Što je Zakon o zaštiti privatnosti GDPR-a i zašto biste trebali brinuti?
Opći propis o zaštiti podataka (GDPR) je novi zakon Europske unije koji stupa na snagu danas, i to je razlog zbog kojeg primate e-poštu i obavijesti o ažuriranju pravila o privatnosti. Pa kako to utječe na vas? Evo što trebate znati.
Novi zakon o BDPR-u stupa na snagu danas, 25. svibnja 2018., a obuhvaća zaštitu podataka i privatnost za građane EU-a, ali se također primjenjuje na mnoge druge zemlje na različite načine, a budući da su svi tehnološki divovi ogromne multinacionalne korporacije , to utječe na mnogo stvari koje svakodnevno koristite.
Problem GDPR pokušava riješiti: tvrtke prikupljaju i zloupotrebljavaju vaše osobne podatke
Od osvita interneta tvrtke prikupljaju što je moguće više podataka o bilo kome. Jednostavno je prikupiti te podatke, tako da nema razloga da ih ne skupljaju.
Problem je u tome što su u posljednjih nekoliko godina mnoge tvrtke uhvaćene u nedostatku zaštite ili izravnog zlostavljanja vaših osobnih podataka. Skandal u Cambridge Analytici, gdje je istraživač koristio Facebook kviz kako bi prikupio ogromne količine podataka o milijunima korisnika Facebooka, a zatim ga prodao konzultantskoj tvrtki, samo je najnoviji primjer. Equifax hack prošle godine bio je posebno loš jer su informacije koje su procurile mogle biti korištene za otvaranje kreditnih kartica. A to su samo veliki skandali. Mnogo tvrtki zloupotrebljava vaše podatke na manje načine, kao što je prodaja na oglasnim kućama trećih strana.
EU je slabo shvatila situaciju i koristi BDPR kako bi je pokušala ispraviti. Prema novim zakonima, tvrtke koje na adekvatan način ne štite podatke o potrošačima ili ih na bilo koji način zloupotrebljavaju, suočavaju se s ogromnim kaznama.
Što se smatra osobnim podacima?
GDPR štiti "osobne podatke", što ovdje znači "sve informacije koje se odnose na identificiranu ili prepoznatljivu fizičku osobu" - i to je prilično široka definicija. U stvarnosti, osobni podaci obično uključuju stvari kao što su:
- Biografski podaci kao što su vaše ime, adresa, telefonski broj, broj socijalnog osiguranja i tako dalje.
- Podaci koji se odnose na vaš fizički izgled i ponašanje kao što su boja kose, rasa i visina.
- Informacije o vašem obrazovanju i radnoj povijesti kao što su plaća, fakultet, GPA, porezni ID i tako dalje.
- Svi medicinski ili genetski podaci.
- Stvari kao što su povijest poziva, privatne poruke ili podaci o zemljopisnoj lokaciji.
Ovo je daleko od potpunog popisa. Ključ je u tome da svaki podatak koji vas čini prepoznatljivim broji. U određenim okolnostima, vaša boja kose može biti dovoljna. U drugima, čak i vaše puno ime - ako je nešto uobičajeno kao Robert Smith - možda vas neće učiniti prepoznatljivim.
Što čini GDPR?
BDPR daje stanovnicima EU-a koji su prikupili svoje osobne podatke - nazvani "subjekti podataka" u pravima osam zakona. Oni su:
- Pravo na informiranje: Ako tvrtka prikuplja podatke, oni moraju obavijestiti subjekte o tome što se prikuplja, zašto se prikupljaju, za što se koriste, koliko dugo će se čuvati i hoće li se dijeliti s trećim stranama. Te se informacije ne mogu zakopati duboko u uvjetima služenja koje nitko ne čita; ona mora biti sažeta i jasna.
- Pravo pristupa: Ako to zatraže, svaka organizacija koja ima osobne podatke o nositelju podataka mora im je dostaviti u roku od mjesec dana.
- Pravo na ispravak: Ako subjekt podataka otkrije da tvrtka ima podatke o njima koji su netočni, mogu zatražiti ažuriranje. Tvrtke imaju rok od mjesec dana.
- Pravo na brisanje: Subjekt podataka može zatražiti da tvrtka izbriše sve podatke koji se o njima čuvaju u određenim okolnostima. Primjerice, ako podaci više nisu potrebni ili oni povlače svoj pristanak za korištenje.
- Pravo ograničavanja obrade: Ako organizacija ne može izbrisati podatke osoba na koje se podaci odnose - na primjer, zato što im je potrebna za pravni slučaj - onda mogu zatražiti da tvrtka ograniči kako se koristi.
- Pravo na prenosivost podataka: Subjekti podataka imaju pravo uzeti svoje osobne podatke iz jedne usluge i koristiti ih s drugom uslugom.
- Pravo na prigovor: Ako se podaci prikupljaju bez pristanka, ali za legitimne poslovne interese, za opće dobro ili službena ovlaštenja, subjekt podataka može se usprotiviti. Organizacija mora prestati s obradom podataka dok ne dokaže da imaju opravdane razloge za to.
- Prava povezana s automatiziranim donošenjem odluka, uključujući profiliranje: GDPR stavlja sigurnosne mjere kako bi pojedinci mogli prigovoriti ili dobiti objašnjenje o automatiziranim odlukama koje utječu na njih i njihove podatke.
Drugi veliki dio propisa je da tvrtke moraju imati zakonit razlog za prikupljanje ili obradu podataka. Jedan od zakonitih razloga je taj da su dobili pristanak da ga koriste u određenu svrhu, ali postoje i drugi kao što je to potrebno za ispunjavanje zakonskih obveza ili da je njihovo prikupljanje u javnom interesu.
Kao što možete vidjeti, prava koja se prema zakonu daju stanovnicima EU-a prilično su široka i prisiljavaju tvrtke koje od njih prikupljaju podatke da stvarno razmisle o tome što prikupljaju i zašto. Stare dane pravednog prikupljanja svega što mogu i nadajući se da će ih kasnije iskoristiti, barem u Europi. To je razlog zašto gotovo svaka usluga koju ste ikada dali svoju adresu e-pošte kontaktira vas.
Ono što ima puno tvrtki u velikoj gužvi je da su sankcije za nepoštivanje GDPR-a prilično oštre. Organizacija može biti kažnjena do 20 milijuna eura ili 4% njihovog godišnjeg prometa (ovisno o tome koji je veći) prema zakonima. Za one poput Amazona ili Googlea, ovo iznosi milijarde dolara potencijalnih novčanih kazni ako se pogrešno postupa s podacima rezidenata EU.
Što znači BDPR za Amerikance?
Kroz ovaj članak usredotočili smo se na ono što prava GDPR daje stanovnicima EU iz jednostavnog razloga što je to pravo EU. Zapravo se ne odnosi na američke državljane, osim ako ne žive u EU. Razlog zašto dobivate sve poruke e-pošte je da većina tvrtki nema načina da znaju tko je stanovnik EU-a i tko nije.
To, međutim, ne znači da BDPR neće utjecati na vas. To je izazvalo mnoge tvrtke da ponovno procijene kako rukuju podacima o potrošačima, a neke od njih su počele govoriti o preusmjeravanju prava BDPR-a na stanovnike koji nisu iz EU. Također je jednostavnijim za tvrtke da uvedu jedan skup pravila za sve klijente u mnogim slučajevima.
Primjerice, Apple je pokrenuo novi portal o privatnosti gdje ljudi mogu preuzeti sve svoje osobne podatke ili izbrisati svoj račun, drugim riječima, pružiti ljudima pravo pristupa i brisanja. Zasad ga mogu koristiti samo računi na temelju EU-a, ali Apple planira u sljedećih nekoliko mjeseci pokrenuti ga u cijelom svijetu. Slično tome, Facebook mrmlja o davanju istih GDPR zaštita nekim korisnicima izvan EU-a.