Skip to main content

5 zemí se zásadami ochrany osobních údajů podobnými GDPR

GDPR a marketingové důsledky restriktivních předpisů o ochraně osobních údajů jsou často považovány za omezenou rezervu Evropské unie.

To je však poněkud mylná představa, neboť právní předpisy zavedené EU se točí kolem ochrany "údajů patřících občanům a obyvatelům EU" - a nikoli pouze ochrany údajů, které zůstávají v rámci hranic EU.

V článku 3 je totiž podrobně popsána územní působnost GDPR, která zahrnuje dva klíčové případy, kdy se GDPR uplatňuje mimo EU:

  1. Při nabízení zboží a služeb občanům a obyvatelům EU
  2. při sledování chování občanů a obyvatel EU na internetu.

Kromě těchto výjimek existují podobné právní předpisy, často inspirované GDPR, i v jiných částech světa.

Které další země mají zásady ochrany osobních údajů podobné GDPR?

 

1. Kalifornie (ano, víme, není to země)

Pravděpodobně nejdiskutovanějším zákonem o ochraně osobních údajů podobným GDPR mimo EU je kalifornský zákon o ochraně osobních údajů spotřebitelů (CCPA).

Ačkoli je jasné, že Kalifornie je stát a nikoli země, popularita tohoto státního zákona vedla k tomu, že řada dalších států plánuje zavedení podobných politik v roce 2022.

Celkem 15 států totiž buď potvrdilo, že přípravu podobného zákona plánuje na letošní rok, nebo již podobný zákon připravuje.

Mezi tyto státy patří Maryland, Florida, Washington a Mississippi, přičemž existuje několik dalších států, které se sice nezavázaly k zavedení v roce 2022, ale zkoumají možnost následování.

2. Švédsko (první zákon o ochraně osobních údajů)

Ačkoli je tedy Švédsko samozřejmě členem Evropské unie a spadá tak pod ustanovení GDPR, stojí za to se ohlédnout také za prvním národním zákonem o ochraně osobních údajů na světě.

Ano, věřte nebo ne, samotný zákon o ochraně osobních údajů v digitálním věku se nyní blíží ke svým 50. narozeninám.

Vedle Němců hráli klíčovou roli v počátcích tvorby zákonů o ochraně osobních údajů Švédové. Včetně přijetí prvního vnitrostátního zákona o ochraně osobních údajů, zákona o ochraně osobních údajů, v roce 1973.

Vytvoření zákona o datech, který byl vyvinut s cílem "kriminalizovat krádeže údajů a poskytnout subjektům údajů svobodu přístupu k jejich záznamům", bylo katalyzováno digitálním zpracováním údajů ze sčítání lidu již v roce 1969.

Kombinace brzkého zavedení počítačů ve Švédsku ve veřejných úřadech a kultury postavené na transparentnosti a otevřenosti vydláždila cestu k tomuto zákonu.

3. Kanada a PIPEDA

Kanadský zákon o ochraně osobních informací a elektronických dokumentech (PIPEDA) je často považován za zákon o ochraně osobních údajů, který je nejblíže GDPR.

Vývoj zákona byl ve skutečnosti částečně veden snahou uklidnit tvůrce politik EU a usnadnit předávání údajů mezi Kanadou a EU.

Přestože je podobný GDPR, existuje několik klíčových odlišností, z nichž některé jsou považovány za příčinu omezení mezinárodní přitažlivosti nařízení PIPEDA.

Tyto rozdíly se týkají sedmi hlavních oblastí:

  1. Kritéria použitelnosti
  2. Extrateritorialita
  3. Souhlas se zpracováním údajů
  4. Právo být zapomenut
  5. Přenositelnost údajů
  6. Oznámení o porušení zabezpečení údajů
  7. Pokuty

Pokud jde o poslední bod, výše pokut spojených s porušením GDPR se stala téměř legendární a stala se klíčovým katalyzátorem pro vznik softwarových řešení a poradenských společností v oblasti zpracování údajů v souladu s GDPR.

Mezi pokutami, které lze uložit prostřednictvím nařízení GDPR - až 20 milionů eur nebo 4 % ročního celosvětového obratu - a pokutami podle nařízení PIPEDA, které jsou omezeny na 100 000 kanadských dolarů (přibližně 70 000 eur), je obrovská propast.

PIPEDA je postavena na svých 10 zásadách spravedlivého informování:

  1. Odpovědnost
  2. Určení účelu, pro který jsou osobní údaje shromažďovány
  3. souhlasu fyzických osob se shromažďováním, používáním nebo zveřejňováním osobních údajů
  4. Omezení shromažďování údajů na rozsah nezbytný pro účel stanovený organizací
  5. Omezení používání, zveřejňování a uchovávání údajů
  6. Přesnost osobních údajů
  7. zabezpečení osobních údajů proti ztrátě nebo krádeži, neoprávněnému přístupu atd.
  8. Otevřenost zásad a postupů týkajících se správy osobních údajů
  9. Individuální přístup na vyžádání
  10. Zpochybňování dodržování zásad PIPEDA

4. Izrael

Pokud se podíváme na Blízký východ a Afriku jako celek, existuje několik různých zemí a regionů, které zavedly zákony o ochraně osobních údajů.

Izraelské předpisy o bezpečnosti údajů jsou považovány za nejvíce sladěné s nařízením GDPR, přestože obsahují několik prvků - například pravidla pro hesla a penetrační (neboli pen) testy - které se v zákoně EU nevyskytují.

Navzdory tomu považuje Evropská komise (EK) izraelské zákony o ochraně údajů za přiměřené, a umožňují tak zpracovávat údaje rezidentů EU.

Země se tak zařadila po bok pouhých 13 dalších "třetích zemí" s úrovní ochrany údajů potvrzenou EK. Mezi další patří Nový Zéland, Kanada (jak bylo uvedeno výše), Jižní Korea a Spojené království.

V posledních letech došlo také k několika aktualizacím těchto zákonů, přičemž teprve v lednu 2022 byl zveřejněn nový návrh zákona, který se snaží uvést poněkud archaický zákon o ochraně osobních údajů do souladu s digitálním věkem.

Kromě Izraele patří mezi země Blízkého východu s nějakou formou vnitrostátního zákona o ochraně osobních údajů Bahrajn, Katar a Turecko - posledně jmenovaný zákon byl z velké části založen na verzi GDPR před rokem 2018.

5. Keňa (a Africká unie)

Africká unie (AU) přijala Úmluvu o kybernetické bezpečnosti a ochraně osobních údajů podobnou GDPR již v roce 2014 s cílem přimět jednotlivé země AU k přijetí vnitrostátních zákonů o ochraně soukromí.

Navzdory tomu tato iniciativa zaznamenala spíše zdrženlivý pokrok, neboť pouze pět zemí následovalo její příklad a vypracovalo a přijalo vlastní zákony o ochraně osobních údajů.

Mezi ně patří keňský zákon o ochraně údajů, který vstoupil v platnost v roce 2019 a od té doby se vyvíjel a zdokonaloval.

V době přijetí Joe Mucheru, keňský ministr pro informace, technologie a komunikace, prohlásil, že "Keňa se připojila ke světovému společenství, pokud jde o standardy ochrany údajů".

Mezi další africké země, které přijaly nějakou formu zákona o ochraně osobních údajů, patří Nigérie, Mauricius, Jihoafrická republika a Uganda.

Další národní zákony o ochraně osobních údajů a jejich budoucnost

Kromě těchto pěti příkladů existuje několik dalších zemí, které přijaly zákony o ochraně osobních údajů podobné GDPR.

Jak již bylo zmíněno v předchozím článku, celkem 14 třetích zemí má normy, které jsou považovány za slučitelné s nařízením GDPR a jsou s ním v souladu.

Kromě již zmíněných zemí patří mezi další země, které mají podobné zákony o ochraně osobních údajů, Japonsko, Brazílie, Uruguay, Švýcarsko, Andorra, Faerské ostrovy, Guernsey, ostrov Man, Jersey a Argentina.

Vzhledem k tomu, že téma ochrany digitálních údajů a soukromí se stává stále globálnějším a hojně diskutovaným tématem, je pravděpodobné, že v brzké době budou podobné zákony muset přijmout nebo posílit další země.