Ką sako, ką reiškia – POLITICO

Europos Sąjunga ketina iš kartos įgyvendinti plačiausio masto duomenų apsaugos taisyklių peržiūrą – Bendrąjį duomenų apsaugos reglamentą (GDPR).

Reforma paskatino sprogti technologijų lobistą Briuselyje ir Europos sostinėse.

Silicio slėnio milžinai išplėtė savo buvimą visame žemyne, iš dalies atsižvelgdami į naujas privatumo taisykles.

Teisininkams GDPR nėštumo laikotarpis prilygo grynųjų pinigų sumai. Teisės specialistai 88 puslapių įstatymą vadina „dovana, kuri vis dovanojama“ dėl gausios apmokamų valandų ir su ja susijusių sutartinių darbų srauto.

Nepaisant pasaulinių pasekmių, nedaugelis žmonių, nepriklausančių viešajai politikai, žino, kas iš tikrųjų yra GDPR ir kaip tai paveiks jų įmones ir gyvenimą.

„POLITICO“ yra čia, kad padėtų.

Čia pateikiamas įstatymų vadovas, išskaidant „ką jis sako“ ir „ką tai reiškia“.

Teisė būti pamirštam

Ką sako tekstas: Oficialiai vadinama „teise ištrinti“, GDPR sako, kad „duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas privalo be reikalo ištrinti asmens duomenis. uždelsimas.” (17 straipsnis)

Ką tai reiškia: Tos gėdingos nuotraukos prieš metus galėjo pagaliau išnykti. Europiečiai gali paprašyti įmonių pasakyti viską, ką jie apie juos žino, ir viską ištrinti. Verslas turės nustatyti savo duomenų rinkinius taip, kad galėtų atsekti ir ištrinti visus turimus duomenis apie kai kuriuos asmenis – kai kuriems tai sudėtinga inžinerijos užduotis.

Teisė būti pamirštam nėra visiškai nauja. Tai grįžta į 2014 m. Ispanijoje vykusį ieškinį, kuriame skundėsi, kad „Google“ paieškos sistema susiejo jo vardą su 1998 m. Įvykiu. Nors teismo byla buvo susijusi su paieškos rezultatais, ES įstatymų leidėjai nustatė „teisę į ištrynimas “visame bloke.

Kiek europiečiai gali tai priimti, vis dar ginčijamasi. Dvi bylos prieš „Google“ turi būti išnagrinėtos vėliau šiais metais aukščiausiame ES teisme. Vienas iš jų apima teisę į informacijos apie praeities nusikalstamumą ir politines pažiūras pašalinimą. Kitas klausimas yra toks, ar tokia informacija turėtų likti prieinama už ES ribų.

Sutikimas

Ką sako: Bendrovė ar institucija „turi sugebėti įrodyti, kad duomenų subjektas sutiko tvarkyti savo asmens duomenis“, o sutikimas turi būti „laisvai duotas“ ir paprašytas „suprantama ir lengvai prieinama forma, aiškiai ir aiškiai kalba “.

Ką tai reiškia: Svetainėse interneto vartotojai aptarnaujami erzinančiais iššokančiaisiais langais, klausdami, ar jie sutinka su sąlygomis. Spustelėjus „perskaičiau [these] ir sutinku “, akademikų vadinamas„ didžiausiu melu internete “.

Pagal GDPR interneto paslaugų teikėjai turės stengtis labiau. Vartotojai turės suprasti, prie ko jie užsiregistruoja, įskaitant tai, ar tokios įmonės kaip „Facebook“ ir „Google“ naudoja savo duomenis, kad nukreiptų skelbimus ar parduotų juos kitiems.

Klausimas yra prasmingas, „laisvai duotas“ sutikimas. Kai kurie startuoliai netgi specializavosi kurdami naujus būdus, kaip pritraukti žmonių dėmesį.

Pranešimas apie duomenų pažeidimą

Ką sako: Bendrovė, patyrusi įsilaužimą ar jos duomenų pažeidimą, „nepagrįstai nedelsdama ir, jei įmanoma, ne vėliau kaip per 72 valandas po to, kai apie tai sužinojo, praneša priežiūros institucijai apie asmens duomenų saugumo pažeidimą“ ir „praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui [the user or customer] be nepagrįsto delsimo “. (33 ir 34 straipsniai)

Ką tai reiškia: Privatumo ratuose yra juokaujama, kad yra dviejų tipų žmonės: tie, kurie žino, kad į juos buvo įsilaužta, ir tie, kurie dar nežino, kad į juos buvo įsilaužta. Galite patikrinti, kuriai grupei priklausote, internetinėje duomenų bazėje „Ar aš buvau nubaustas“?

Nuo to laiko, kai buvo priimtas reglamentas, pasaulis sužinojo apie „Yahoo“ duomenų pažeidimą, kuris paveikė 3 milijardus vartotojų, „Uber“ duomenų pažeidimą, kuris paveikė 57 milijonus vartotojų, „Equifax“ pažeidimą, kuris paveikė daugiau nei 143 milijonus žmonių (daugiausia JAV) – ir daugelį daugiau.

Įstatymų leidėjai sugalvojo sistemą, pagal kurią įmonės būtų atsakingos už duomenų laikymą ir jų apsaugą nuo patekimo į netinkamas rankas. Visų pirma, įmonės turės nustatyti krizių valdymo procesą, kai įsibrovėlis sugeba išplėšti savo turimus asmens duomenis – ir jie turės būti atviri ir skaidrūs valdžios institucijoms ir klientams apie tai, kas nutiko.

Privatumo teisininkai sutaria dėl vieno dalyko: nesekite „Uber“ pavyzdžiu. Bendrovė daugiau nei metus slėpė savo duomenų pažeidimą nuo visuomenės akių ir mokėjo įsilaužėliams, kad jie netylėtų.

Duomenų apsaugos institucijos

Ką sako: Kiekviena ES šalis „numato, kad viena ar daugiau nepriklausomų valdžios institucijų būtų atsakingos už GDPR taikymo stebėseną“. Tai suteikiama galia atlikti tyrimus, paprašyti bendrovių „pateikti visą reikalingą informaciją“ ir jas nubausti. (VI skyrius)

Ką tai reiškia: Europos privatumo sargai įkąs. Vadinamosios Europos duomenų apsaugos institucijos tapo žinomos, kai pradėjo tyrimus dėl „Yahoo“ ir „Uber“ duomenų pažeidimų arba užginčijo „WhatsApp“ duomenų dalijimąsi su motinine bendrove „Facebook“.

Šios valdžios institucijos, seniai neaiškios organizacijos, nagrinėjančios piliečių skundus, gauna daugiau galių ir daugiau išteklių paskirti didelėms įmonėms, kurios imasi didžiųjų duomenų analizės. Tačiau daugelis vis dar perauga į savo naują vaidmenį.

Europos valdžios institucijos ištyrė tokias technologijų įmones kaip „Facebook“ Carl Court / „Getty Images“

Lenta

Ką sako: „Europos duomenų apsaugos valdyba (toliau – valdyba) … užtikrina nuoseklų šio reglamento taikymą.“ (68–76 straipsniai)

Ką tai reiškia: Formuojasi naujas Europos super sargybinis, vadinamas Europos duomenų apsaugos valdyba. Valdyba bus oficialiai įsteigta, kai gegužę prasidės GDPR, ir joje dalyvaus nacionalinių duomenų apsaugos institucijų atstovai – panašiai kaip dabartinė 29 straipsnio darbo grupė, tačiau su daug daugiau dantų.

Valdybos pirmininkas turės vieną aukščiausių darbo vietų Europos privatumo srityje. Tai bus duomenų apsaugos institucijų balsas ir veidas, kai jie meta iššūkį technologijų gigantams.

4 procentų baudos

Ką sako: Tam tikri „pažeidimai [shall] gali būti skiriamos administracinės baudos iki 20 000 000 eurų, o įmonės atveju – iki 4 procentų visos praėjusių finansinių metų pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. “ Šios baudos būtų „veiksmingos, proporcingos ir atgrasančios“. (83 straipsnis)

Ką tai reiškia: Reguliavimo institucijos laikys lazdą, kurios vertė yra milijonai, kai kuriais atvejais ir milijardai eurų.

Anksčiau Europos Komisija liepė Airijai susigrąžinti 13 milijardų eurų iš „Apple“ už neteisėtą valstybės pagalbą, o „Google“ gavo 2,42 milijardo eurų baudą už nesąžiningą konkurencijos praktiką „Google Shopping“ paslaugose. Tačiau privatumo reguliavimo įmonėms bauda milijardais yra visiškai nauja galia. Tai gąsdina daugelį įmonių laikytis GDPR.

Privatumas pagal dizainą

Ką sako: Bendrovė ar organizacija, renkanti asmens duomenis, turi užtikrinti, kad „pagal nutylėjimą būtų tvarkomi tik asmens duomenys, būtini kiekvienam konkrečiam tvarkymo tikslui“. (25 straipsnis)

Ką tai reiškia: Kiekvienas vartotojas, pradedant naršyklės paslaugomis, tokiomis kaip „Mozilla Firefox“ ir „Google Chrome“, baigiant gamintojais ir „daiktų interneto“ pramone, turi pakoreguoti savo produktus, kad įsitikintų, jog numatytasis nustatymas nekelia daugiau duomenų, nei reikia, ir nedelsiant apsaugo asmeninius duomenis. Taisyklė pradėjo visas internetinių paslaugų teikėjų pertvarkymo pastangas.

Duomenų apsaugos pareigūnas

Ką sako: Įmonės, tvarkančios duomenis, kuriems „reikia reguliaraus ir sistemingo duomenų subjektų didelio masto stebėjimo“, turi turėti „duomenų apsaugos pareigūną“. (37, 38 ir 39 straipsniai)

Ką tai reiškia: Didesnėms įmonėms reikalingas asmuo, kuris tvarkytų jūsų asmens duomenis, asmuo, kuris žino darbo su duomenimis riziką ir turi organizacijos vadovų ausį.

Profiliavimas

Ką sako: Vartotojas „turi teisę netaikyti sprendimo, pagrįsto tik automatizuotu apdorojimu, įskaitant profiliavimą, kuris sukelia teisines pasekmes“. (22 straipsnis)

Ką tai reiškia: Tai, kad kompiuteriai priima svarbius gyvenimo sprendimus, pavyzdžiui, ar galite apsidrausti, ar kaip greitai gydytojas turėtų gydyti jūsų ligą, ne visada yra gera mintis, mano ES įstatymų leidėjai.

Įmonės ir valdžios institucijos, naudojančios algoritmus darbo krūviui pagreitinti ar sumažinti, turės paprašyti aiškaus vartotojo sutikimo (žr. Aukščiau) arba dar kartą patikrinti algoritmo priimtą sprendimą, jei vartotojas klausia, kodėl su juo elgiamasi tam tikru būdu.

Trumpai: Nepakanka pasakyti „Kompiuteris sako ne“.