Uus GDPR seadus jõustub täna, 25. mail 2018, ja see hõlmab ELi kodanike andmekaitset ja privaatsust, kuid see kehtib ka paljude teiste riikide kohta mitmel viisil ja kuna kõik tehnikud on suured rahvusvahelised ettevõtted, see mõjutab palju asju, mida kasutate iga päev.
Probleem GDPR püüab lahendada: ettevõtted koguvad ja kuritarvitavad teie isiklikke andmeid
Alates Interneti-ajast on ettevõtted kogunud nii palju andmeid kui võimalik. Seda teavet on lihtne koguda, mistõttu pole neil põhjust, miks nad seda ei salvesta.
Probleemiks on asjaolu, et viimastel aastatel on paljud ettevõtted tabanud teie isikuandmeid kaitsmata või neid otseselt kuritarvitanud. Cambridge Analytica skandaal, kus uurija kasutas Facebooki viktoriini, et koguda tohutul hulgal andmeid miljonitele Facebooki kasutajatele ja seejärel müüs selle konsultatsioonifirmale, on vaid uusim näide. Eelmise aasta Equifaxi häkkimine oli eriti halb, kuna lekkeid võib kasutada krediitkaartide avamiseks. Ja need on lihtsalt suured skandaalid. Paljud ettevõtted on vääriti kasutanud teie andmeid väiksematel viisidel, näiteks müüvad seda kolmandate isikute reklaamiettevõtetele.
EL on olukorda valesti vaadanud ja kasutab GDPR-i, et seda parandada. Uute seaduste kohaselt peavad ettevõtted, mis ei kaitse piisavalt tarbijaandmeid ega kuritarvitavad seda, mingil moel suuri trahve.
Mis on isiklikud andmed?
GDPR kaitseb "isikuandmeid", mis tähendab "mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta" - ja see on üsna lai määratlus. Tegelikkuses sisaldavad isikuandmed tavaliselt järgmisi asju:
- Biograafilised andmed, näiteks teie nimi, aadress, telefoninumber, sotsiaalkindlustuse number jne.
- Teie füüsilise välimuse ja käitumise andmed, nagu juuste värv, rass ja kõrgus.
- Teave oma hariduse ja töö ajaloo kohta, näiteks palk, kolledži kraad, GPA, maksudeklaratsioon ja nii edasi.
- Kõik meditsiinilised või geneetilised andmed.
- Asjad nagu teie kõneajalugu, privaatsõnumid või geograafilise asukoha andmed.
See pole kaugelt täielik nimekiri. Võti on see, et kõik andmed, mis teid tuvastavad, loeb. Teatud juhtudel võib teie juuste värv olla piisav. Teistes isegi teie täisnimi, kui see on midagi sellist nagu Robert Smith, ei pruugi teid identifitseerida.
Mida teeb GDPR?
GDPR annab ELi elanikele, kellel on oma isikuandmeid kogutud - nn andmesubjektid - seaduses - kaheksa õigust. Nemad on:
- Õigus saada teavet: Kui ettevõte kogub andmeid, peavad nad andmesubjektidele rääkima, mida kogutakse, miks seda kogutakse, millist seda kasutatakse, kui kaua seda hoitakse, ja kas seda hakatakse kolmandate osapooltega jagama. Seda teavet ei saa sügavale kinni pidada teenuse osutamise tingimustega, mida keegi ei loe; see peab olema lühike ja lihtsas keeles.
- Juurdepääsuõigus: Kui nad seda taotlevad, peab organisatsioon, kellel on isikuandmeid andmesubjekti kohta, esitada see kuu jooksul.
- Õigus parandusele: Kui andmesubjekt tuvastab, et ettevõttel on nende kohta andmed, mis on valed, võivad nad taotleda selle värskendamist. Ettevõtted peavad ühe kuu jooksul vastama.
- Õigus kustutada: Andmesubjekt võib taotleda, et ettevõte kustutab teatud asjaoludel teatud andmed, mis neil on. Näiteks kui andmed pole enam vajalikud või nad loobuvad oma nõusolekust selle kasutamiseks.
- Töötlemise piiramise õigus: Kui organisatsioon ei saa näiteks andmesubjektide andmeid kustutada, sest nad vajavad seda seadusliku juhtumi puhul, võivad nad taotleda, et ettevõte piiraks selle kasutamist.
- Õigus andmete ülekandmisele: Andmesubjektidel on õigus võtta oma isikuandmeid ühest teenusest ja seda kasutada teisega.
- Õigus esitada vastuväiteid: Kui andmeid kogutakse ilma nõusolekuta, vaid õigustatud ärihuve, avalikke hüvesid või ametlikku asutust, võib andmesubjekt esitada vastuväiteid. Seejärel peab organisatsioon lõpetama andmete töötlemise, kuni nad saavad tõestada, et neil on selleks õigustatud põhjused.
- Automatiseeritud otsuste tegemisega seotud õigused, sealhulgas profiilide koostamine: GDPR kehtestab kaitsemeetmed, nii et üksikisikud saaksid neile vastu vaielda ja neid puudutavaid automatiseeritud otsuseid selgitada.
Veel üks suur osa määrustest on see, et ettevõtetel peab olema seaduslik alus andmete kogumiseks või töötlemiseks. Üks seaduslikest põhjustest on see, et nad on saanud nõusoleku seda kasutada konkreetsel eesmärgil, kuid on ka teisi, mida nad vajavad, et nad täidaksid juriidilisi kohustusi või koguvad seda üldistes huvides.
Nagu näete, on ELi õiguse alusel elanikele seaduslikult antud õigused üsna laiad ja sundivad ettevõtteid, kes koguvad andmeid, mõelda tõepoolest sellele, mida nad koguvad ja miks.Vanad päevad lihtsalt koguvad kõik, mida nad saavad ja loodavad, et nad kasutavad seda hiljem, on kadunud, vähemalt Euroopas. Sellepärast on peaaegu iga teenus, mille olete oma e-posti aadressi andnud, teiega ühendust võtnud.
Seal on palju ettevõtteid, et sanktsioonid mitte GDPR nõuetele vastavaks on üsna karmid. Organisatsioonile võib seaduste alusel määrata trahvi kuni 20 miljonit või 4% nende ülemaailmsest aastasest käibest (olenevalt sellest, kumb on suurem). Amazonase või Google'i jaoks on see potentsiaalsete trahvide puhul miljardeid dollareid, kui nad rikuvad ELi residentide andmeid.
Mida tähendab GDPR ameeriklastele?
Kogu selle artikli jooksul oleme keskendunud sellele, milliseid õigusi GDPR annab ELi elanikele lihtsa põhjuse tõttu, et see on ELi seadus. See tegelikult ei kehti Ameerika kodanike suhtes, kui nad ei kuulu ka ELis. Põhjus, miks te kõik kirjad saadate, on see, et enamikul ettevõtetel ei ole võimalik öelda, kes on ELi elanik ja kes ei ole.
See aga ei tähenda, et GDPR võitis teid mõjutama. See on põhjustanud paljud ettevõtted, et hinnata, kuidas nad kasutajate andmeid käitlevad, ja mõned neist on hakanud rääkima GDPR-i õiguste ülekandmisest ELi mittekuuluvatele elanikele. Ja paljudel juhtudel on ettevõtetel lihtsam kehtestada ühtne eeskiri kõikidele klientidele.
Näiteks on Apple käivitanud uue privaatsuseportaali, kus inimesed saavad kõik oma isiklikud andmed alla laadida või oma kontot kustutada, st anda inimestele juurdepääsu ja kustutamise õigused. Praegu saavad seda kasutada ainult ELi-põhised kontod, kuid Apple plaanib seda järgmise paari kuu jooksul üle kogu maailma. Sarnaselt räägib Facebook, et annab mõnele kasutajale väljaspool ELi sama GDPR kaitset.
