מהו חוק פרטיות GDPR ומדוע צריך לטפל?
תקנה כללית להגנה על נתונים (GDPR) היא חוק חדש של האיחוד האירופי שנכנס לתוקפו היום, וזו הסיבה שקיבלת הודעות אימייל ללא הפסקה והודעות בנוגע לעדכוני מדיניות הפרטיות. אז איך זה משפיע עליך? הנה מה שאתה צריך לדעת.
חוק ה- GDPR החדש נכנס לתוקפו היום, ה -25 במאי 2018, והוא מכסה את הגנת הנתונים והפרטיות של אזרחי האיחוד האירופי, אך הוא חל גם על מדינות רבות אחרות בדרכים שונות, ומכיוון שכל ענקי הטכנולוגיה הם תאגידים רב-לאומיים ענקיים , זה משפיע על הרבה דברים שאתה משתמש על בסיס יומי.
הבעיה GDPR הוא מנסה לפתור: חברות איסוף והתעללות מידע אישי שלך
מאז שחר האינטרנט, חברות כבר לאסוף נתונים רבים ככל האפשר על כל אחד שהם יכולים. זה פשוט לאסוף את המידע, ולכן אין סיבה שהם לא לאגור אותו.
הבעיה היא שבמהלך השנים האחרונות, נתפסו הרבה חברות שלא הצליחו להגן על המידע האישי שלכם, או על שימוש בו. שערוריית האנליזה בקיימברידג ', שם חוקר השתמש בחידון פייסבוק כדי לאסוף כמויות אדירות של נתונים על מיליוני משתמשי פייסבוק, ולאחר מכן מכר אותו לחברת ייעוץ, הוא רק הדוגמה העדכנית ביותר. את Equifax גרזן בשנה שעברה היה רע במיוחד, כי המידע leaked יכול לשמש כדי לפתוח כרטיסי אשראי. ואלה רק השערוריות הגדולות. הרבה חברות עשו שימוש לרעה בנתונים שלך בדרכים קטנות יותר, כמו למכור אותו לחברות פרסום של צד שלישי.
האיחוד האירופי נקט מבט עמום של המצב, והוא משתמש GDPR לנסות לתקן את זה. על פי החוקים החדשים, חברות אשר לא מספיק להגן על נתוני הצרכן או להשתמש בו בצורה כלשהי קנסות ענקיים.
מה נחשב נתונים אישיים?
ה- GDPR מגן על "נתונים אישיים", שמשמעותם "כל מידע הנוגע לאדם טבעי מזוהה או מזוהה" - וזו הגדרה רחבה למדי. למעשה, נתונים אישיים בדרך כלל יכללו דברים כגון:
- נתונים ביוגרפיים כגון שמך, כתובתך, מספר הטלפון שלך, מספר תעודת זהות, וכן הלאה.
- נתונים הקשורים המראה החיצוני שלך והתנהגות כגון צבע שיער, גזע, וגובה.
- מידע על ההשכלה שלך ועל היסטוריית העבודה שלך כגון השכר שלך, תואר אקדמי, GPA, מזהה מס, וכן הלאה.
- כל מידע רפואי או גנטי.
- דברים כמו היסטוריית השיחות, הודעות פרטיות או נתוני מיקום גיאוגרפי.
זה רחוק מרשימה מלאה. המפתח הוא כי כל הנתונים שהופכים אותך לספור לזיהוי. בנסיבות מסוימות, צבע השיער שלך עשוי להיות מספיק. באחרים, אפילו שמך המלא - אם זה משהו שכיח כמו רוברט סמית - אולי לא יזהה אותך.
מה עושה התמ"ג האם?
התמ"ג מעניק לתושבי האיחוד האירופי נתונים אישיים שנאספו - "נתיני נתונים" בחוק זכויות האדם. הם:
- הזכות לקבל הודעה: אם חברה אוספת נתונים, הם צריכים לספר לנושאי נתונים מה נאספים, למה זה נאסף, מה זה משמש, כמה זמן זה יישמר, ואם זה הולך להיות משותף עם צדדים שלישיים. מידע זה לא יכול להיות קבור עמוק בתוך תנאי השירות אף אחד לא קורא; זה חייב להיות תמציתי בשפה פשוטה.
- הזכות לגשת אל: אם הם מבקשים את זה, כל ארגון שיש לו נתונים אישיים לגבי נושא נתונים חייב לספק להם את זה בתוך חודש.
- הזכות לתיקון: אם נושא נתונים מגלה שחברה יש נתונים על אותם לא נכון, הם יכולים לבקש שזה יתעדכן. חברות יש חודש אחד כדי לציית.
- הזכות למחוק: נושא נתונים יכול לבקש מחברה למחוק כל מידע המוחזק בהם בנסיבות מסוימות. לדוגמה, אם הנתונים אינם נחוצים עוד או שהם מפנים את הסכמתם לשימוש.
- הזכות להגביל את העיבוד: אם ארגון אינו יכול למחוק נתונים של נתונים של נתונים - לדוגמה, מכיוון שהם זקוקים לו במקרה משפטי - הם יכולים לבקש מהחברה להגביל את אופן השימוש בו.
- הזכות לניידות נתונים: לנושאי נתונים יש את הזכות לקחת את הנתונים האישיים שלהם משירות אחד ולהשתמש בו עם נתונים אחרים.
- הזכות להתנגד: אם הנתונים נאספים ללא הסכמה אלא עבור אינטרסים עסקיים לגיטימיים, לטובת הציבור, או על ידי רשות רשמית, נושא הנתונים יכול להתנגד. על הארגון להפסיק את עיבוד הנתונים עד שיוכיחו שיש להם סיבות לגיטימיות לעשות כן.
- זכויות הקשורות קבלת החלטות אוטומטיות, כולל אפיון: ה- GDPR מעמיד אמצעי הגנה כדי שאנשים יוכלו להתנגד או לקבל הסבר על החלטות אוטומטיות שמשפיעות עליהם ועל הנתונים שלהם.
חלק גדול נוסף של התקנות הוא כי חברות חייב להיות סיבה חוקית לאיסוף או לעיבוד נתונים. אחת הסיבות החוקיות היא כי הם קיבלו הסכמה להשתמש בו למטרה מסוימת, אבל יש אחרים כמו שהם צריכים את זה כדי לעמוד בהתחייבויות משפטיות או כי איסוף זה לטובת הציבור.
כפי שניתן לראות, הזכויות הניתנות לתושבי האיחוד האירופי על פי החוק הן רחבות למדי ומאלצות חברות שאוספות נתונים מהן לחשוב על מה שהן אוספות ומדוע. בימים ההם של איסוף רק כל מה שהם יכולים ומקווים שהם מוצאים להשתמש בו מאוחר יותר נעלמו - לפחות באירופה. זו הסיבה מדוע כל שירות שאתה נותן אי פעם את כתובת הדוא"ל שלך הוא ליצור איתך קשר.
מה יש הרבה חברות מהומה היא כי סנקציות על לא להיות GDPR תואם הם די קשים. ארגון יכול להיות קנס של עד 20 מיליון יורו או 4% מהמחזור השנתי שלהם בכל שנה (הגדול מביניהם) על פי החוקים. עבור כמו אמזון או גוגל, זה מסתכם מיליארדי דולרים בקנסות פוטנציאליים אם הם מתעללים נתונים של תושבי האיחוד האירופי.
מה המשמעות של התמ"ג עבור האמריקנים?
לאורך מאמר זה, אנחנו כבר מתמקדים מה הזכויות GDPR נותן לתושבי האיחוד האירופי מהסיבה הפשוטה כי זה חוק האיחוד האירופי. זה בעצם לא חל על אזרחים אמריקאים, אלא אם כן הם גם תושב האיחוד האירופי. הסיבה שאתה מקבל את כל הודעות דוא"ל היא כי רוב החברות אין שום דרך לדעת מי תושב האיחוד האירופי ומי לא.
זה, לעומת זאת, לא אומר שהתמ"ג לא ישפיע עליך. זה גרם הרבה חברות כדי להעריך מחדש איך הם מטפלים בנתוני הצרכן וחלקם החלו לדבר על גלגול זכויות GDPR מחוץ לתושבי האיחוד האירופי. וזה גם פשוט יותר עבור חברות לאכוף קבוצה אחת של כללים עבור כל הלקוחות במקרים רבים.
לדוגמה, אפל השיקה פורטל פרטיות חדש שבו אנשים יכולים להוריד את כל הנתונים האישיים שלהם או למחוק את החשבון שלהם, במילים אחרות לספק לאנשים את הזכויות של גישה ומחיקה. לעת עתה, רק חשבונות מבוססי האיחוד האירופי יכול להשתמש בו אבל אפל מתכננת לגלגל את זה ברחבי העולם במהלך החודשים הקרובים. באופן דומה, פייסבוק ממלמל על מתן הגנה זהה GDPR למשתמשים מסוימים מחוץ לאיחוד האירופי.