מהו חוק הפרטיות של GDPR ולמה אכפת לך?

תוכן ללא הכנסה

התקנה הכללית להגנת נתונים (GDPR) היא חוק חדש של האיחוד האירופי שנכנס לתוקף היום, וזאת הסיבה שקיבלתם הודעות דוא"ל והודעות ללא הפסקה על עדכוני מדיניות הפרטיות. אז איך זה משפיע עליך? הנה מה שאתה צריך לדעת.

החוק החדש של ה- GDPR נכנס לתוקף היום, 25 במאי 2018, והוא מכסה הגנה על נתונים ופרטיות לאזרחי האיחוד האירופי, אך הוא חל גם על הרבה מדינות אחרות בדרכים שונות, ומכיוון שכל ענקיות הטכנולוגיה הן חברות ענק לאומיות ענקיות , זה משפיע על הרבה דברים שאתה משתמש בהם על בסיס יומי.

הבעיה ב- GDPR מנסה לפתור: חברות אוספות ומתעללות במידע האישי שלך

מאז שחר האינטרנט, חברות אוספות נתונים רבים ככל האפשר על כל מי שיכול. פשוט לאסוף את המידע הזה, ולכן אין סיבה שהם לא יאגרו אותו.

הבעיה היא שבמהלך השנים האחרונות נתפסו המון חברות שאינן מגנות - או מתעללות על הסף - במידע האישי שלך. שערוריית קיימברידג 'אנליטיקה , שם חוקר השתמש בחידון של פייסבוק כדי לאסוף כמויות אדירות של נתונים על מיליוני משתמשי פייסבוק ואז מכר אותו לחברת ייעוץ, היא רק הדוגמה האחרונה. פריצת Equifax בשנה שעברה הייתה גרועה במיוחד בגלל המידע שהודלף יכול לשמש לפתיחת כרטיסי אשראי . ואלה רק השערוריות הגדולות. הרבה חברות השתמשו לרעה בנתונים שלך בדרכים קטנות יותר, כמו למכור אותן לחברות פרסום של צד שלישי.

האיחוד האירופי ראה השקפה עמומה של המצב ומשתמש ב- GDPR כדי לנסות לתקן אותו. על פי החוקים החדשים, חברות שאינן מגנות כראוי על נתוני הצרכן או משתמשות בהם לרעה בדרך כלשהי עומדות בפני קנסות עצומים.

מה נחשב לנתונים אישיים?

ה- GDPR מגן על "נתונים אישיים", שמשמעותם כאן "כל מידע הנוגע לאדם טבעי מזוהה או מזוהה" - וזו הגדרה רחבה למדי. במציאות, נתונים אישיים בדרך כלל יכללו דברים כמו:

• נתונים ביוגרפיים כמו שמך, כתובתך, מספר הטלפון, מספר הביטוח הלאומי וכן הלאה.
• נתונים הנוגעים למראה הגופני שלך ולהתנהגות כמו צבע שיער, גזע וגובה.
• מידע על השכלתך והיסטוריית העבודה שלך כגון משכורתך, תואר אקדמי, תואר ראשון, תעודת מס וכן הלאה.
• כל נתונים רפואיים או גנטיים.
• דברים כמו היסטוריית השיחות שלך, הודעות פרטיות או נתוני מיקום גיאוגרפי.

זה רחוק מלהיות רשימה מלאה. המפתח הוא שכל הנתונים שגורמים לך לזיהוי נחשבים לספירה. בנסיבות מסוימות, צבע השיער שלך עשוי להספיק. אצל אחרים, אפילו שמך המלא - אם זה משהו נפוץ כמו רוברט סמית '- לא יכול לגרום לך להיות מזוהה.

מה עושה ה- GDPR?

ה- GDPR מעניק לתושבי האיחוד האירופי שנאספים הנתונים האישיים שלהם - המכונים בחוק "נושאי נתונים" בחוק - שמונה זכויות. הם:

• הזכות לקבל מידע: אם חברה אוספת נתונים, היא צריכה לספר לנבדקי הנתונים מה נאסף, מדוע הם נאספים, לשם מה הם משמשים, כמה זמן זה יישמר, ואם זה ישותף עם צדדים שלישיים. לא ניתן לקבור מידע זה עמוק בתנאי השירות שאיש אינו קורא; זה צריך להיות תמציתי ובשפה פשוטה.
• הזכות לגישה: אם הם מבקשים זאת, כל ארגון שיש לו נתונים אישיים לגבי נושא נתונים חייב למסור להם אותו בתוך חודש.
• הזכות לתיקון: אם נושא מידע מגלה שיש לחברה נתונים שגויים, הוא יכול לבקש שיעודכן אותם. לחברות יש חודש לעמוד בהן.
• הזכות למחיקה: נושא נתונים יכול לבקש כי חברה תמחק את כל הנתונים המוחזקים עליהם בנסיבות מסוימות. לדוגמא, אם אין צורך יותר בנתונים או שהם מבטלים את הסכמתם לשימוש בהם.
• הזכות להגביל את הטיפול: אם ארגון אינו יכול למחוק את נתוני הנבדקים - למשל מכיוון שהם זקוקים להם לצורך משפט משפטי - הם יכולים לבקש מהחברה להגביל את אופן השימוש בהם.
• הזכות לניידות נתונים: לנבדקים נתונים הזכות לקחת את הנתונים האישיים שלהם משירות אחד ולהשתמש בהם עם אחר.
• הזכות להתנגד: אם נתונים נאספים ללא הסכמה אך למען אינטרסים עסקיים לגיטימיים, לטובת הציבור, או על ידי רשות רשמית, יכול הנבדק להתנגד. לאחר מכן על הארגון להפסיק לעבד את הנתונים עד שיוכלו להוכיח שיש להם סיבות לגיטימיות לכך.
• זכויות הקשורות לקבלת החלטות אוטומטיות כולל פרופיל: ה- GDPR מיישם אמצעי הגנה כך שאנשים יכולים להתנגד או לקבל הסבר על החלטות אוטומטיות המשפיעות עליהם ועל הנתונים שלהם.

חלק גדול נוסף בתקנות הוא שחברות צריכות להיות בעלות סיבה חוקית לאיסוף או לעיבוד נתונים כלשהם. אחת הסיבות החוקיות היא שהם קיבלו הסכמה לשימוש בו למטרה מסוימת, אך ישנם אחרים כמוהם שהם זקוקים לו בכדי לעמוד בהתחייבויות החוקיות או שגבייתו היא לטובת הציבור.

כפי שאתה יכול לראות, הזכויות הניתנות לתושבי האיחוד האירופי על פי החוק הן רחבות למדי ומאלצות חברות שאוספות מהם נתונים לחשוב באמת מה הם אוספים ולמה. הימים העתיקים של פשוט לאסוף את כל מה שהם יכולים ולקוות שהם ימצאו בו שימוש אחר כך נעלמו - לפחות באירופה. זו הסיבה שכמעט כל שירות שמסרת אי פעם את כתובת הדוא"ל שלך פונה אליך.

מה שמסבך המון חברות בסערה הוא שהסנקציות על אי עמידה ב- GDPR הן די קשות. ארגון יכול להיקנס בסכום של עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי שלהם (הגדול מביניהם) על פי החוקים. עבור אנשים כמו אמזון או גוגל, מדובר בסכומי קנסות פוטנציאליים של מיליארדי דולרים אם הם מטפלים בנתונים של תושבי האיחוד האירופי.

מה המשמעות של ה- GDPR עבור אמריקאים?

לאורך מאמר זה התמקדנו באילו זכויות ה- GDPR מעניק לתושבי האיחוד מהסיבה הפשוטה שמדובר בחוק האיחוד האירופי. זה למעשה לא חל על אזרחים אמריקאים, אלא אם כן הם גם תושבים באיחוד האירופי. הסיבה שאתה מקבל את כל המיילים היא שלרוב החברות אין שום דרך לספר מי תושב האיחוד האירופי ומי לא.

עם זאת, אין פירוש הדבר כי ה- GDPR לא ישפיע עליך. זה גרם להרבה חברות להעריך מחדש את האופן שבו הן מטפלות בנתוני צרכנים וכמה מהן החלו לדבר על הפעלת זכויות ה- GDPR לתושבים שאינם תושבי האיחוד האירופי. וזה גם פשוט יותר עבור חברות לאכוף מערכת חוקים אחת לכל הלקוחות במקרים רבים.

לדוגמא, אפל השיקה פורטל פרטיות חדש שם אנשים יכולים להוריד את כל הנתונים האישיים שלהם או למחוק את חשבונם, במילים אחרות לספק לאנשים את זכויות הגישה והמחיקה. לפי שעה, רק חשבונות מבוססי האיחוד האירופי יכולים להשתמש בו אך אפל מתכננת להפיץ אותו ברחבי העולם במהלך החודשים הקרובים . באופן דומה, פייסבוק היא ממלמל על מתן אותן הגנות GDPR למשתמשים מסוימים מחוץ לאיחוד האירופי .