Cím | Rendelete az Európai Parlament és a Tanács az egyének védelméről, tekintettel a személyes adatok feldolgozása, valamint a szabad mozgás az ilyen adatok, illetve hatályon kívül helyezéséről 95/46 irányelv / EK |
---|---|
Referencia | 2016/679 |
Nemzetközi szervezet | Európai Únió |
Az alkalmazás területe | Az Európai Unió tagállamai |
típus | Európai Uniós rendelet |
Dugaszolt | Európai uniós jog , informatikai jog |
Örökbefogadás | 2016. április 14 |
---|---|
Kihirdetés | 2016. április 27 |
Hatálybalépés | 2016. május 24 és alkalmazható 2018. május 25 |
Olvassa online
Általános adatvédelmi rendelet (az Eur-lex-en)
Az Európai Parlament és a Tanács 2016/679 / EU rendelete2016. április 27védelméről szóló egyének a személyes adatok feldolgozása, valamint a szabad mozgás az ilyen adatok, illetve hatályon kívül helyezéséről 95/46 irányelv / EK ismert , mint az általános adatvédelmi rendelet ( RGPD , sőt GDPR , az angol általános adatvédelmi Rendelet ) az Európai Unió rendelete, amely a személyes adatok védelmének referenciaszövege . Erősíti és egységesíti az egyének adatvédelmét az Európai Unión belül .
Négy év után a jogalkotási tárgyalások, ez a rendelet-én fogadta el az Európai Parlament a 2016. április 27. Rendelkezései az Európai Unió mind a 27 tagállamában közvetlenül alkalmazandók 2018. május 25.
Ez a rendelet az 1995-ben elfogadott 95/46 / EK személyes adatok védelméről szóló irányelv helyébe lép .
A GDPR fő célkitűzései mind a személyes adatok feldolgozása által érintett személyek védelmének, mind az e feldolgozásban részt vevők felhatalmazásának növelése. Ezek az elvek a felügyeleti hatóságok hatáskörének növekedése révén alkalmazhatók.
A január 2012 , a Európai Bizottság javaslatot tett egy átfogó reform a személyes adatok védelmére vonatkozó szabályok az Európai Unióban . Ennek a reformnak két eleme van:
Ennek az új rendeletnek az a célja, hogy "visszaadja az állampolgároknak a személyes adatai ellenőrzését, miközben egyszerűsíti a vállalkozások szabályozási környezetét" .
Az Európai Parlament módosította és elfogadta ezt a rendeletet 2014. március 12az 1 st olvasás. A tárgyalások az Európai Bizottság, az Európai Parlament és az Európai Unió Tanácsa küldöttségei között folytatódtak, és ezeknek a napoknak a vége2015. december 15. A rendelettervezetről az Állampolgári Jogi, Bel- és Igazságügyi Bizottság (LIBE) szavazott2015. december 17. Franciaország átültette a rendeletet a 20052018. május 14
Az európai rendeletet a 2016. május 4A Hivatalos Lapjában az Európai Unió és hatályba lép a követő huszadik napon kihirdetését.
Ez a rendelet, -tól alkalmazandó 2018. május 25, "teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban" . A Facebook-Cambridge Analytica botrány a lopás, majd a személyes adatok manipulatív elemzése és a választási célú újrafelhasználása körül az Egyesült Államokban és az Egyesült Királyságban röviddel végrehajtása előtt robbant ki. Azt is látni fogjuk cégek léte, mint a Komplett IQ (kanadai testvére társaságában Cambridge Analytica által létrehozott ugyanazon anyavállalat), amely használja a nagy adat (beleértve a személyes adatokat az illegálisan megszerzett Facebook számlák 87 millió internet-felhasználó), hogy megtévesztő és célzott választási üzenetek, amelyek megakadályozzák a választók szabad akaratának gyakorlását.
Ban ben 2020 januárAz adatvédelemről szóló törvény, amely a kaliforniai fogyasztói adatvédelmi törvény (in) ihlette, Kaliforniában lép hatályba.
A rendeletek megerősítéseket vagy változtatásokat tartalmaznak, főbb elvekkel, például:
Kulcselv és cikk | Leírás |
---|---|
A harmonizált keret | Most egyetlen adatvédelmi szabályrendszer létezik, amely közvetlenül alkalmazandó az Európai Unió minden tagállamában, enyhítve ezzel a nemzeti adatvédelmi jogszabályok jelenlegi széttagoltságát. |
Területen kívüli alkalmazás (3. cikk) | A rendelet azon jogszabályi rendelkezések részét képezi, amelyek előnyben részesítik az európai jog extraterritoriális jellegét . Az Európai Unión kívül letelepedett vállalatokra vonatkozik, amelyek az uniós szervezetek tevékenységével kapcsolatos adatokat dolgoznak fel. A nem európai vállalatokra is vonatkozik a szabályozás, amint profilozással vagy az európai rezidenseknek áruk és szolgáltatások felajánlásával megcélozzák az uniós lakosokat. |
"Kifejezett" és "pozitív" beleegyezés | A vállalatoknak és szervezeteknek nagyobb ellenőrzést kell biztosítaniuk az állampolgároknak a magánadataik felett, különösen a sütik elfogadásával a weboldalakon és az internetfelhasználók által a kapcsolattartó űrlapokban küldött adatok felhasználásának ellenőrzésével. Például már nem lehetséges, hogy az "Elfogadom a hírlevél fogadását" négyzet előzetes bejelölését az e-mailbe beírt kapcsolattartási űrlap elküldése során. |
A törléshez való jog (az elfelejtéshez való jog egyszerű változata ) (17. cikk) | Az érintettnek joga van arra, hogy az adatkezelőtől megszerezze a rá vonatkozó személyes adatok mielőbbi törlését, és az adatkezelő köteles ezeket a személyes adatokat a lehető leghamarabb törölni. 6 okból. Ez azonban nem jelenti "abszolút" jog . |
A személyes adatok hordozhatóságához való jog (20. cikk) | Az érintetteknek joguk van strukturált, általánosan használt és géppel olvasható formátumban megkapni a rájuk vonatkozó személyes adatokat strukturált, általánosan használt és géppel olvasható formátumban , és joguk van ezeket az adatokat egy másik adatkezelőnek továbbítani. Amikor az érintett az (1) bekezdés alkalmazásával gyakorolja az adatátvitelhez való jogát, jogában áll elérni, hogy a személyes adatokat közvetlenül továbbítsák az egyik adatkezelőtől a másikig, amennyiben ez technikailag lehetséges.
Ez a jog csak akkor érvényesül, ha az adatkezelés jogalapja (GDPR 6. cikk) beleegyezés vagy szerződés. |
Profilozás (22. cikk) | Mindenkinek joga van arra, hogy ne vonatkozzon olyan döntésre, amely kizárólag automatizált feldolgozáson alapul, ideértve a profilalkotást is, joghatásokat produkálva vagy rájuk hasonló módon jelentősen kihatva. Vannak azonban bizonyos kizárások, például ha a döntés szükséges az érintett és az adatkezelő közötti szerződés megkötéséhez vagy teljesítéséhez. |
A "tervezett adatvédelem és az alapértelmezett biztonság" elve (25. cikk) | Az európai rendelet meghatározza az " adatvédelem tervezése " ( angolul : Design by Design ) elvét, amely előírja a szervezetek számára, hogy vegyék figyelembe a személyes adatoknak a termékek, szolgáltatások és az operációs rendszerek személyes adatainak megtervezésével szembeni védelmével kapcsolatos követelményeket. Ezenkívül a rendelet rögzíti az "alapértelmezett biztonság" új szabályát, amely előírja, hogy minden szervezetnek biztonságos információs rendszerrel kell rendelkeznie. |
Értesítések adatsértés esetén (33. cikk) | Az érintettek veszélyeztetése esetén a vállalatok és szervezetek kötelesek a lehető leghamarabb értesíteni a nemzeti védelmi hatóságot az adatok megsértése esetén. Ha a személyes adatok megsértése valószínűleg nagy kockázatot jelent az érintettek jogainak és szabadságainak, akkor erről tájékoztatni kell őket is. |
A vállalat kötelezettsége kibertámadás esetén | A vállalatok kötelesek az illetékes hatóságnak és az érintett személyeknek bejelenteni a személyes adatok feltörését legfeljebb 72 órán belül, a 2018. május. |
Adatvédelmi tisztviselő kinevezésének lehetősége (37–1. Cikk) | Ez a megnevezés akkor kötelező, ha:
|
Az adatvédelmi tisztviselő küldetései | Az adatvédelmi tisztviselőt be kell vonni a személyes adatok védelmének minden kérdésébe. Legfőbb küldetése az előírások betartásának ellenőrzése, az adatkezelőnek történő tanácsadás az alkalmazásában, valamint kapcsolattartó pontként történő működése a felügyeleti hatósággal, válaszolni a jogaikat gyakorolni kívánó emberek kéréseire. |
Az adatvédelmi hatástanulmány (35. cikk) | Minden olyan tevékenységet, amelynek jelentős következményei lehetnek a személyes adatok védelme szempontjából, meg kell előznie egy magánéletre vonatkozó hatástanulmánynak, amelynek intézkedéseket kell tartalmaznia a személyes adatok védelmével kapcsolatos esetleges károk lehetséges következményeinek csökkentésére is. Az adatkezelő az adatkezelés előtt konzultál a felügyeleti hatósággal, amikor a 35. cikk alapján elvégzett adatvédelmi hatásvizsgálat azt mutatja, hogy az adatkezelés magas kockázatot jelentene, ha az adatkezelő nem tenné meg a kockázat csökkentését. |
Felhatalmazza a vállalatokat | A felelősség elve is megjelenik. Célja a vállalatok felhatalmazása, amelyeknek már nem kell kapcsolatba lépniük egy felügyeleti hatósággal, hogy engedélyt kérjenek a személyes adatok kezeléséhez. Cserébe bármikor képesnek kell lennie arra, hogy igazolja, hogy megfelel az előírásoknak. |
Súlyosabb büntetések (83-6. Cikk) | A rendelet felhatalmazást ad a szabályozóknak arra, hogy a társaság éves globális forgalmának legfeljebb 4% -áig vagy 20 millió euróig (amelyik nagyobb) pénzügyi szankciókat szabjon ki, ha nem tartják be őket. |
Az Európai Adatvédelmi Testület létrehozása (68. és azt követő cikkek) | Az Európai Adatvédelmi Bizottság létrehozása (a régi G29. Cikk újratestesítése), amely a rendelet értelmezésével kapcsolatos minden kérdésben hatáskörrel rendelkezik. |
Magatartási kódexek (40. cikk) és tanúsítványok (42. cikk) kidolgozása | Ösztönözni kell az e rendelet helyes alkalmazásához hozzájáruló magatartási kódexek és tanúsítványok kidolgozását. |
Mivel egy európai szabályozás , a RGPD van kötelezően és közvetlenül alkalmazandó valamennyi tagországa Európai Unió . Nem szükséges átültetni ezt a rendeletet a nemzeti jogba annak alkalmazásához. Az Európai Adatvédelmi Testületet (EDPS) azért hozták létre, hogy koordinálja az egyes európai országok nemzeti felügyeleti hatóságainak tevékenységét és biztosítsa a személyes adatok védelmét.
A rendelet azonban számos elemre hivatkozást írt elő a nemzeti szabályozásra, és egyes nemzeti rendelkezések ellentmondottak a rendelet új normáinak. Franciaország esetében ez utóbbi a GDPR-vel összhangban a nemzeti jogot a2018. június 20a személyes adatok védelmével kapcsolatban. Ennek a rendelkezésnek a célja a francia jog korszerűsítése, amely részben ellentmondott a GDPR egyes cikkeinek. Sőt, Franciaország példáját véve, ez a törvény további küldetéseket ad az Informatikai és Szabadságjogi Nemzeti Bizottságnak (CNIL), és fokozottabb hatalommal bír az adatvédelem ellenőrzésére és szankcionálására.
A szervezeteknek képesnek kell lenniük garantálni és bizonyítani a személyes adatok védelmének betartását. Útmutatásukként a Nemzeti Informatikai és Szabadságjogi Bizottság (CNIL), a francia digitális felügyeleti hatóság hat lépést javasol a fokozott felelősséggel való szembenézés érdekében:
Lépés | Részlet |
---|---|
1. lépés: Jelöljön ki adatvédelmi tisztviselőt | A vállalat által összegyűjtött személyes adatok kezeléséhez elengedhetetlen a pilóta. Ez a felelős az információért, tanácsadásért és a belső ellenőrzésért. |
2. lépés: Azonosítsa az adatfeldolgozást | A személyes adatok feldolgozására szolgáló nyilvántartás olyan dokumentáció, amely lehetővé teszi a rendelet hatásának számbavételét. |
3. lépés: Határozza meg a korrekciós intézkedéseket | A személyi jogokra és szabadságokra vonatkozó szabályok betartása érdekében meg kell határozni, hogy mely kiemelt intézkedéseket kell végrehajtani. Az elsőbbséget a kockázat szintje és a feldolgozó regiszter jóvoltából határozzák meg. |
4. lépés: Elemezze a kockázatokat | A lehető leghatékonyabban kell kezelni azokat a kockázatokat, amelyek kihatással lehetnek az adatbiztonságra. |
5. lépés: Hozzon létre belső eljárásokat | A belső eljárások folyamatosan biztosítják a személyes adatok védelmét. Itt szükséges előre látni azokat a lehetséges eseményeket, amelyek befolyásolhatják az aktuális feldolgozást. |
6. lépés: A dokumentáció karbantartása | A dokumentációt annak igazolására használják, hogy a vállalat megfelel-e az előírásoknak. A tartós adatvédelem érdekében elengedhetetlen a cselekvések és dokumentumok gyakori felülvizsgálata és kiigazítása is. |
Harvey Nash és a KPMG felmérése azt mutatja, hogy a globális vállalatok nem a GDPR betartását helyezik elsődleges prioritássá. A felmérés szerint a válaszban lévő globális vállalatok 38% -a elismeri, hogy valószínûleg nem felelnek meg a GDPR valamennyi rendelkezésének a hatálybalépésének napjáig.2018. május 25, bár két évük volt arra, hogy felkészüljenek rá. A globális vállalatok beruházásai inkább a kiberbiztonság felé irányulnak a kibertámadások fokozódása miatt . Másrészről az RGPD betartása általában bonyolítja a szakképzett személyzet hiányát a big data ( big data ) területén.
A törvény be nem tartásaÖt akadémikus tanulmánya az Egyesült Királyság 10 000 leglátogatottabb webhelyének legszélesebb körben használt beleegyezés-gyűjtő platformjairól (CMP) azt mutatja, hogy tízből kilenc nem is felel meg a jogi keret minimumkövetelményeinek (l (kifejezett hozzájárulás kötelezettsége, a sütik olyan egyszerű megtagadása, mint azok elfogadása és az előre be nem jelölt négyzetek hiánya). Ezen eszközök tervezési választása befolyásolja az internethasználók döntéseit: azáltal, hogy nem jelenít meg egy „Mindent elutasít” gombot az „Elfogadás mindennel” szinten (gyakran úgy, hogy egy második, vagy akár egy harmadik ablakra kell kattintania), a valószínűség hozzájárulásuk megszerzése így csaknem negyedével nő.
A panaszok számának növekedéseAz egyének tisztában vannak új jogaikkal, amelyek a GDPR hatálybalépését követően a panaszok számának növekedését eredményezik. A panaszok fő területe a személyes adatok feldolgozásához való hozzájárulás. A Quadrature du Net egyesület, amely a polgárok szabadságainak internetes védelméért felelős egyesület, kollektív panaszt nyújtott be a GAFAM ellen . Hasonlóképpen, az Ön vállalkozásának civil szervezete (NOYB) szintén panaszt nyújtott be a közösségi média piacán domináló játékosok ellen, mint például az Instagram és a WhatsApp.2018. május 25 annak érdekében, hogy "szabad hozzájárulás szükséges a személyes adataink áruba bocsátásának gondolatának elutasításához".
Az Európai Unió IP-címeihez nem hozzáférhető webhelyekNéhány hónappal a GDPR hatálybalépése után egyes webhelyek továbbra is szándékosan hozzáférhetetlenek az Európai Unió IP-címeihez; ezer amerikai híroldal esetében ez a helyzet, és ezek legnagyobb százának körülbelül egyharmada. A blokkolás felelőssége egyesek szerint maguk a webhelyek, mások szerint az európai előírások. Ez a helyzet a Tronc sajtócsoport angol nyelvű újságjaival ( Chicago Tribune , Los Angeles Times stb.) (Egyesült Államok) és a Journal de Montréal (Kanada) francia nyelvű oldalán .
Az első száz amerikai híroldal kétharmada hozzáférhető, és azt állítja, hogy megfelel a GDPR-nek. Egyes webhelyek, mint például a Forbes, még meghaladják azt a kötelezettséget, hogy a reklámok személyre szabása ( opt-out ) ellen választhassanak, és alapértelmezés szerint letiltják a reklámok testreszabását, ezért az olvasónak kell választania ( opt-in ) .
A GDPR be nem tartása esetén több szankció is alkalmazható a vállalatokra. Az RGPD 58. cikke felhatalmazza a CNIL-t , hogy visszatartó erejű eszközöket alkalmazzon a szabálytalanságok elleni küzdelem érdekében, hivatkozva az RGPD rendelkezéseire.
A CNIL által bevezetett szankciók fokozatosnak mondhatók, mivel azok a megfigyelt cselekmények komolyságától függenek, és ellentétesek a GDPR-vel. Ezeket a szankciókat több szakaszban állapítják meg:
Ha a vállalatok vagy magánszervezetek megsértik a rendelet új normáit, a GDPR adminisztratív és büntetőjogi szankciókat ír elő. Ezeknek a szankcióknak mindenekelőtt visszatartó céljuk van, nagyon nagy összegük miatt. A jogsértés jellegének, időtartamának és súlyosságának elemzése lehetővé teszi az alkalmazandó közigazgatási szankció minősítését.
A GDPR 83. cikke felsorolja azokat a feltételeket, amelyek lehetővé teszik a CNIL számára, hogy adminisztratív szankciókat alkalmazzon azokra a vállalatokra vagy szervezetekre, amelyek megsértették a rendelet egyik előírását. A CNIL-nek biztosítania kell, hogy a kiszabandó bírságok " hatékonyak, arányosak és visszatartó erejűek " legyenek.
Az első adminisztratív bírságok összege elérheti a 10 000 000 eurót, vagy egy vállalat esetében az előző pénzügyi év globális éves forgalmának 2 % -át. A visszatartott összeg mindig a legmagasabb szankció összegére vonatkozik. Ezt a közigazgatási bírságot akkor alkalmazzák, ha a GDPR-kötelezettségek megsértése a következő jellegű:
A GDPR be nem tartásával kapcsolatos nagyobb bűncselekmény esetén az alkalmazható adminisztratív bírság elérheti a 20 000 000 eurót, vagy egy vállalat esetében a bírság a globális üzlet 4 % -ának felel meg (a a legnagyobb összeget is megtartják). A jogsértéseknek a GDPR 83. cikkének következő rendelkezéseire kell vonatkozniuk (5. bekezdés):
Az első bírság egy portugál kórházat érint, amelyet 400 000 euró bírsággal sújtottak a betegek személyes adataihoz való hozzáférés politikája miatt. A kórház megsértené az adatok integritásának és titkosságának elvét, valamint az adatokhoz való hozzáférés korlátozásának elvét a GDPR-ben, mivel az orvosi aktákhoz való hozzáférés engedélyét több ember kapta meg, mint ahány személyzet van.
A német adatvédelmi hatóság (a baden-württembergi adatvédelmi hatóság) a Knuddels német közösségi hálózatot 20 000 euró pénzbírsággal sújtotta a felhasználói több mint 2,6 millió adat kiszivárgása miatt. A pénzbírság összegét korlátozták a közösségi hálózat átláthatósága és a közösségi hálózat biztonságának frissítésére való gyorsasága miatt.
Általánosságban elmondható, hogy európai szinten azonban megjegyezzük, hogy a fogyasztók csak nagyon korlátozott számú panaszt jelentenek az adatvédelmi hatóságoknál. Ben megjelent tanulmány2019 november becslések szerint az Európai Unió 24 országában a panaszok átlagos aránya 3/10 000. Szlovákiában a panaszok aránya csak 0,17 / 10 000, míg Írországban eléri a 8,6-ot.
A GDPR 84. cikke előírja továbbá, hogy a tagállamok büntetőjogi szankciókat vezessenek be a GDPR kiegészítése érdekében. Minden államnak addig volt2018. május 25, hogy értesítsék a Bizottságot az alkalmazandó jogi rendelkezésekről.
Franciaországban a büntető törvénykönyv 226-16. Cikke szerint az alkalmazandó büntetőjogi szankciók elérhetik a 300 000 euróig terjedő bírságot, és akár 5 évig terjedő szabadságvesztést is kiszabhatnak.
Egyéb kiegészítő szankciók alkalmazhatók a közigazgatási és büntetőjogi szankciókra, a GDPR egyik rendelkezésének megsértése esetén. Valójában a felelősök magatartása, valamint a GDPR-nek nem megfelelő adatok feldolgozása által megsérült személyeknek lehetőségük van hibáztatni a szervezetet. Ez a jogi eljárás kártérítést eredményezhet.
Ezenkívül a GDPR be nem tartása befolyásolhatja a jogsértő vállalatok vagy szervezetek imázsát és hírnevét.
Az adatvédelemre vonatkozó általános előírások végrehajtása sok vállalatban felfordulást okozott, elsősorban az adott ágazatban közvetlenül vagy közvetetten dolgozó nagyvállalatoknál . Legyen szó a GAFAM-ról , azokról a reklámszektorbeli vállalatokról, amelyek számára a személyes adatok felhasználása munkájuk elengedhetetlen része, a közszférának vagy akár a kkv-knak kell kezelniük alkalmazottaik személyes adatait. Ha az Apple-hez hasonló vállalatok szerint egyetértenek a GDPR-vel (egy kék gomb megvalósítása, amely megmutatja a felhasználót, amikor az Apple az adataikat használja, valamint a "személyes adatok törlése / a fiókom törlése" opciókat a webhelyükön online), akkor mások A Facebook tetemes pénzbírságokat kaphat a felhasználói adatok védelmének nyilvánvaló hibái miatt.
Ezenkívül bizonyos pontokban, például az azonosítóit elfelejtő felhasználó személyazonosságának ellenőrzése a szállító részéről, a szabályozás nem pontos, ami elégtelen ellenőrzést eredményez, megkönnyíti a feltörést vagy fordítva az adatigényléseket. például), mint a birtokoltak.
Más szereplők, például az EU Blockchain Observatory és a Forum, emelt bizonyos ellentétek a GDPR és blockchains , elosztott adatbázis-technológiák, amelyeket a leggyakrabban alapján több színészek. Ezek a technológiák általában azt jelentik, hogy az ezeken a csatornákon rögzített adatok utólag nem módosíthatók hamisítás és átláthatóság céljából, csak adatok hozzáadását teszik lehetővé. Első ránézésre ez ellentétes a GDPR-ben említett, az elfelejtés jogával, amely eleve előírja a személyes adatok törléséhez való jogot. Azonban olyan stratégiák, mint a titkosított adatok regisztrálása a lánc nyilvántartásába, majd a kulcs megsemmisítése, amely lehetővé teszi azok visszafejtését, reagálhatnak az elfelejtés jogára, ahogy azt az RGPD előírja, például a CNIL azt javasolta, hogy „egy ilyen stratégia legyen megoldás. Egyéb kérdések továbbra is megválaszolatlanok, például a szereplők azonosítása a GDPR szerint egy nyilvános blokklánc összefüggésében, ahol a hálózatban való részvétel nyitott és nem igényel engedélyt.
Globálisan a szerzők A GDPR-t az európai vállalatok versenyképességének elvesztéseként tekintik. Valójában ezeknek nagy összegeket kell befektetniük a személyes adatok védelmébe, miközben nincs hasonló szabályozás Az olyan országokban, mint az Egyesült Államok. Egy amerikai ügyvéd és lobbista például még a stratégiai hibának minősíti a GDPR-t, tekintve, hogy a nagy adatok , ahol az adatok tömeges felhasználása elengedhetetlenné válik az innováció szempontjából, és hogy az Európai Unió személyes adatvédelmi rendeletet vezet be annak érdekében, hogy csökkentse ezek használata.