Il 25 mai 2018 veeb on lõplikult muutunud. Vähemalt Euroopas. Isegi kui paljud sellest tol hetkel aru ei saanud, on see sellest päevast peale olnud GDPR jõustus, Euroopa Komisjoni soovitav määrus kodanike andmete töötlemise reeglite ühtlustamiseks kogu vanal mandril (sh Šveitsis). Eelkõige võtab GDPR üle, „integreerib“ ja asendab kõik riiklikud isikuandmete töötlemise ja eraelu puutumatuse kaitse eeskirjad.

Täpselt aga, mis on muutunud võrreldes varasemaga ja mida ettevõtted peavad tegema et vältida GDPR-i rikkumist? JA Millised on karistused GDPR-i rikkujatele? Mõistame kõike praktilist juhtumit analüüsides.

Mis on GDPR

Akronüüm Andmekaitse üldmäärus, itaalia keeles andmekaitse üldmäärus, GDPR on reeglite ja määruste kogum, mida kõik veebikasutajate andmeid töötlevad subjektid peavad järgima. Eelkõige käsitleb GDPR kasutajate isikuandmete töötlemine ettevõtete poolt, nende konserveerimine viimaste poolt ning võimalus kasutajatel endil neid lihtsalt ja koheselt hallata.

GDPR: mida see pakub

Põhipunktid, mille ümber kogu GDPR-i struktuur keerleb, on sisuliselt kaks:

• Lihtsustada regulatiivset raamistikku, milles ettevõtted satuvad liikuma Euroopa Liidu turul (ja teistes riikides, millel on EL-iga leping);
• Andke kasutajatele suurem kontroll oma andmete üle alates hetkest, mil ettevõte need omandab, kuni nende kustutamiseni.

Et see oleks võimalik, nõuab GDPR ettevõtetelt, et nõusolekutaotlused peavad olema kasutajatele selgemad ja "loetavad"; kehtestatakse andmete töötlemise ja kasutamise piirangud; sanktsioonide rakendamine andmetöötluseeskirjas sätestatut rikkuvatele ettevõtetele. Veelgi enam, andmetega seotud rikkumise (andmete kadu, mis on tavaliselt tingitud kurjategijate toime pandud vargusest) korral vastutav andmetöötleja (ettevõtte professionaal, nn. Andmekaitseametniku) on kohustatud sellest võimalikult kiiresti ametiasutusi ja seaduslikke omanikke teavitama. Kui seda ei juhtu, GDPR-iga ette nähtud karistused need muutuksid veelgi soolasemaks.

2020. aasta keskel saabus uudsus seoses Nõusolek andmete töötlemiseks mida ettevõtted veebitööriistade kaudu koguvad. Eelneval kahel aastal piisas tegelikult sellest, kui kasutaja sai osa veebilehest kerida, et lugeda raviga nõustumine omandatud. Euroopa Kohtu otsus sätestab, et nõusolek peab olema aktiivne ja ühemõtteline. See tähendab, et kasutaja küpsiste vastuvõtmiseks peab nõusoleku küsimiseks klõpsama bänneril, valides, kas lubada rangelt vajalike tehniliste küpsiste või kõigi küpsiste kasutamist. Sel põhjusel näete näiteks nõusolekubännerit üha sagedamini, isegi kui see on sait, mida sageli külastate.

Mida riskivad GDPR-i rikkujad: sanktsioonid

GDPR näeb ka ette sanktsioonid päris raske juhul, kui andmete töötlemine ettevõtte poolt ei vasta selles sisalduvatele sätetele või on siderindel rikutud.

Sanktsioone on kahte tüüpi, olenevalt toimepandud rikkumise tõsidusest. Väiksemate rikkumiste eest (nagu andmetöötlusregistri puudumine, vastutava töötleja määramata jätmine, andmerikkumisest teatamata jätmine) kaasneb karistus kuni 10 miljonit eurot ehk 2% ülemaailmsest käibest kui see näitaja on kõrgem. Raskete rikkumiste eest (nagu ravi nõusoleku puudumine, huvitatud isiku õiguste rikkumine, privaatsusinfo puudumine või mittesobimine ning andmete edastamise sätete rikkumine) on trahv kuni 20 miljonit eurot ehk 4% käibest.

Näiteks Google'i ja kõiki Mountain View hiiglase orbiidil olevaid ettevõtteid kontrolliva valdusfirma Alphabeti aastakäive on 46 miljardit dollarit ja tõsise rikkumise korral võidakse sundida maksma kuni 1,9 miljardi dollari suurune trahv.

GDPR-i sanktsioonid: H&Mi juhtum

Andmete haldamine ja nende kaitse ei puuduta aga ainult lehe kliente ja kasutajaid. Samuti tuleb hankida, töödelda ja arhiveerida töötajate andmeid viidates andmetöötluse üldmääruses sätestatule. Üks näide on H&M, trahvis üle 35 miljoni euro, kuna avastati oma töötajate ebaseaduslik profileerimine. Andmemurdmine on tegelikult paljastanud tõelise sisespionaaži juhtumi: vähemalt 2014. aastast on H&M salvestanud oma töötajate andmeid, teavet ja vestlusi, arhiveerides kõike (ilma volituseta) eraserverites.

Eriti invasiivne profileerimistegevus, millel oli ilmselgelt negatiivne mõju Rootsi moehiiu ja selle töötajate töösuhetele. Hamburgi andmekaitseamet määras seega H&M-ile 35,3 miljoni euro suuruse trahvi. Ettevõte vabandas omalt poolt skandaali sattunud töötajate ees, korraldades büroo radikaalselt ümber.

Sanktsioon, mis on hoiatuseks ka kõigile teistele ettevõtetele: riigiasutused (antud juhul Saksamaa oma, aga sanktsioonid on kogu Euroopa Liidus ühesugused ja puudutavad ka väljaspool EL piire asuvaid ettevõtteid) andmeid ei luba. rikkumisi või andmetöötlust, mis ei vasta GDPR-i sätetele. Igaüks, kes tabatakse kuriteo toimepanemiselt, maksab oma käitumise eest kõvasti.