Skip to main content

GDPR și confidențialitatea datelor

1. Ce este GDPR?

GDPR înseamnă Regulamentul general privind protecția datelor.

Acesta este un cadru juridic care protejează drepturile de confidențialitate a datelor pentru toți cei care locuiesc în Uniunea Europeană, precum și pentru persoanele din Islanda, Lichtenstein și Norvegia - țări care fac parte din piața unică a Spațiului Economic European(SEE)- și Elveția.

Notă - Legea britanică privind protecția datelor (DPA) a fost modificată în 2021 pentru a integra cerințele GDPR al UE. Astfel, deși țara nu este acoperită tehnic de GDPR post-Brexit, reglementările sale privind confidențialitatea datelor sunt foarte similare.

Un scurt istoric al GDPR

Comisia Europeană a început să planifice proiectul de lege în ianuarie 2012, în încercarea de a reforma reglementările Uniunii privind protecția datelor.

În aprilie 2016 s-a ajuns la un acord al Parlamentului European și al Consiliului, iar GDPR a intrat în vigoare în mai 2018.

GDPR ia locul Directivei UE privind protecția datelor - o lege arhaică, veche de un deceniu, ale cărei standarde minime de prelucrare a datelor protejau în mod inadecvat informațiile personale în epoca noastră digitală modernă.

În prezent, GDPR este considerată una dintre cele mai stricte legi privind confidențialitatea datelor din lume, iar impactul său din 2018 a fost izbitor - țările și substatele au folosit-o ca model pentru a-și construi propriile legi privind confidențialitatea datelor, companiile au fost lovite cu amenzi de milioane de dolari pentru nerespectarea legislației, iar marketingul online nu va mai fi niciodată la fel.

GDPR deschide accesul consumatorilor la datele cu caracter personal deținute de companii și restricționează ceea ce pot face companiile cu aceste informații.

Care sunt drepturile consumatorilor conform GDPR?

GDPR este construit în jurul protecției celor opt drepturi de bază ale persoanelor vizate, așa cum sunt prevăzute la articolele 12-23:

Pentru a înțelege mai bine jargonul, puteți consulta Glosarul nostru de termeni.

Ce consideră GDPR date cu caracter personal?

GDPR al UE se aplică numai datelor cu caracter personal, pe care le consideră a fi orice informație care se referă la o persoană identificabilă. Orice lucru care poate confirma prezența dvs. fizică undeva este, de asemenea, clasificat ca date cu caracter personal în conformitate cu GDPR - aceasta include lucruri precum înregistrările CCTV și amprentele digitale.

Ce consideră GDPR date personale sensibile?

GDPR plasează anumite tipuri de date cu caracter personal sensibile într-o "categorie specială" care trebuie tratată cu o securitate suplimentară. Acestea includ informații legate de:

  • Opinii politice
  • Rasa sau etnia
  • Religia sau convingerile filozofice
  • Sexualitatea sau viața sexuală a unei persoane
  • Apartenența la un sindicat
  • Informații genetice
  • Date biometrice - atunci când sunt prelucrate pentru a identifica o persoană

Care sunt sancțiunile pentru nerespectarea GDPR?

Cerințele GDPR sunt puse în aplicare de către autoritățile naționale de protecție a datelor din statele membre ale UE și SEE și prin dreptul privat de acțiune - cum este cazul lui Max Schrems și al grupului său de advocacy NYOB.

Acesta a stabilit un sistem de sancțiuni pe două niveluri, iar companiile care se constată că au utilizat în mod abuziv datele conform GDPR pot fi amendate fie:

  • Până la 10 milioane de euro sau 2% din veniturile anuale la nivel mondial din anul precedent - oricare dintre acestea este mai mare
  • Până la 20 de milioane de euro, sau 4% din veniturile anuale la nivel mondial - oricare dintre acestea este mai mare.

Cui nu se aplică GDPR?

GDPR al UE se aplică numai datelor cu caracter personal, pe care le consideră a fi orice informație care se referă la o persoană identificabilă.

Orice lucru care poate confirma prezența dvs. fizică undeva este, de asemeneaDin moment ce GDPR se extinde în afara sferei teritoriale a Uniunii Europene, numărul de excepții formale de la GDPR este foarte mic:

  • Companiile care descurajează în mod activ prelucrarea datelor cetățenilor UE
  • Companiile care prelucrează datele cetățenilor UE, fără a viza direct subiecții sau a le monitoriza comportamentul

Comisia Europeană afirmă că unele obligații din GDPR nu se vor aplica companiilor în cazul în care prelucrarea datelor cu caracter personal nu reprezintă o activitate comercială de bază - cum ar fi numirea unui responsabil cu protecția datelor sau clasificate ca fiind date cu caracter personal în conformitate cu GDPR - aceasta include lucruri precum înregistrările CCTV și amprentele digitale.

Excepții informale de la GDPR

Există o serie de scenarii care eliberează companiile de supravegherea GDPR.

Dacă nu vă desfășurați activitatea în UE, puteți fi scutit de GDPR dacă nu utilizați o limbă sau o monedă din UE sau nu faceți referire la consumatori din UE - acest lucru este dificil, având în vedere utilizarea unora dintre aceste limbi în întreaga lume, astfel încât intenția dumneavoastră este importantă.

De asemenea, ar trebui să vă asigurați că rezidenții UE nu se pot înregistra pentru un cont sau cumpăra ceva.

Dacă societatea dumneavoastră colectează date, este posibil să fiți scutit dacă nu prelucrați date cu caracter personal, adică orice lucru care poate fi folosit pentru a identifica o persoană. De asemenea, datele anonime nu sunt acoperite de GDPR.

Rămân câteva scenarii specifice care nu intră în sfera de aplicare a GDPR - acestea nu se aplică multor companii private și variază de la o țară UE la alta.

În general, acestea se referă la părți foarte specifice ale GDPR. S-ar putea ca anumite companii să nu fie obligate să furnizeze oamenilor datele cu caracter personal din dosar sau să nu fie nevoite să comunice anumite informații în notificarea lor privind confidențialitatea. Iată câteva exemple:

  • Aplicarea legii este exceptată de la GDPR în situații specifice
  • Jurnalismul este scutit de GDPR, dacă respectarea acestuia înseamnă suprimarea libertăților presei
  • Universitățile sunt scutite de a oferi studenților acces la lucrările de examen în situații specifice.

Care sunt principiile cheie ale GDPR?

Articolul 5 stabilește șapte principii care acționează ca un cadru general pentru a ghida gestionarea datelor cu caracter personal. Operatorii de date trebuie să respecte aceste principii și să fie capabili să demonstreze în orice moment că le respectă.

1. Legalitate, corectitudine și transparență

Legalitatea înseamnă că trebuie să aveți un motiv întemeiat pentru a colecta și prelucra date.

Corectitudinea înseamnă că nu trebuie să ascundeți niciodată în mod intenționat motivul pentru care colectați și prelucrați datele și înseamnă că nu le veți manipula sau utiliza în mod abuziv.

Transparența înseamnă că trebuie să fiți deschis, clar și onest cu persoanele vizate cu privire la cine sunteți și ce veți face cu datele cu caracter personal.

2. Limitarea scopului

GDPR prevede că datele cu caracter personal sunt "colectate în scopuri specificate, explicite și legitime".

Trebuie să stabiliți în mod clar scopul pentru care colectați date, să comunicați acest lucru utilizatorilor într-o notificare de confidențialitate și să vă asigurați că activitățile dvs. rămân în aceste limite stabilite. În caz contrar, trebuie să obțineți un consimțământ suplimentar din partea utilizatorilor, cu excepția cazului în care există un precedent juridic pentru a face acest lucru.

3. Minimizarea datelor

Aceasta înseamnă colectarea celei mai mici cantități de date necesare pentru a vă îndeplini obiectivul dvs.

4. Precizie

Aceasta înseamnă că toate datele pe care le colectați și le stocați sunt corecte. Aceasta necesită instituirea unor sisteme și audituri periodice pentru a vă asigura că datele incorecte sunt corectate, actualizate sau șterse.

5. Limitarea stocării

GDPR vă obligă să justificați pentru cât timp stocați datele cu caracter personal. Acest lucru se poate face prin stabilirea unei politici de limitare a stocării și prin anonimizarea datelor odată ce perioada de timp stabilită s-a încheiat.

6. Integritate și confidențialitate (securitate)

Acest lucru înseamnă că sunteți obligat să păstrați datele cu caracter personal în condiții de siguranță împotriva riscurilor interne și externe și să le protejați împotriva prelucrării neautorizate, precum și împotriva pierderii sau deteriorării accidentale.

7. Responsabilitate (Accountability)

Companiile trebuie să dispună de procese, proceduri și documentație adecvate pentru a dovedi respectarea principiilor de prelucrare a datelor, iar autoritățile de supraveghere au puterea de a solicita în orice moment dovezi în acest sens.

Înțelegerea conformității cu GDPR

GDPR a stabilit un nou standard pentru protecția datelor cetățenilor și rezidenților din UE și reprezintă o provocare pentru companii, care riscă amenzi uriașe în caz de neconformitate.

GDPR subliniază anumite obligații pe care organizațiile trebuie să le respecte, ceea ce limitează modul în care pot fi utilizate datele cu caracter personal.

De asemenea, definește opt drepturi ale persoanelor vizate, care garantează drepturi specifice pentru datele personale ale unei persoane, oferindu-le în cele din urmă persoanelor mai multă autonomie în ceea ce privește informațiile lor personale și modul în care acestea sunt utilizate.

Dar respectarea cerințelor GDPR nu este suficientă și poate vă întrebați, ce este conformitatea GDPR?

Companiile trebuie, de asemenea, să poată demonstra, la cerere, că dispun de politici și proceduri pentru a se asigura că fluxul de date este securizat în fiecare punct al parcursului clientului.

Conformitatea necesită un audit complet al bazei de date, introducerea unor sisteme de consimțământ opt-in și stabilirea bazei juridice pentru datele colectate.

De asemenea, companiile vor trebui să analizeze consimțământul pentru cookie-uri, formularea standard a politicii de confidențialitate, notificările de confidențialitate și activitățile terților.

Acestea vor trebui să efectueze evaluări ale riscurilor, să securizeze datele și să se pregătească pentru încălcări.

Tot ceea ce are legătură cu datele trebuie să fie documentat în permanență și cu exactitate - toate acestea pentru a se asigura că drepturile utilizatorilor UE privind datele sunt respectate în permanență.

Conformitatea cu GDPR trebuie privită ca o oportunitate. Confidențialitatea este de mult timp o preocupare cheie pentru consumatori, iar aderarea la reglementări mai stricte privind datele va consolida încrederea consumatorilor.

2. CCPA și alte standarde de confidențialitate a datelor

Pe măsură ce activitățile sociale și economice continuă să migreze online, la fel și importanța confidențialității și a protecției datelor continuă să crească.

Țări din întreaga lume iau măsuri pentru a-și reforma legislația privind colectarea, utilizarea și partajarea datelor cu caracter personal fără consimțământul explicit al consumatorilor - o resursă care este acum mai valoroasă decât aurul(Economist).

Ce este Legea privind protecția vieții private a consumatorilor din California (CCPA)

California Consumer Privacy Act(CCPA) este o lege privind confidențialitatea datelor la nivel de stat. Introdusă în 2020, aceasta reglementează gestionarea informațiilor personale ale rezidenților din California.

Se aplică doar companiilor comerciale.

Un scurt istoric al CCPA

Legea privind confidențialitatea consumatorilor din California și-a început viața ca o propunere de vot a unui grup de confidențialitate numit Californians for Consumer Privacy. Limbajul oficial al inițiativei a fost aprobat de Departamentul de Justiție la 18 decembrie 2017, permițând grupului de confidențialitate să înceapă să strângă semnături.

CCPA a fost adoptată în legislativul statului și semnată de guvernatorul statului Brown la 28 iunie 2018. Cinci amendamente au fost apoi adoptate și semnate de guvernatorul de stat Newsom la 11 octombrie 2019. CCPA a intrat în vigoare la 1 ianuarie 2020 și a necesitat retragerea inițiativei 17-0039 a Legii privind dreptul consumatorilor la confidențialitate.

Este prima lege de acest gen din SUA, iar alte state vor fi foarte atente la implicațiile practice pe măsură ce își vor crea propriile legi privind confidențialitatea.

Aceasta va fi înlocuită de legea mai extinsă California Privacy Rights Act (CPRA) în 2023.

În timp ce o lege federală privind confidențialitatea datelor pentru SUA rămâne în continuare inaccesibilă, respectarea legii californiene privind confidențialitatea consumatorilor (CCPA) este încă o provocare. Doar 11% dintre companii respectă pe deplin standardele regulamentului, potrivit unui studiu realizat de Cytrio. Raportul se bazează pe un studiu realizat pe 5.175 de companii americane cu venituri cuprinse între 25 de milioane de dolari și peste 5 miliarde de dolari pe o perioadă de șase luni.

Legea începe prin a enumera cele cinci drepturi pe care a fost concepută pentru a le proteja, deci acesta este un bun punct de plecare:

  1. Dreptul californienilor de a ști ce informații personale sunt colectate despre ei.
  2. dreptul californienilor de a ști dacă informațiile lor personale sunt vândute sau divulgate și cui sunt divulgate
  3. dreptul californienilor de a refuza vânzarea de informații personale.
  4. dreptul californienilor de a avea acces la informațiile lor personale
  5. dreptul californienilor de a beneficia de servicii și prețuri egale, chiar dacă își exercită dreptul la confidențialitate.

Sancțiuni în cazul nerespectării prevederilor CCPA

Această lege a introdus amenzi potențial paralizante pentru utilizarea abuzivă a datelor.

Ea a conferit procurorului general al Californiei puterea de a amenda companiile cu până la 2.500 de dolari pentru fiecare încălcare - cu o majorare la 7.500 de dolari în cazul în care există o intenție clară.

Companiile care suferă o încălcare a securității datelor riscă, de asemenea, un proces colectiv și plata a până la 750 de dolari pentru fiecare consumator afectat.

Cu toate acestea, legea oferă companiilor 30 de zile pentru a rectifica orice utilizare abuzivă a datelor, dacă este cazul.

CCPA vs. GDPR

CCPA a fost adesea numită "GDPR-ul american".

Este considerată una dintre cele mai stricte legi de acest gen din SUA și reflectă GDPR în ceea ce privește protecția datelor pe care o oferă rezidenților din California.

La fel ca GDPR, CCPA include dreptul la transparență, solicitând companiilor să informeze consumatorii cu privire la ce date sunt colectate și cum sunt partajate. De asemenea, le oferă consumatorilor dreptul de a accesa, șterge și de a renunța la orice activitate legată de date, la cerere.

CCPA prevede unele dintre cele opt drepturi ale persoanelor vizate de GDPR, dar este de fapt mai mult construită în jurul sublinierii a două drepturi suplimentare - acestea sunt implicite în GDPR, dar nu sunt recunoscute ca drepturi propriu-zise:

Dreptul californienilor de a spune nu vânzării de informații personale (sau "opt-out") Dreptul californienilor la servicii și prețuri egale, chiar dacă își exercită dreptul la confidențialitate (sau dreptul de a nu suferi represalii).

Mai jos este prezentată o comparație alăturată a celor două legi.

GDPR

CCPA

Jurisdicția de drept

Orice entitate care prelucrează date cu caracter personal cu:

  • O unitate în UE
  • Oferirea de bunuri și servicii în UE
  • Monitorizează comportamentul utilizatorilor în UE
 
Se aplică

tuturor entităților cu scop lucrativ care își desfășoară activitatea în California și care desfășoară oricare dintre următoarele activități, anual

:
  • Realizează venituri brute de peste 25 de milioane de dolari
  • Gestionează datele cu caracter personal a peste 50.000 de consumatori, gospodării sau dispozitive
  • Obține peste 50% din venituri din vânzarea de informații personale ale consumatorilor
 

Aplicarea legii

 
  1. Autoritățile naționale de protecție a datelor
  2. Drept de acțiune privată
 
 
  1. Procurorul general al Californiei
  2. Drept de acțiune privată pentru încălcări care trebuie raportate în temeiul CCPA
 

Valoarea amenzilor

GDPR are un sistem de sancțiuni pe două niveluri, iar autoritățile naționale de protecție a datelor sunt împuternicite să amendeze companiile fie

:
  • Până la 10 milioane de euro sau 2% din veniturile anuale la nivel mondial din anul precedent, luându-se în considerare valoarea cea mai mare.
  • Până la 20 de milioane de euro sau 4% din veniturile anuale la nivel mondial - oricare dintre acestea este mai mare
 

Procurorul general al Californiei este împuternicit să amendeze companiile:

  • Până la 2.500 de dolari pentru fiecare încălcare - cu o majorare la 7.500 de dolari în cazul în care utilizarea abuzivă a datelor a fost în mod clar intenționată
  • Până la 750 de dolari pentru fiecare consumator afectat de încălcarea datelor prin procese colective

Companiilor li se acordă o perioadă de rectificare de 30 de zile, dacă este cazul

.

Obligațiile responsabilului cu protecția datelor

Da

Nu

Domeniul de aplicare al informațiilor vizate

Date cu caracter personal legate de o persoană - inclusiv date de identificare a dispozitivului.

Date cu caracter personal "care pot fi asociate" cu un consumator sau o gospodărie.

Acoperă angajații

Da

?

Se face distincție între persoanele împuternicite de operatori și operatori

Da, cu obligații clar definite pentru fiecare dintre ei.

Face distincție între întreprinderi și furnizori de servicii, dar diferențele de obligații sunt slab definite.

Restricții suplimentare privind datele sensibile

Da

Nu

Respectă dreptul de acces

Da

Da

Respectă dreptul la ștergere

Da

Da

Respectă dreptul la rectificare

Da

Nu

Respectă dreptul la portabilitate

Da

Da, dar numai în mod implicit în legătură cu dreptul de acces al consumatorilor la informațiile cu caracter personal.

Respectă dreptul la restricționarea prelucrării

Da

Nu

Respectă dreptul de a fi notificat

Da

Solicită ca întreprinderile să notifice consumatorii "la sau înainte de momentul colectării" cu privire la tipul de informații personale colectate și la scopul pentru care vor fi utilizate.

Respectă dreptul la opoziție

Da

Consumatorii au dreptul "de a refuza vânzarea de informații personale".

Respectă dreptul de a refuza luarea automată a deciziilor

Da

Nu

Fără represalii (dreptul de a nu fi discriminat)

Da

Da

Interpretarea consimțământului

Consimțământul trebuie să fie dat în mod liber, specific, informat, lipsit de ambiguitate și retractabil (de obicei, prin intermediul unui opt-in).

Consimțământul este necesar pentru vânzarea de informații personale. Anumite acțiuni necesită un consimțământ explicit de tip "opt-in", cum ar fi vânzarea de date despre copii.

Obligă la dezvăluirea politicii de confidențialitate

Da

Da

Necesită un nou link pe pagina de pornire

Nu

Necesită un link pe pagina de pornire care să menționeze "Nu-mi vindeți informațiile personale".

Obligațiile de păstrare a datelor

Da

Nu

Restricții privind crearea de profiluri

Da

Nu

Restricții privind transferurile internaționale de date

Da

Nu

Oferă considerații speciale pentru copii

Da

Da

Obligațiile privind securitatea datelor

Da

Da

Obligațiile de raportare a încălcărilor de date

Da

Da

Contracte cu furnizorii de servicii

Da

Nu este obligatoriu, dar este benefic

Obligații de "confidențialitate prin concepție

Da

Nu

 

Ce alte standarde de confidențialitate există?

 

GDPR a inspirat o gamă largă de legislații naționale care oferă niveluri similare - deși nu identice - de protecție a datelor.

Mai jos este o listă a țărilor care, în opinia Comisiei Europene, au legi adecvate pentru protecția datelor în conformitate cu GDPR:

Argentina Legea privind protecția datelor cu caracter personal nr. 25.326, protecții constituționale 2001

Bahrain Personal Data Protection Law 2019 Persoanele fizice riscă o potențială pedeapsă cu închisoarea de un an pentru transferul ilegal de date cu caracter personal în afara țării.

Brazilia Legea generală privind protecția datelor LGPD 2020

Canada Legea privind protecția informațiilor personale și a documentelor electronice (PIPEDA) 2000

Israel Regulamentul privind securitatea datelor 2017

Japonia Legea privind protecția informațiilor personale (APPI) 2020

Kenya Legea privind protecția datelor 2019

Legea privind protecția datelor din Mauritius 2017

Legea privind protecția vieții private din Noua Zeelandă 2020

Regulamentul privind protecția datelor din Nigeria 2019

Paraguay Legea nr. 6534/20 privind protecția datelor personale de credit 2020

Legea nr. 13 din Qatar 2016

Africa de Sud Legea privind protecția datelor cu caracter personal (POPI) 2020 La fel ca o serie de regulamente africane privind protecția datelor, POPI se distinge de GDPR prin faptul că se aplică numai companiilor sud-africane care prelucrează date în interiorul țării și este mai puțin strictă în ceea ce privește consimțământul pentru datele care nu sunt de "categorie specială".

Coreea de Sud Legea privind protecția informațiilor personale (PIPA) 2011, 2020 Considerată una dintre cele mai stricte legi privind confidențialitatea datelor din lume.

Thailanda Legea privind protecția datelor cu caracter personal 2021

Turcia Legea privind protecția datelor cu caracter personal nr. 6698 2016

Regatul Unit Data Protection Act (2018) Legea privind protecția datelor (2018) Legea a fost modificată din 2021 pentru a integra cerințele din GDPR al UE.

Legea privind protecția datelor și a vieții private din Uganda (2019)

Uruguay Legea privind protecția datelor cu caracter personal și acțiunea Habeas Data 2008

Dacă doriți să găsiți o lege care nu a fost menționată aici, găsiți lista completă pe portalul de informații privind confidențialitatea dateloral UNCAD.

3. Ultimele știri despre GDPR

În ultima vreme, GDPR este în mod constant subiect de știri.

În această secțiune, veți găsi cele mai recente știri GDPR de astăzi. Acestea acoperă aplicarea GDPR, încălcări ale datelor și actualizări ale politicilor de protecție a datelor - atât în Europa, cât și în întreaga lume:

Derulați în josul paginii sau faceți clic pe linkurile de mai sus pentru a trece la o secțiune.

Cele mai importante articole despre GDPR

Franța - cea mai recentă APD care a declarat Google Analytics ca fiind ilegală

Februarie, 2022 - Autoritatea pentru protecția datelor din Franța a decis că Google Analytics încalcă articolul 44 din GDPR, care interzice transferul de date cu caracter personal în afara UE/SEE, cu excepția cazului în care țara destinatară poate asigura o protecție adecvată a datelor.

Această decizie vine imediat după ce autoritatea austriacă de protecție a datelor a luat o hotărâre similară privind Google Analytics în acțiunea privată introdusă în instanță de Max Schrems.

Aflați mai multe în știrea completă

IAP Europe a fost amendată cu 250.000 de euro de către DPA pentru încălcări ale GDPR

20 februarie 2022 - Autoritatea pentru protecția datelor din Belgia a amendat asociația europeană de marketing și publicitate digitală cu 250.000 de euro pentru încălcarea Cadrului de transparență și consimțământ (TCF).

Decizia de a sancționa IAB Europe și de a limita utilizarea TCF, împreună cu cerința de a șterge toate datele actuale, va avea un impact asupra editorilor, agenților de publicitate, companiilor de tehnologie și marilor companii de tehnologie, precum Google și Amazon.

Aflați mai multe în știrea completă

CJUE anulează Scutul de confidențialitate UE-SUA

Iulie 2020 - Curtea de Justiție a Uniunii Europene(CJUE) a decis săptămâna aceasta că societățile nu pot stoca în SUA datele de trafic de pe site-urile web ale cetățenilor UE.

Această decizie istorică a pus capăt efectiv acordului bilateral dintre UE și SUA privind schimbul de date și are implicații pe scară largă pentru multe companii - inclusiv pentru cei mai mari jucători din industria tehnologică.

Aflați mai multe în știrea completă.

Arhiva de știri GDPR

Știri privind aplicarea GDPR

Cele mai mari sancțiuni financiare de până acum

Data

DPA

Amendă

Companie

Motiv

1

Iulie 2021

Luxemburg

746 milioane EUR

Amazon

Politică de consimțământ privind cookie-urile necorespunzătoare.

2

Septembrie 2021

Irlanda

225 milioane de euro

Whatsapp

Prelucrarea datelor prost explicată în notificarea privind confidențialitatea.

3

ianuarie 2022

Franța

90 de milioane de euro

Google Irlanda

Proceduri inadecvate de consimțământ privind cookie-urile pe YouTube.

4

Decembrie 2021

Franța

60 de milioane de euro

Facebook

Proceduri inadecvate de consimțământ privind cookie-urile.

5

ianuarie 2022

Franța

60 de milioane de euro

Google LLC

Proceduri inadecvate de consimțământ privind cookie-urile pe YouTube.

6

Iunie 2020

Franța

50 de milioane de euro

Google

Notificare inadecvată privind confidențialitatea.

7

Octombrie 2020

Germania

35 milioane de euro

H&M

Monitorizarea angajaților fără consimțământ

8

Februarie 2020

Italia

27,8 milioane EUR

TIM

Diverse acțiuni ilegale, majoritatea legate de contacte nesolicitate.

9

Octombrie 2020

REGATUL UNIT

22 milioane de euro

British Airways

Încălcarea securității datelor care a afectat 400 000 de clienți.

10

octombrie 2020

MAREA BRITANIE

20,4 milioane de euro

Marriott

Încălcarea datelor în baza de date a rezervărilor clienților.

Actualizări privind alte politici de protecție a datelor

Noi legi privind confidențialitatea

20 februarie 2022 - Legiuitorii californieni elaborează un nou proiect de lege pentru a proteja datele personale online ale copiilor. Aceasta vine în continuarea reglementărilor adoptate recent în Marea Britanie privind codul copiilor.

Decembrie 2021 - Zimbabwe intră în vigoare prima sa lege privind protecția vieții private - Legea nr. 05/2021 privind protecția datelor.

Decembrie 2021 - Consiliul de Miniștri al Iordaniei a aprobat proiectul de lege privind protecția datelor cu caracter personal din 2021, prezentându-l Camerei Reprezentanților din regat.

Octombrie 2021 - Rwanda a introdus în legislație prima sa lege privind protecția datelor, Legea nr. 058/2021.

Octombrie 2021 - A intrat în vigoare un amendament la legile privind protecția datelor din Hong Kong, care incriminează doxxing-ul.

Septembrie 2021 - Comisia pentru protecția datelor cu caracter personal din Singapore își publică orientările revizuite privind confidențialitatea.

August 2021 - Comisia pentru protecția datelor cu caracter personal din Japonia a publicat orientări pentru modificările din 2020 la legea sa privind protecția datelor cu caracter personal (APPI), clarificând aspecte neclare ale legii care nu erau clare anterior.

Septembrie 2021 - Legea privind securitatea datelor din China intră în vigoare.

August 2021 - Capul Verde își modifică Legea privind protecția datelor din 2001, apropiindu-se mai mult de GDPR în ceea ce privește o serie de aspecte esențiale privind confidențialitatea.

Iunie 2021 - Comisia Europeană lansează discuții în vederea adoptării unei "decizii de adecvare" pentru transferul de date cu caracter personal către Coreea de Sud. Aceasta înseamnă că este mulțumită de faptul că legislația sud-coreeană privind confidențialitatea datelor îndeplinește cerințele GDPR.

Aprilie 2021 - Burkina Faso promulgă Legea privind protecția datelor, înlocuind legislația învechită din 2004.

Martie 2021 - Zambia a promulgat legea privind protecția datelor, devenind a 31-a țară africană care adoptă o legislație privind protecția datelor. Reglementări și îndrumări

Decembrie 2021 - Autoritatea pentru protecția datelor din Senegal a publicat reglementări legate de perioadele de păstrare a datelor pentru diferite clasificări de date, care variază între șase luni și 10 ani.

Decembrie 2021 - Kenya a publicat Regulamentul privind protecția datelor care completează Legea privind protecția datelor din 2019. Acesta înăsprește legile naționale de confidențialitate cu privire la o serie de aspecte care ar fi recognoscibile pentru oricine care a urmărit GDPR.

Iunie 2021 - Africa de Sud a publicat notele orientative POPIA privind prelucrarea informațiilor personale speciale și a informațiilor personale ale copiilor. Aceasta a urmat instrucțiunilor din martie și aprilie privind cererile de autorizare prealabilă și, respectiv, scutirile pentru prelucrarea ilegală a informațiilor personale.

Martie 2021 - Uganda a adoptat Regulamentul privind protecția datelor și a vieții private - acesta completează Legea privind protecția datelor și a vieții private și oferă detalii suplimentare cu privire la aspecte care includ autoritatea sa de protecție a datelor, obligațiile de gestionare a datelor și drepturile persoanelor vizate.

4. Implicațiile GDPR asupra agenților de marketing digital

GDPR este o obligație uriașă pentru comercianți.

Marketingul digital constă în utilizarea site-urilor web, a motoarelor de căutare, a e-mailurilor și a rețelelor sociale pentru a stimula angajamentul consumatorilor față de compania dvs. și pentru a crește veniturile.

Cum afectează GDPR marketingul?

GDPR și marketingul merg mână în mână, legea introducând destul de multe cerințe esențiale pentru marketeri.

Consimțământul privind datele

Consimțământul este o componentă importantă a cerințelor GDPR. În practică, este vorba despre a avea opt-in-uri în tot ecosistemul dvs. de marketing.

Trebuie să solicitați în mod activ permisiunea explicită din partea utilizatorilor pentru colectarea și utilizarea datelor lor personale. Opt-in-urile pre-bifate sunt de domeniul trecutului, deoarece, pentru a fi în conformitate cu GDPR, consimțământul trebuie să fie o alegere deliberată.

Accesul la date

GDPR a oferit rezidenților UE un control mai mare asupra modului în care sunt colectate și utilizate datele lor personale - inclusiv posibilitatea de a le accesa, transfera sau elimina.

Este responsabilitatea dvs. în calitate de agent de marketing să vă asigurați că respectați aceste dorințe și că dispuneți de sisteme pentru a accesa rapid aceste solicitări.

Accentul pe date

GDPR vă cere să aveți o justificare legală pentru orice date cu caracter personal colectate.

Tot ceea ce înseamnă că trebuie să colectați doar datele de care aveți nevoie pentru a oferi clientului dvs. un produs sau un serviciu de calitate.

De ce să vă conformați cu GDPR?

Dincolo de implicațiile amenzilor GDPR, conformitatea cu GDPR aduce o serie de beneficii pentru agenții de marketing:

  • Creează o strategie de marketing sustenabilă
  • Crește încrederea cu clienții și clienții
  • Optimizează acuratețea, organizarea și securitatea datelor
  • Îmbunătățește opțiunile martech disponibile
  • Îmbunătățește relațiile cu DPO, C-Suite și alte departamente
  • Oferă liniștea de a conduce afacerile într-un mod etic

Cum să vă conformați cu GDPR?

GDPR și site-ul dvs. web

Informațiile culese din cookie-urile de pe site-urile web au fost mult timp un instrument util pentru comercianți în era digitală, permițându-le să personalizeze acțiunile de informare pe baza analizei comportamentale care urmărește utilizatorii pe internet.

Cu toate acestea, GDPR necesită consimțământul pentru colectarea de cookie-uri - un consimțământ care este clar, specific și lipsit de ambiguitate.

De asemenea, utilizatorii trebuie să aibă posibilitatea de a-și retrage consimțământul în orice moment.

GDPR și CRM-ul dvs.

Agenții de marketing trebuie să ia în considerare modul în care colectează, procesează și gestionează datele. În ceea ce privește CRM-ul, trebuie să vă uitați la:

  • Tipul de date: companiile pot colecta și stoca doar datele pe care le pot justifica din punct de vedere legal pentru a oferi consumatorilor produsul sau serviciul lor
  • Stocarea și transferul datelor: companiile ar trebui să cripteze datele personale pentru a le proteja de riscul unui acces neautorizat sau al unei încălcări a datelor
  • Prelucrarea datelor: companiile ar trebui să prelucreze datele cu caracter personal într-un mod care să împiedice utilizarea acestora pentru a identifica persoanele vizate.
  • Accesul la date: companiile trebuie să își auditeze sistemele și procesele pentru a vedea cine are acces la diferite tipuri de date din dosar.

GDPR și marketingul dvs. prin e-mail

Conformitatea GDPR pentru marketingul prin e-mail înseamnă prevenirea comunicărilor nedorite sau a spam-ului - consumatorii trebuie să fi optat pentru a intra în campanii de e-mail prelungite.

Companiile trebuie să solicite consimțământul explicit al consumatorilor pentru modul în care vor fi utilizate datele lor personale înainte de a trimite orice e-mail. Acest lucru include atunci când companiile achiziționează liste de e-mail de la terți.

GDPR și software-ul dvs.

Companiile care dezvoltă software trebuie să se asigure că cerințele GDPR de "confidențialitate prin implicare și proiectare" sunt integrate de la început.

Ceea ce înseamnă că măsurile de confidențialitate a datelor sunt incluse în software încă din primele etape de dezvoltare.

5. Care sunt implicațiile GDPR asupra stivei dumneavoastră de tehnologie de marketing?

În esența sa, GDPR are ca scop principal protejarea datelor personale ale cetățenilor UE și controlul asupra persoanelor cu care o companie poate împărtăși aceste informații.

Marketingul digital și tehnologia aferentă sunt alimentate de aceste date cu caracter personal.

Astfel, GDPR consideră că furnizorii fiecăreia dintre aceste platforme din stiva dvs. - precum și alte părți terțe care pot accesa datele dvs. personale - sunt "procesatori de date".

Deoarece compania dvs. rămâne "controlorul de date" în conformitate cu terminologia GDPR, acest lucru înseamnă că, în cele din urmă, sunteți responsabil pentru ceea ce fac aceste platforme cu datele dvs. Trebuie să fiți sigur de calitatea acestor date, de modul în care sunt colectate și de modul în care acestea circulă prin ecosistemul dvs. martech.

Soluții software conforme cu GDPR

Pentru specialiștii în marketing, soluțiile software se referă la instrumentele care le permit să facă marketing într-un mod mai inteligent - astfel încât să își atingă mai bine obiectivele digitale.

Este o industrie uriașă, piața globală de tehnologie de marketing fiind estimată la 344,8 miliarde de dolari în 2021 (MarTech Alliance).

Creșterea Martech a fost izbitoare, iar peisajul s-a schimbat dramatic între 2011 și 2020.

Cifrele de la Martech Alliance arată că numărul furnizorilor a crescut vertiginos de la 150 la 8.000 în această perioadă - ceea ce reprezintă o creștere de 5.233%, ilustrând importanța acestei tehnologii pentru companiile de astăzi.

De ce este important Martech?

Se întâmplă frecvent ca diferitele departamente dintr-o companie să funcționeze în silozuri, cu procese de colaborare suboptime.

Atunci când este utilizată în mod corespunzător, Martech poate elimina aceste silozuri și poate aduce departamentele mai aproape unul de celălalt - permițându-le să lucreze mai eficient în vederea atingerii unor obiective comune, oferind în același timp o experiență mai bună clienților.

Printre alte beneficii ale Martech se numără:

  • O mai bună creare de conținut: îmbunătățirea înțelegerii de către un marketer a eficienței livrării conținutului, permițându-i să înțeleagă performanța, să optimizeze experiența și să livreze conținut personalizat
  • Eficiență îmbunătățită: automatizarea sarcinilor repetitive și care necesită mult timp, permițând angajaților să se concentreze pe alte lucruri
  • O mai bună direcționare a consumatorilor: creați strategii care sunt adaptate individual pentru fiecare client în parte, ceea ce duce la relații mai puternice cu clienții, la o mai mare încredere și la afaceri repetate.

Probleme legate de adoptare

În timp ce tehnologia este în continuă schimbare, organizațiile pot rămâne oarecum inflexibile. Martech poate permite companiilor să țină pasul cu așteptările tot mai mari ale clienților, dar acestea trebuie să utilizeze soluțiile în mod eficient.

Ce categorii de MarTech există?

Gama de opțiuni martech este mai largă ca niciodată.

Deși există în mod evident unele suprapuneri, opțiunile martech se încadrează în mare parte în următoarele șase categorii:

1. Publicitate

Integrarea diferitelor platforme de publicitate și promovare utilizate pentru anunțuri plătite și eficientizarea următoarelor domenii:

2. Performanța conținutului

Îmbunătățiți-vă crearea de conținut, automatizarea și alte procese. Exemplele includ:

  • Optimizarea motoarelor de căutare (SEO)
  • Sisteme de gestionare a conținutului (CMS)
  • Managementul activelor digitale (DAM)

3. Date și analize

Simplificați colectarea și analiza datelor; optimizați site-ul web, îmbunătățiți UX-ul produsului etc. Exemplele includ:

  • Platforme de date despre clienți (CDP)
  • Platforme de gestionare a datelor (DMP)
  • Analiză a site-urilor web
  • Analiză predictivă

4. Management

Utilizate pentru îmbunătățirea colaborării manageriale, a comunicării și a realizării proiectelor. Exemplele includ:

  • Bugetare și finanțe
  • Comunicare
  • Managementul proiectelor
  • Recrutare
  • Urmărirea timpului

5. Vânzări

Permiteți echipelor dvs. de marketing și de vânzări să colaboreze mai bine, să automatizezeze procesele și să execute managementul vânzărilor și al clienților la scară largă.

Astfel de instrumente pot, de fapt, să conecteze mai multe departamente - dincolo de marketing și vânzări, până la asistență pentru clienți, succes și finanțe, de asemenea. Exemplele includ:

  • Gestionarea relațiilor cu clienții (CRM)

6. Social Media

Această categorie de tehnologie de marketing include:

Ce este o stivă de marketing?

Pe scurt, stiva de marketing este o colecție de diverse tehnologii pe care le utilizează departamentul dumneavoastră.

Ca instrumente individuale, acestea vor oferi, de obicei, doar o muncă cu beneficii limitate - dar, dacă reușiți să îmbinați cu succes datele (între instrumente și departamente) și să automatizați procesele, acestea pot fi fundamentele unei strategii de succes.

Prin dezvoltarea unei stive tehnologice de marketing, departamentele de marketing pot vizualiza modul în care diferitele lor platforme și sisteme funcționează împreună, cu scopul de a integra totul pentru o experiență îmbunătățită a utilizatorilor interni și externi.

Cum puteți asigura conformitatea cu GDPR cu ajutorul martech?

 

  • Angajați un responsabil cu prelucrarea datelor
  • Compilați un raport privind martech-ul utilizat de compania dvs. pentru a identifica orice "procesatori de date"
  • Cereți ca fiecare platformă martech să furnizeze documentația privind conformitatea cu GDPR
  • Decideți ce martech să păstrați și pe care să îl înlocuiți
  • Dați prioritate calității în detrimentul cantității atunci când vine vorba de datele personale ale clienților
  • Fiți deschis în legătură cu ceea ce faceți cu datele personale
  • Semnați un acord de procesare a datelor cu procesatorii dvs. de date

În lumea modernă, ar fi aproape imposibil pentru companii să se dezvolte în ritmul dorit fără o stivă integrată de Martech.

Atunci când sunt utilizate corect, aceste instrumente optimizează ceea ce se poate realiza cu datele personale din dosar. Dar este absolut esențial să vă asigurați că fiecare platformă și fiecare proces sunt conforme cu GDPR.

6. Viitorul GDPR

GDPR a fost adus în lume pe un val de optimism cu privire la viitorul protecției datelor de consum.

Cu toate acestea, deși rămâne unul dintre cele mai stricte cadre de confidențialitate a datelor din lume, potențialul său deplin nu a fost încă realizat.

Acest articol trece în revistă confidențialitatea consumatorilor, GDPR și efectele sale asupra viitorului marketingului. Acesta analizează succesele și dificultățile legii, înainte de a trece în revistă ce rezervă viitorul pentru legile privind confidențialitatea și pentru companiile care se află la mila lor,

Aspectele pozitive de până acum

GDPR a crescut, fără îndoială, seriozitatea cu care companiile tratează datele personale, iar viteza cu care companiile au îmbunătățit practicile de securitate a fost destul de surprinzătoare.

Chiar înainte de amenda masivă de 746 de milioane de euro dată companiei Amazon, directorii consiliilor de administrație ale companiilor trebuie să fi fost prea conștienți de riscul pe care GDPR îl reprezenta pentru ei; aceasta a stimulat investiții uriașe în politici și sisteme de confidențialitate și a creat o cultură a confidențialității datelor prin concepție și responsabilitate.

Se estimează că vor trebui cheltuite 9 miliarde de dolari pentru ca economia globală să devină conformă cu GDPR(Forbes) - adică 9 miliarde de dolari care sunt investiți în protejarea informațiilor personale ale persoanelor care locuiesc în Uniunea Europeană.

Așadar, în timp ce conformitatea cu GDPR a fost o durere de cap nesfârșită pentru companii, este o veste excelentă pentru utilizatorii de internet din Europa.

Și, având în vedere că salariile medii ale profesioniștilor în domeniul confidențialității au crescut cu peste 6.000 de dolari în doar doi ani, GDPR a fost o veste destul de bună și pentru ei.

Succes pentru Bruxelles

Introducerea GDPR este, de asemenea, un real succes pentru UE, făcând din Europa poliția mondială a datelor și un factor de stabilire a standardelor pentru legislația internațională privind confidențialitatea datelor.

Companiile multinaționale salută, de asemenea, caracterul practic de a se baza pe un cadru unic de confidențialitate pentru conformitate în toate statele membre ale UE - deși acest lucru a funcționat mai bine în teorie decât în practică.

Catalizarea reformei globale a confidențialității datelor

Un curent ascendent ridică toate corăbiile, iar legiuitorii din peste 120 de țări se inspiră din GDPR atunci când elaborează propria legislație pentru sectorul tehnologic - această mișcare globală către drepturi mai puternice ale consumatorilor fiind o dovadă în plus a ambiției GDPR.

America de Nord

În SUA, doar trei state au în prezent legi privind confidențialitatea similare cu GDPR - acestea fiind Colorado, Virginia și Connecticut. Dar acest număr va crește în curând, peste 30 de state fiind în curs de elaborare a unor proiecte de lege.

Privind în perspectivă, aceasta ar putea fi toată presiunea de care guvernul SUA are nevoie pentru a intensifica eforturile de a introduce o lege federală proprie, iar un înlocuitor al defunctului acord UE-SUA privind protecția vieții private ar fi trebuit de mult timp să apară.

SUA se pot inspira din legislația națională canadiană privind protecția vieții private, PIPEDA fiind recunoscută de Comisia Europeană ca îndeplinind multe dintre cerințele GDPR, în ciuda - în principal - a unei înțelegeri diferite a consimțământului ca bază legală pentru prelucrarea datelor.

Africa

Africa este în urma pionierilor occidentali. Uniunea Africană a depus un efort pentru a cataliza o legislație similară cu GDPR pe întregul continent, iar jumătate dintre cele 54 de țări de pe continent au introdus propriile legi privind confidențialitatea datelor.

Africa de Sud a adoptat în sfârșit Legea privind protecția informațiilor personale (POPI) după cinci ani de muncă.

Dar, deși multe dintre acestea împărtășesc principiile-cheie ale GDPR, continentul în ansamblu nu dispune de mecanisme de aplicare, iar disparitățile mai largi reprezintă o provocare pentru organizațiile multinaționale care își desfășoară activitatea pe acest continent.

De asemenea, nu există fonduri suficiente pentru formarea funcționarilor publici pe tema confidențialității datelor, în timp ce dependența continentului de cibernetici în locul dispozitivelor personale îngreunează controlul utilizării abuzive a datelor cu caracter personal.

Totuși, în general, legislația privind confidențialitatea datelor din Africa s-a dezvoltat substanțial în ultimii 3 ani, iar tendința generală este pozitivă.

America de Sud

Legislația continentului privind confidențialitatea datelor datează de mai mult timp decât cea din SUA, iar ritmul reformelor din ultimii ani a fost remarcabil.

Dar, deși America Latină și-a modelat de mult timp legile privind confidențialitatea pe baza precedentelor europene pentru a facilita afacerile, lipsa unui cadru general pentru continent reprezintă o provocare pentru organizațiile multinaționale.

În cadrul unui acord cu MERCOSUR, transferul de date către UE depinde de introducerea de către națiunile membre din America Latină a unei legislații asemănătoare GDPR, dar numai câteva țări - Argentina. Paraguay, Uruguay și Brazilia - au făcut pașii necesari până în prezent.

Asia

Asia și-a înăsprit, de asemenea, legile privind confidențialitatea datelor, iar mai multe țări din regiune au actualizat legislația pentru a o alinia mai mult la modelul european.

China domină regiunea și a introdus propria lege privind protecția informațiilor personale (PIPL).

Reglementările japoneze și sud-coreene respectă standardele GDPR pentru confidențialitatea datelor, iar tendința generală este pozitivă. Cu toate acestea, următorii câțiva ani vor fi o perioadă de testare pentru cadrul de confidențialitate a datelor din regiune, pe măsură ce încălcările de date continuă să crească, iar autoritățile de reglementare se luptă cu aplicarea legii.

Creșterea puterii cetățenilor privați

Legea a oferit, de asemenea, o platformă pentru ca cetățenii privați să conteste companiile în instanță.

Max Schrems este cel mai faimos exemplu în acest sens, dar acum există mult mai multe persoane care folosesc drepturile private de acțiune și procesele colective pentru a aduce companiile în prim-planul instanțelor.

Aplicarea legii este în creștere

La fel ca toate legile noi, GDPR a avut probleme de început și a avut dificultăți în a se adapta.

Potrivit unui studiu realizat de DLA Piper, cel puțin câteva dintre statele membre ale UE devin mai dispuse să se confrunte cu marile companii de tehnologie, iar amenzile GDPR au crescut cu 700% în 2021 - această tendință urmând să continue și în 2022.

De asemenea, numărul de notificări de încălcare a securității datelor primite de autoritățile de protecție a datelor a crescut constant, an de an, de când GDPR a intrat în scenă, în 2018.

Amenzile GDPR au fost, de asemenea, scânteia pentru schimbări pozitive.

După ce a fost lovită de o amendă de 35,3 milioane de euro în octombrie 2020, H&M a reacționat prin introducerea unei serii de noi măsuri pentru a proteja datele personale ale consumatorilor.

Acestea au inclus numirea unui nou coordonator pentru protecția datelor, precum și crearea unei strategii de protecție a datelor pe termen lung.

H&M lucrează, de asemenea, la rambursarea compensațiilor către angajații care au fost afectați.

Dificultățile de până acum

În ciuda acestor succese, rămân încă provocări.

Lipsa de armonizare la nivel internațional

Deși GDPR este aproape complet implementat în întreaga UE, gradul de integrare variază de la o țară la alta.

De asemenea, autoritățile de supraveghere variază în ceea ce privește modul în care interpretează GDPR, iar punerea în aplicare poate intra în conflict cu diferite legi locale din fiecare stat.

De asemenea, în prezent, se înregistrează o evoluție lentă a investigațiilor transfrontaliere.

Această lipsă de armonie în materie de confidențialitate a datelor între statele membre ale UE, care rezultă din aceasta, reprezintă o adevărată frustrare pentru profesioniștii din domeniul confidențialității. De asemenea, aceasta îngreunează elaborarea de orientări standardizate.

Natura confuză a conformității

Faptul că incertitudinea planează încă asupra comunității de afaceri în ceea ce privește conformitatea nu prezintă GDPR într-o lumină bună.

Formularea legii este extrem de ambiguă și multe companii sunt reticente în a cheltui sume uriașe de bani pentru a-și reproiecta sistemele de date de la zero, dacă nu pot fi sigure că vor scăpa de amenzi pentru utilizarea abuzivă a datelor.

Companiile au fost, de asemenea, puse pe jar de definiția prea largă a GDPR a ceea ce reprezintă o încălcare a datelor cu caracter personal.

Notificarea în 72 de ore a încălcării a creat, de asemenea, probleme pentru companii, ceea ce a dus la inundarea APD cu notificări inutile, deoarece companiile s-au grăbit înainte de a înțelege pe deplin ce se întâmplă.

Rezistența din partea Big Tech

Multe multinaționale din domeniul tehnologiei rămân încă la modele de afaceri bazate pe venituri din colectarea de date.

Această abordare întâmpină rezistență din partea unui lobby foarte puternic din domeniul tehnologiei, iar încălcările GDPR rămân un element de bază al știrilor zilnice. Conflictul în acest război al datelor foarte public a inclus:

Eforturile de punere în aplicare rămân în urma solicitărilor

Optimismul inițial din jurul acestui proiect de lege a fost încet-încet înlocuit de frustrarea față de ritmul lent de aplicare.

Numărul de încălcări ale confidențialității depășește ceea ce pot aplica autoritățile de reglementare, iar foarte multe dintre acestea rămân nerezolvate.

În 2021, autoritățile de reglementare GDPR au fost notificate cu privire la peste 130.000 de încălcări ale datelor cu caracter personal(DLA Piper).

APD-urile sunt suprasolicitate. Între mai 2018 și martie 2020, autoritățile de protecție a datelor au dat doar 231 de amenzi și sancțiuni - o picătură în ocean pe lângă cele 144 376 de plângeri depuse în această perioadă.

De asemenea, acestea sunt subfinanțate. Un studiu realizat de browserul web, Brave, a concluzionat că autoritățile de reglementare nu au primit finanțarea necesară pentru a aplica în mod eficient GDPR.

Prin urmare, autoritățile de protecție a datelor sunt reticente în a lua la întrebări marile companii din cauza bugetelor juridice uriașe de care dispun Facebook și Google, de exemplu.

În mod crucial, numărul de angajați din domeniul protecției datelor care lucrează în UE abia a crescut din 2019 - din nou din cauza lipsei de finanțare.


Irlanda și regula ghișeului unic

Biroul DPC din Irlanda este subfinanțat de peste două decenii, iar volumul de muncă este mare. În prezent, acesta are deschise investigații privind cel puțin 17 mari firme multinaționale.

Acest lucru se datorează faptului că GDPR are o regulă a "ghișeului unic", care spune că firmele ar trebui să fie urmărite penal în orice stat membru în care aleg să își stabilească sediul central.

Irlanda este destinația numărul 1 pentru companiile de tehnologie din SUA - ceea ce înseamnă că DPC irlandez conduce investigații asupra unora dintre cele mai bogate și mai puternice firme din Silicon Valley, în numele întregii Europe.


Restrângerea creșterii economice și a inovării

Conflictele dintre inovare și protecția drepturilor individuale și GDPR par să împiedice serios capacitatea UE de a dezvolta noi tehnologii.

Cunoașterea multor tehnologii importante pentru viitor era deja larg răspândită în momentul elaborării GDPR, dar reglementările fac aproape imposibilă dezvoltarea sau chiar utilizarea acestora.

Acest lucru vine într-un moment în care continentul are nevoie disperată de soluții digitale și nu există nicio îndrumare practică cu privire la modul în care GDPR poate acomoda noile tehnologii în viitor.

Inteligența artificială (AI)

Aceasta este constrânsă de cerințele stricte ale GDPR de a obține consimțământul atunci când prelucrează date, ceea ce plasează firmele din UE într-un dezavantaj competitiv alături de concurenții nord-americani și asiatici.

Blockchain

Blockchain este o bază de date digitală de informații (cum ar fi înregistrările tranzacțiilor financiare) care poate fi utilizată și partajată în cadrul unei rețele descentralizate, accesibile publicului.

Această tehnologie este văzută ca un instrument puternic pentru creșterea securității datelor și poate fi aplicată la orice, de la schimbul securizat de date medicale și mecanisme de vot la piețe NFT și plăți transfrontaliere.

O caracteristică esențială a tehnologiei blockchain este faptul că datele personale intrinseci nu pot fi modificate fără consimțământul tuturor celor implicați.

Astfel, în ciuda faptului că blockchain are potențialul de a îndeplini obiectivele GDPR - cum ar fi fluxul securizat de date și informații - legea prevede că consumatorii pot solicita ștergerea informațiilor personale, ceea ce face ca cele două să fie incompatibile în prezent.

Sănătate

Cerințele GDPR privind minimizarea datelor, limitarea scopului și transferul de date pseudonimizate în afara UE îngreunează schimbul de date de sănătate.

De asemenea, a acționat ca un control puternic asupra gestionării sănătății în timpul pandemiei COVID, deoarece a restricționat utilizarea datelor de urmărire și schimbul de date între autoritățile locale de sănătate.

Guvernare electronică

În ultimul deceniu, măsurile de guvernare electronică au avut un impact profund asupra calității furnizării de servicii publice către cetățeni, deși problemele legate de confidențialitate și securitate - esențiale pentru GDPR - fac să se piardă din avânt.

Cum se va schimba GDPR în viitor?

Ușurința de conformare

Comisia Europeană dorește să faciliteze respectarea reglementărilor GDPR de către companiile mai mici.

Acest lucru ar însemna să le ofere îndrumări, sprijin și instrumente suplimentare - cum ar fi clauzele contractuale standard, pe care companiile le pot lipi pur și simplu în propriile contracte cu clienții.

Ușurința de exercitare a drepturilor GDPR

Acest lucru include considerarea portabilității datelor dincolo de serviciile bancare și de telecomunicații.

Procese private

Dreptul de acțiune privată și procesele colective sunt căi clare pentru a avansa modul în care cetățenii UE își pot exercita drepturile în temeiul GDPR.

Se anticipează că astfel de procese private vor deveni tot mai frecvente, iar aceste hotărâri vor avea un impact puternic asupra modului în care GDPR va fi interpretat în anii următori.

Mai degrabă proactiv decât reactiv

În general, punerea în aplicare a GDPR în primii trei ani de aplicare a legii a fost reactivă - un rezultat fie al notificărilor de încălcare a datelor, fie al plângerilor persoanelor vizate.

Cu toate acestea, autoritățile de protecție a datelor devin acum mult mai proactive, vizând companiile înainte de a fi depuse probleme de neconformitate.

Se anticipează că acest grad de sofisticare în aplicarea GDPR va crește doar în anii următori.

Eficacitatea autorităților de protecție a datelor

Există un impuls pentru a îmbunătăți modul în care funcționează APD-urile, în special având în vedere modul în care cazul împotriva Whatsapp a ilustrat natura alambicată a mecanismelor de aplicare a GDPR.

Îmbunătățirea eficacității include o mai bună colaborare între autoritățile de protecție a datelor din statele membre, discuțiile continuând cu privire la modul în care acestea pot colabora mai bine pentru a pune în aplicare GDPR. Există, de asemenea, sprijin pentru o abordare mai centralizată a punerii în aplicare.

Această armonizare include coerența regională și adaptarea resurselor la numărul tot mai mare de solicitări.

Ce le rezervă viitorul companiilor?

Legislația viitoare pe care trebuie să o urmăriți

Regulamentul UE privind confidențialitatea în mediul electronic

Acesta va înlocui Directiva ePrivacy, introducând noi norme privind comunicațiile electronice. Un proiect de propunere văzut în aprilie 2021 a inclus reglementări pentru inteligența artificială care erau în concordanță cu GDPR.

Înlocuirea scutului de confidențialitate

Scutul de confidențialitate a permis companiilor americane să prelucreze datele cetățenilor UE, atât timp cât acestea adoptau standardele de confidențialitate mai ridicate ale GDPR. Cu toate acestea, legislația americană însemna că guvernul SUA putea în continuare să monitorizeze aceste date.

După ce Max Schrems a contestat acest conflict juridic, Scutul de confidențialitate a fost anulat. Ar fi în interesul tuturor să se convină asupra unui înlocuitor,

O lege în evoluție

Având în vedere impactul său seismic asupra legislației globale privind confidențialitatea, nu este de mirare că GDPR are nevoie de timp pentru a se adapta.

Cu toate acestea, de la introducerea sa în 2018, acesta a consolidat fără îndoială atât măsurile de securitate, cât și protecția consumatorilor.

De asemenea, s-au învățat multe despre domeniile în care GDPR a avut succes și în care pot fi aduse îmbunătățiri în viitor.

Fără îndoială, îmbunătățirile aduse de alte țări legislației privind confidențialitatea datelor vor influența, de asemenea, reglementarea și aplicarea acesteia în Europa.

7. Analiză a vizitatorilor - date web care respectă confidențialitatea, în conformitate cu GDPR

Ce face ca Analizele pentru vizitatori să aibă prioritate în ceea ce privește confidențialitatea?

Pentru noi, confidențialitatea datelor este un principiu incontestabil.

Nu vindem date și nu le transmitem unor terțe părți.

Datele sunt agregate și anonimizate și sunt utilizate doar pentru a oferi proprietarului site-ului web statisticile și informațiile necesare pentru îmbunătățirea performanței site-ului. Aceste detalii nu pot fi urmărite până la nicio persoană.

Ce legi privind protecția datelor și confidențialitatea respectăm?

Încă de la prima versiune a aplicației noastre, prioritatea noastră a fost întotdeauna protecția și confidențialitatea datelor pe care clienții noștri ni le încredințează. De aceea, ne concentrăm să fim la curent cu toate legile privind confidențialitatea datelor și să ne asigurăm că suntem în conformitate cu fiecare dintre ele: BDSG, CCPA, CPA, DPA, ePrivacy, GDPR, LGPD, PECR, PIPEDA, PIPL, PDP, POPI, VCDPA și TTDSG.

Ce date web prelucrăm?

Tipurile și cantitățile de date cu caracter personal pe care le prelucrăm sunt limitate la cele menționate în contractul cu clientul. Nu le împărtășim cu terțe părți. Prelucrăm numai datele cu caracter personal așa cum sunt descrise în Politica noastră de confidențialitate.

De ce și cum prelucrăm datele web?

La Visitor Analytics, suntem conștienți de încrederea pe care clienții noștri o acordă produsului și echipei noastre, precum și de responsabilitatea noastră de a vă păstra datele și confidențialitatea în siguranță.

Prin urmare, suntem transparenți în ceea ce privește informațiile pe care le colectăm atunci când utilizați produsele și serviciile noastre, de ce le colectăm și cum le folosim pentru a vă îmbunătăți serviciul!

Termenii noștri de utilizare și Acordul de prelucrare a datelor descriu modul în care tratăm datele cu caracter personal în legătură cu utilizarea aplicației noastre și cum avem grijă de acestea.

Cine are acces la datele web?

Toate datele pe care le colectăm pentru clienții noștri sunt informații confidențiale.

Controalele de acces ale angajaților Visitor Analytics protejează datele clienților împotriva accesului neautorizat, iar noi folosim un script special pentru a accesa datele proprietarului unui site web (atât datele contului, cât și datele vizitatorilor lor) și efectuăm audituri pentru a ne asigura că sunt aplicate controalele.

Ce este ISO 27001?

Suntem mândri că suntem certificați ISO 27001.

ISO 27001 este un standard recunoscut la nivel internațional care asigură că aplicația noastră respectă cele mai bune practici pentru un sistem de management al securității informațiilor.

Acestea ajută organizația noastră să gestioneze securitatea activelor, cum ar fi informațiile financiare, proprietatea intelectuală, detaliile angajaților sau informațiile care ne sunt încredințate de către terți - cum ar fi site-uri web și alți clienți sau parteneri.

Cum îi ajutăm pe clienți să gestioneze confidențialitatea datelor lor web?

Utilizând abordarea inovatoare a Visitor Analytics pentru urmărirea fără consimțământ, companiile nu mai au nevoie de cookie-uri sau de bannere de consimțământ.

Aplicația face acest lucru cu ajutorul unui Centru de confidențialitate, unde utilizatorii pot alege dintre patru moduri diferite de confidențialitate:

  1. Confidențialitate implicită
  2. Confidențialitate de bază
  3. Urmărire fără cookie-uri
  4. Protecție completă

Ce este modul de confidențialitate implicit?

Aceasta este setarea implicită de confidențialitate atunci când configurați aplicația pentru prima dată. Utilizând acest mod, nimic nu este anonimizat. Veți putea accesa următoarele tipuri de date: Adresă IP, Istoricul paginilor, Vizitatori care revin, Locația aproximativă a vizitatorilor și Rezoluția ecranului. Nu sunt utilizate cookie-uri, dar folosim amprenta digitală. Este necesar un banner de consimțământ pe site.

Ce este modul de confidențialitate de bază?

În acest mod, adresele IP sunt anonimizate. Veți putea accesa următoarele tipuri de date: Istoricul paginilor, Vizitatorii care revin, Locația aproximativă a vizitatorilor și Rezoluția ecranului. Nu se utilizează cookie-uri, dar folosim amprenta digitală. Este necesar un banner de consimțământ pe site.

Ce este modul de urmărire Cookieless?

În acest mod, adresele IP sunt anonimizate. Nu veți mai putea accesa istoricul paginilor, dar puteți accesa în continuare date despre vizitatorii care revin, locația aproximativă a vizitatorilor și rezoluția ecranului. Nu se utilizează cookie-uri, dar folosim amprenta digitală. Nu mai este necesar un banner de consimțământ, deoarece nu se stochează date.

Începând cu modul Cookieless Tracking, companiile pot începe să acceseze mai multe date, în mod legal și etic, fără a pierde niciun banner de respingere a consimțământului pentru cookie-uri.

Această abordare utilizează amprente digitale care pot fi recunoscute ulterior.

Spre deosebire de cookie-uri, amprentele digitale nu sunt stocate pe dispozitivul unui utilizator și, prin urmare, nu pot furniza date despre ceea ce face vizitatorul în afara sesiunilor pe site-ul respectiv. Acest lucru face imposibilă urmărirea încrucișată.

Unele date anonime sunt stocate, dar numai în cadrul mediului de analiză și într-o formă agregată, ceea ce face imposibilă asocierea lor cu obiceiurile și istoricul unei anumite persoane.

Ce este modul de protecție completă?

Utilizând acest mod, adresele IP sunt anonimizate, istoricul paginilor nu este afișat, vizitatorii care revin sunt doar ghicite, iar rezoluțiile ecranului sunt aproximative. Veți putea în continuare să accesați locația aproximativă a vizitatorilor. Acesta este modul nostru cel mai sigur, deoarece nu sunt stocate cookie-uri, amprente sau alte date. Acest lucru înseamnă că nu este necesar un banner de cookie-uri.

Utilizând Protecția completă, nu sunt generate sau stocate date de urmărire sau cookie-uri, iar detaliile dispozitivului unui utilizator nu sunt niciodată accesate.

Nu există nicio amprentă digitală. Nu se stochează date personale. Nu se utilizează niciun cookie. Doar un ID unic.

Așadar, nu este nevoie de consimțământ - un lucru mai puțin de care trebuie să vă faceți griji atunci când gestionați un site web.

Acest lucru înseamnă, de asemenea, că 100% din datele statistice și analitice etice sunt disponibile pentru ca utilizatorii să se bazeze pe ele atunci când iau decizii de îmbunătățire a site-ului web.

Întrebări frecvente

Înregistrarea sesiunilor și datele din heatmap sunt considerate date cu caracter personal?

Aceste date nu sunt considerate informații cu caracter personal atâta timp cât nu sunt legate de o anumită adresă IP. Prin utilizarea modului de urmărire fără gătit și a modului de protecție completă, IP-urile sunt anonimizate.

Cum funcționează amprentarea digitală?

Spre deosebire de cookie-uri (care sunt setate de servicii în memoria browserului utilizatorului), amprenta digitală este deja setată pentru fiecare browser, ca un fel de identificator al agentului utilizatorului (numele browserului, versiunea, rezoluția ecranului etc.).

Care este diferența dintre amprenta digitală și identificarea unică?

Amprenta digitală nu se schimbă des, în timp ce ID-ul unic este un ID diferit generat de noi, sub forma unui hash pe server pentru fiecare sesiune.

Unde sunt stocate datele de amprentare digitală? Cât timp sunt stocate? Ce se întâmplă cu aceste date?

Amprenta digitală NU este stocată nicăieri în browser. De obicei, nu se schimbă, cu excepția cazului în care există o actualizare a versiunii browserului sau o dezinstalare și reinstalare. Ea este întotdeauna calculată din mers.

În ce mod este legală colectarea datelor fără a utiliza cookie-uri sau bannere de consimțământ?

GDPR și alte legi privind confidențialitatea sunt foarte specifice atunci când vine vorba de date care pot crea un profil individual aproximativ. Prin faptul că nu stocăm niciun fel de date și nu folosim adrese IP, tipare de activitate, cum ar fi istoricul paginilor, sau locații exacte sau setări ale dispozitivelor, nu există nicio modalitate de a identifica un profil individual.