Obecné nařízení o ochraně osobních údajů (GDPR) je nový zákon Evropské unie, který nabývá účinnosti dnes, a je to důvod, proč jste dostávali nepřetržité e-maily a oznámení o aktualizacích zásad ochrany osobních údajů. Jak na vás to působí? Tady je to, co potřebujete vědět.
Nový zákon GDPR nabývá účinnosti dnes, 25. května 2018, a vztahuje se na ochranu údajů a soukromí občanů EU, ale různými způsoby se vztahuje i na mnoho dalších zemí, a protože všichni technologičtí giganti jsou obrovské nadnárodní korporace , ovlivňuje to spoustu věcí, které denně používáte.
Problém GDPR se snaží vyřešit: Společnosti shromažďují a zneužívají vaše osobní údaje
Od úsvitu internetu shromažďují společnosti co nejvíce údajů o všech, kdo mohou. Sbírat tyto informace je jednoduché, takže není důvod, aby je nehromadili.
Problém je v tom, že za posledních několik let bylo přistiženo mnoho společností, které neochránily - nebo přímo zneužily - vaše osobní údaje. Skandál Cambridge Analytica , kde výzkumník pomocí kvízu na Facebooku shromáždil obrovské množství dat o milionech uživatelů Facebooku a poté je prodal poradenské společnosti, je pouze nejnovějším příkladem. Hackování Equifaxu v loňském roce bylo obzvlášť špatné, protože uniklé informace mohly být použity k otevření kreditních karet . A to jsou jen velké skandály. Spousta společností zneužívala vaše data menšími způsoby, jako například jejich prodejem reklamním společnostem třetích stran.
EU zaujala nejasný pohled na situaci a pomocí GDPR se snaží tuto situaci napravit. Podle nových zákonů hrozí společnostem, které nedostatečně chrání údaje spotřebitele nebo je jakýmkoli způsobem zneužívají, obrovské pokuty.
Co jsou považovány za osobní údaje?
GDPR chrání „osobní údaje“, což zde znamená „jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby“ - a to je docela široká definice. Ve skutečnosti budou osobní údaje obecně zahrnovat věci jako:
- Životopisné údaje, jako je vaše jméno, adresa, telefonní číslo, číslo sociálního zabezpečení atd.
- Údaje týkající se vašeho fyzického vzhledu a chování, jako je barva vlasů, rasa a výška.
- Informace o vašem vzdělání a pracovní historii, jako je váš plat, vysokoškolské vzdělání, GPA, daňové identifikační číslo atd.
- Jakékoli lékařské nebo genetické údaje.
- Věci, jako je vaše historie hovorů, soukromé zprávy nebo údaje o zeměpisné poloze.
To zdaleka není úplný seznam. Klíčem je, že se počítají všechna data, díky nimž budete identifikovatelní. Za určitých okolností může být vaše barva vlasů dostačující. V jiných případech vás ani vaše celé jméno - pokud je to něco běžného jako Robert Smith - nemusí identifikovat.
Co dělá GDPR?
GDPR dává obyvatelům EU, kteří shromažďují své osobní údaje - v zákoně nazývané „subjekty údajů“ - osm práv. Oni jsou:
- Právo na informace: Pokud společnost shromažďuje údaje, musí sdělit subjektům údajů, co se shromažďuje, proč se shromažďují, k čemu se používají, jak dlouho budou uchovávány a zda budou sdíleny s třetími stranami. Tyto informace nelze pohřbít hluboko v podmínkách, které nikdo nečte; musí to být stručné a srozumitelné.
- Právo na přístup: Pokud o to požádá, musí mu je každá organizace, která má osobní údaje týkající se subjektu údajů, poskytnout do jednoho měsíce.
- Právo na opravu: Pokud subjekt údajů zjistí, že společnost má o sobě nesprávné údaje, může požádat o jejich aktualizaci. Společnosti mají na splnění jeden měsíc.
- Právo na výmaz: Subjekt údajů může požádat, aby společnost za určitých okolností vymazala veškeré údaje, které o něm jsou uchovávány. Například pokud údaje již nejsou potřeba nebo odvolávají svůj souhlas s jejich použitím.
- Právo na omezení zpracování: Pokud organizace nemůže vymazat údaje subjektů údajů - například proto, že je potřebují pro právní případ -, může požádat společnost, aby omezila způsob jejich použití.
- Právo na přenositelnost údajů: Subjekty údajů mají právo převzít své osobní údaje z jedné služby a použít je s jinou službou.
- Právo vznést námitku: Pokud jsou údaje shromažďovány bez souhlasu, ale pro oprávněné obchodní zájmy, pro veřejné blaho nebo pro úřední orgány, může subjekt údajů vznést námitku. Organizace pak musí přestat zpracovávat údaje, dokud neprokáže, že k tomu mají oprávněné důvody.
- Práva související s automatizovaným rozhodováním včetně profilování: GDPR zavádí ochranná opatření, aby jednotlivci mohli vznést námitky nebo získat vysvětlení automatizovaných rozhodnutí, která se jich a jejich údajů týkají.
Další velkou součástí předpisů je, že společnosti musí mít zákonný důvod pro shromažďování nebo zpracování jakýchkoli údajů. Jedním ze zákonných důvodů je, že získali souhlas s jeho používáním ke konkrétním účelům, ale existují i další, jako je třeba, aby splnili zákonné povinnosti, nebo že jeho shromažďování je ve veřejném zájmu.
Jak vidíte, práva rezidentů EU vyplývající ze zákona jsou poměrně široká a nutí společnosti, které od nich shromažďují údaje, aby skutečně přemýšlely o tom, co shromažďují a proč. Staré časy pouhého sbírání všeho, co mohou, a doufání, že to později využijí, jsou pryč - přinejmenším v Evropě. Proto vás téměř každá služba, které jste kdy dali svou e-mailovou adresu, kontaktuje.
Mnoho společností má rozruch v tom, že sankce za nedodržení nařízení GDPR jsou dost tvrdé. Podle zákonů může být organizaci uložena pokuta až do výše 20 milionů EUR nebo 4% jejího celosvětového ročního obratu (podle toho, který je větší). Pro společnosti Amazon nebo Google to představuje miliardy dolarů potenciálních pokut, pokud nebudou správně zpracovány údaje o obyvatelích EU.
Co znamená GDPR pro Američany?
V celém tomto článku se zaměřujeme na to, jaká práva poskytuje GDPR obyvatelům EU z jednoduchého důvodu, že se jedná o zákon EU. Ve skutečnosti to neplatí pro americké občany, pokud nemají bydliště také v EU. Důvodem, proč dostáváte všechny e-maily, je to, že většina společností nemá žádný způsob, jak říct, kdo je rezidentem EU a kdo ne.
To však neznamená, že se vás GDPR nedotkne. Mnoho společností to přehodnotilo, jak nakládají s údaji o spotřebitelích, a některé z nich začaly hovořit o zavedení práv GDPR na rezidenty mimo EU. A pro společnosti je také v mnoha případech jednodušší prosazovat jednotnou sadu pravidel pro všechny zákazníky.
Například Apple spustila nový portál ochrany osobních údajů kde si lidé mohou stáhnout všechna svá osobní data nebo smazat svůj účet, jinými slovy poskytují lidem práva na přístup a mazání. Zatím jej mohou používat pouze účty založené na EU, ale Apple plánuje jeho zavedení do celého světa během několika příštích měsíců . Podobně je na tom i Facebook mumlání ohledně poskytování stejné ochrany GDPR některým uživatelům mimo EU .
