Il 25 Toukokuu 2018 netti on muuttunut lopullisesti. Ainakin Euroopassa. Vaikka monet eivät tajunneet sitä silloin, se on ollut siitä päivästä lähtien GDPR astui voimaan, Euroopan komission toivoma asetus kansalaistietojen käsittelyä koskevien sääntöjen yhtenäistämiseksi koko vanhassa mantereessa (mukaan lukien Sveitsi). Erityisesti GDPR siirtää, "sisältää" ja korvaa kaikki kansalliset henkilötietojen käsittelyä ja yksityisyyden suojaa koskevat säädökset.

Täsmälleen kuitenkin, mikä on muuttunut verrattuna menneeseen ja mitä yritysten tulee tehdä GDPR:n rikkomisen välttämiseksi? JA Millaisia ​​rangaistuksia GDPR:n rikkojille määrätään? Ymmärretään kaikki analysoimalla käytännön tapausta.

Mikä on GDPR

Lyhenne sanasta Yleinen tietosuojadirektiivi, Yleinen tietosuoja-asetus italiaksi, GDPR on joukko sääntöjä ja määräyksiä, joita kaikkien verkkokäyttäjien tietoja käsittelevien henkilöiden on noudatettava. Erityisesti GDPR käsittelee käyttäjien henkilötietojen käsittelyä yritysten toimesta, niiden säilyttäminen jälkimmäisten toimesta ja käyttäjien itsensä mahdollisuus hallita niitä yksinkertaisella ja välittömällä tavalla.

GDPR: mitä se tarjoaa

Keskeisiä kohtia, joiden ympärillä koko GDPR:n rakenne pyörii, on pohjimmiltaan kaksi:

• Yksinkertaistaa sääntelykehystä, jossa yritykset liikkuvat Euroopan unionin markkinoilla (ja muissa maissa, joilla on sopimus EU:n kanssa);
• Anna käyttäjille enemmän hallita tietojaan siitä hetkestä lähtien, kun yritys hankkii ne, kunnes ne poistetaan.

Jotta tämä olisi mahdollista, GDPR edellyttää, että yritykset, joiden suostumuspyyntöjen on oltava selkeämpiä ja käyttäjien luettavissa. tietojen käsittelylle ja käytölle on asetettu rajoituksia; seuraamusten määrääminen yrityksille, jotka rikkovat tietojenkäsittelymääräyksiä. Lisäksi tietoturvaloukkauksen sattuessa (tietojen menetys, joka johtuu yleensä rikollisten suorittamasta varkaudesta), rekisterinpitäjä (yrityksen ammattilainen, ns. Tietosuojavastaava) on velvollinen ilmoittamaan viranomaisille ja laillisille omistajille mahdollisimman pian. Jos näin ei tapahdu, GDPR:n mukaiset rangaistukset niistä tulee vieläkin suolaisempia.

Vuoden 2020 puolivälissä saapui uutuus liittyen Suostumus tietojen käsittelyyn joita yritykset keräävät verkkotyökalujen kautta. Itse asiassa kahden edellisen vuoden aikana riitti, että käyttäjä vieritti osaa verkkosivusta katsoakseen suostumuksen hoitoon hankituksi. Euroopan yhteisöjen tuomioistuimen tuomion mukaan suostumuksen on oltava aktiivista ja yksiselitteistä. Tämä tarkoittaa, että käyttäjä hyväksyy evästeet, täytyy klikata banneria pyytääkseen suostumusta, valitsemalla, sallitaanko ehdottoman välttämättömien teknisten evästeiden vai kaikkien evästeiden käyttö. Tästä syystä esimerkiksi satut näkemään suostumusbannerin yhä useammin, vaikka se olisikin sivusto, jolla vierailet usein.

Mitä ne, jotka rikkovat GDPR:ää, vaarantavat: sanktiot

GDPR tarjoaa myös seuraamuksia melko painava siinä tapauksessa, että yrityksen suorittama tietojenkäsittely ei noudata sen sisältämiä säännöksiä tai on viestintärintamalla laiminlyönyt.

Seuraamuksia on kahdenlaisia ​​tehdyn rikkomuksen vakavuudesta riippuen. Pienistä rikkomuksista (kuten tietojenkäsittelyrekisterin puuttuminen, rekisterinpitäjän nimeämisen laiminlyönti, tietoturvaloukkauksesta ilmoittamatta jättäminen) seuraa rangaistus. jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta jos tämä luku on suurempi. Vakavista rikkomuksista (kuten hoitoon suostumuksen puuttuminen, asianosaisen oikeuksien loukkaaminen, tietosuojatietojen puuttuminen tai sopimattomuus sekä tiedonsiirtoa koskevien määräysten rikkominen) sakko on enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta.

Esimerkiksi Googlea ja kaikkia Mountain View -jätin kiertoradalla olevia yrityksiä hallitsevan Alphabet-holdingyhtiön vuotuinen liikevaihto on 46 miljardia dollaria, ja vakavan rikkomuksen sattuessa se voi joutua maksamaan jopa 1,9 miljardin dollarin sakkoja.

GDPR-pakotteet: H&M-tapaus

Tietojen hallinta ja niiden suojaaminen eivät kuitenkaan koske vain asiakkaita ja sivuston käyttäjiä. Työntekijätietoja tulee myös hankkia, käsitellä ja arkistoida yleisen tietojenkäsittelyasetuksen säännösten mukaisesti. Yksi esimerkki on H&M, määräsi yli 35 miljoonan euron sakot, koska se paljastui laittomasti profiloivan työntekijöitään. Tietomurto on itse asiassa paljastanut todellisen sisäisen vakoilutapauksen: ainakin vuodesta 2014 lähtien H&M on tallentanut työntekijöidensä tietoja, tietoja ja keskusteluja ja arkistoinut kaiken (ilman lupaa) yksityisille palvelimille.

Erityisen invasiivinen profilointitoiminta, joka ilmeisesti vaikutti kielteisesti ruotsalaisen muotijätin ja sen työntekijöiden väliseen työsuhteeseen. Hampurin tietosuojaviranomainen määräsi H&M:lle 35,3 miljoonan euron sakot. Yhtiö puolestaan ​​pyysi anteeksi skandaaliin osallistuneilta työntekijöiltä ja järjesti toimiston radikaalisti uudelleen.

Rangaistus, joka toimii myös varoituksena kaikille muille yrityksille: valtion viranomaiset (tässä tapauksessa Saksan, mutta seuraamukset ovat samat koko EU:n alueella ja koskevat myös EU:n rajojen ulkopuolella toimivia yrityksiä) eivät salli tietosuojaloukkauksia tai tietosuoja-asetuksen vastaista tietojenkäsittelyä. Jokainen rikoksesta kiinni jäänyt joutuu maksamaan käytöksestään raskaasti.