook, a cerut SUA să introducă un echivalent cu GDPR pentru a preveni folosirea datelor împotriva utilizatorilor.

Ce urmează în ceea ce privește GDPR și protecția datelor?

Țările și regiunile din întreaga lume par să ia indicii de la GDPR prin introducerea sau modificarea legislației privind protecția datelor. Țările care au semnalat că își vor schimba legile privind confidențialitatea de la introducerea GDPR includ Brazilia, Japonia, Coreea de Sud, India și altele.

Silicon Valley, California, urmează să introducă, de asemenea, propriile legi privind confidențialitatea datelor în Legea privind confidențialitatea consumatorilor din California, care intră în vigoare de la 1 ianuarie 2020.

Legislația urmează pașii GDPR, permițând persoanelor să aibă un cuvânt mai mare de spus cu privire la modul în care sunt utilizate datele lor personale, dar în multe privințe nu merge atât de departe: nu există un termen limită stabilit pentru notificarea consumatorilor despre o încălcare și organizațiile nu se vor confrunta cu amenzi pentru nerespectare.

Cu toate acestea, introducerea acestei legislații în „casa” industriei tehnologiei pare să sugereze că confidențialitatea și consimțământul sunt probleme care ar putea schimba modul în care funcționează Silicon Valley.