5 krajów z polityką prywatności danych zbliżoną do GDPR

GDPR i marketingowe implikacje restrykcyjnych przepisów dotyczących prywatności danych są często uważane za ograniczone rezerwy Unii Europejskiej.

Jest to jednak w pewnym sensie błędne przekonanie, ponieważ ustanowione przez UE przepisy dotyczą ochrony "danych należących do obywateli i rezydentów UE" - a nie tylko ochrony danych, które pozostają w granicach UE.

W art. 3 szczegółowo przedstawiono zakres terytorialny GDPR, który obejmuje dwa kluczowe przypadki, w których GDPR ma zastosowanie poza UE:

1. przy oferowaniu towarów i usług obywatelom i rezydentom UE
2. monitorowanie zachowania obywateli i rezydentów UE w internecie.

Poza tymi wyjątkami istnieją również podobne, często inspirowane GDPR, przepisy w innych częściach świata.

Jakie inne kraje mają politykę prywatności podobną do GDPR?

1. Kalifornia (tak, wiemy, to nie jest kraj)

Prawdopodobnie najbardziej dyskutowanym prawem prywatności podobnym do GDPR poza UE jest California Consumer Privacy Act (CCPA).

Choć oczywiście Kalifornia jest stanem, a nie krajem, popularność tego prawa doprowadziła do tego, że wiele innych stanów planuje wprowadzenie podobnej polityki w 2022 roku.

W istocie, 15 stan ów potwierdziło, że przygotowanie podobnej ustawy jest planowane na ten rok, lub że jest ona już w trakcie opracowywania.

Do stanów tych należą Maryland, Floryda, Waszyngton i Missisipi, a kilka innych - choć nie zobowiązało się do wprowadzenia podobnych rozwiązań w 2022 roku - rozważa możliwość pójścia w ich ślady.

2. Szwecja (pierwsza ustawa o prywatności danych)

Tak więc, choć oczywiście Szwecja jest członkiem Unii Europejskiej, a zatem podlega przepisom GDPR, warto również przyjrzeć się pierwszemu na świecie krajowemu prawu dotyczącemu prywatności danych.

Tak, wierzcie lub nie, ale prawo dotyczące prywatności danych w erze cyfrowej zbliża się właśnie do swoich 50. urodzin.

Wraz z Niemcami, Szwedzi odegrali kluczową rolę we wczesnym tworzeniu prawa o prywatności danych. W 1973 roku uchwalili pierwszą krajową ustawę o ochronie danych osobowych, Data Act.

Stworzona w celu "kryminalizacji kradzieży danych i zapewnienia osobom, których dane dotyczą, swobody dostępu do ich rejestrów", ustawa o danych została zainicjowana przez cyfrowe przetwarzanie danych ze spisów powszechnych już w 1969 r.

Połączenie wczesnego wprowadzenia w Szwecji komputerów w urzędach publicznych oraz kultury opartej na przejrzystości i otwartości utorowało drogę do wprowadzenia ustawy.

3. Kanada i PIPEDA

Kanadyjska ustawa o ochronie informacji osobowych i dokumentów elektronicznych (PIPEDA) jest często uważana za najbliższe GDPR prawo dotyczące prywatności danych.

W rzeczywistości ewolucja ustawy była częściowo podyktowana ambicją udobruchania unijnych decydentów i ułatwienia transferu danych między Kanadą a UE.

Mimo podobieństwa do GDPR, istnieje kilka kluczowych różnic, z których część uważa się za odpowiedzialne za ograniczenie międzynarodowej atrakcyjności PIPEDA.

Różnice te koncentrują się wokół siedmiu głównych obszarów:

1. Kryteria stosowalności
2. Eksterytorialność
3. Zgoda na przetwarzanie danych
4. Prawo do bycia zapomnianym
5. możliwość przenoszenia danych
6. Powiadomienia o naruszeniu ochrony danych
7. Kary

Jeśli chodzi o ten ostatni punkt, wielkość kar związanych z naruszeniami GDPR stała się niemal legendarna i zadziałała jako kluczowy katalizator dla tworzenia rozwiązań w zakresie oprogramowania zgodnego z GDPR i firm konsultingowych zajmujących się przetwarzaniem danych.

Istnieje ogromna przepaść między karami, które można nałożyć za pośrednictwem GDPR - do 20 milionów euro lub 4% rocznego światowego obrotu - a karami PIPEDA, które są ograniczone do 100 000 CAD$ (ok. 70 000 euro).

PIPEDA opiera się na 10 Zasadach Uczciwej Informacji:

1. Odpowiedzialność
2. Określenie celów, dla których gromadzone są dane osobowe
3. Zgoda osób fizycznych na gromadzenie, wykorzystywanie lub ujawnianie danych osobowych
4. Ograniczenie gromadzenia danych do tych, które są niezbędne do osiągnięcia celu określonego przez organizację
5. Ograniczenie wykorzystania, ujawniania i przechowywania danych
6. Dokładność informacji osobowych
7. Zabezpieczenie informacji osobowych przed utratą lub kradzieżą, nieautoryzowanym dostępem itp.
8. Otwartość w zakresie polityki i praktyk związanych z zarządzaniem danymi osobowymi
9. Indywidualny dostęp na żądanie
10. Kwestionowanie zgodności z zasadami PIPEDA

4. Izrael

Jeśli spojrzymy na Bliski Wschód i Afrykę jako całość, istnieje kilka różnych krajów i regionów, które ustanowiły przepisy dotyczące prywatności danych.

Izraelskie przepisy dotyczące bezpieczeństwa danych są uważane za najbardziej zbliżone do GDPR, mimo że zawierają kilka elementów - takich jak zasady dotyczące haseł i testów penetracyjnych - nieobecnych w prawie UE.

Mimo to izraelskie przepisy o ochronie danych są uznawane przez Komisję Europejską (KE) za odpowiednie, a zatem umożliwiają przetwarzanie danych rezydentów UE.

To stawia ten kraj obok zaledwie 13 innych "krajów trzecich" z potwierdzonym przez KE poziomem ochrony danych. Inne kraje to Nowa Zelandia, Kanada (jak wspomniano powyżej), Korea Południowa i Wielka Brytania.

W ostatnich latach dokonano również kilku aktualizacji tych przepisów, a nowy projekt ustawy, który ma na celu dostosowanie nieco archaicznej ustawy o ochronie prywatności do ery cyfrowej, został opublikowany dopiero w styczniu 2022 roku.

Poza Izraelem, kraje Bliskiego Wschodu, w których obowiązuje jakaś forma krajowego prawa ochrony prywatności, to Bahrajn, Katar i Turcja - ta ostatnia w dużej mierze opiera się na wersji GDPR sprzed 2018 r.

5. Kenia (i Unia Afrykańska)

Unia Afrykańska (UA) przyjęła podobną do GDPR konwencję o cyberbezpieczeństwie i ochronie danych osobowych jeszcze w 2014 r., z zamiarem zmuszenia poszczególnych krajów UA do przyjęcia krajowych przepisów dotyczących prywatności.

Pomimo tego inicjatywa ta miała raczej zahamowany postęp, a tylko pięć krajów poszło w jej ślady, opracowując i przyjmując własne przepisy dotyczące prywatności.

Należy do nich kenijska ustawa o ochronie danych, która weszła w życie w 2019 r. i od tego czasu była rozwijana i ulepszana.

W momencie jej uchwalenia Joe Mucheru, kenijski minister ds. informacji, technologii i komunikacji, stwierdził, że "Kenia dołączyła do światowej społeczności pod względem standardów ochrony danych".

Inne kraje afrykańskie, które przyjęły jakąś formę ustawy o ochronie danych osobowych, to Nigeria, Mauritius, RPA i Uganda.

Inne krajowe ustawy o ochronie danych osobowych i co nas czeka w przyszłości

Oprócz tych pięciu przykładów istnieje kilka innych krajów, które przyjęły przepisy dotyczące prywatności danych podobne do GDPR.

Jak wspomniano wcześniej w artykule, w sumie 14 krajów trzecich posiada standardy uznane za zgodne z GDPR.

Oprócz tych wcześniej wymienionych, inne kraje, które mają podobne przepisy dotyczące prywatności danych, to Japonia, Brazylia, Urugwaj, Szwajcaria, Andora, Wyspy Owcze, Guernsey, Wyspa Man, Jersey i Argentyna.

Ponieważ temat ochrony danych cyfrowych i prywatności staje się coraz bardziej globalną i szeroko dyskutowaną kwestią, jest prawdopodobne, że wkrótce więcej krajów będzie zmuszonych do uchwalenia lub wzmocnienia podobnych praw.