סיכום המאמר: GDPR בארצות הברית? החקיקה החדשה של המדינה מקרבת זאת למציאות

המאמר דן בהשפעת הרגולציה הכללית להגנת המידע של האיחוד האירופי (GDPR) על חוקי הפרטיות והנהלים בארצות הברית. למרות שארה”ב לא סובלת מחוק פרטיות נתונים מקיף, ההשפעה של ה- GDPR כבר נראית. מחוקקים ממלכתיים לקחו יוזמה להעביר תקנות הגנת נתונים משלהם, כמו חוק הגנת הצרכן בקליפורניה. חברות טכנולוגיה גדולות קוראות גם לחוק הפרטיות של ארה”ב. עם זאת, ככל הנראה כל גרסה של ה- GDPR שעובר את הקונגרס. המאמר טוען שלמרות שלכללים להגנת נתונים בסגנון אירופאי יש מעלות, הם לא יספיקו, ויש צורך בגישה רחבה יותר. ארה”ב צריכה לפעול בקרוב כדי ליישם חוקי פרטיות מקיפים שיהיו להם השלכות גלובליות.

נקודות מפתח:

1. ארה”ב לא עברה חוק פרטיות נתונים מקיף.
2. ה- GDPR כבר הופך את חוק הפרטיות האמריקני והפרקטיקה.
3. מדינות החלו להעביר תקנות הגנת נתונים משלהן שהושפעו מה- GDPR.
4. חברות טכנולוגיה גדולות קוראות כעת לחוק הפרטיות של ארה”ב.
5. גרסה אמריקאית של GDPR עשויה להיות מושקית משמעותית.
6. כללי הגנת המידע צריכים לקחת בחשבון את ההשפעה על הסביבה, הדמוקרטיה, טווחי הקשב ובריאות הרגשית.
7. הקונגרס יכול גם לטפל בסמכויות המונופול של חברות טכנולוגיה גדולות.
8. ארה”ב צריכה ליישם בקרוב חוקי פרטיות מקיפים.
9. לחוקי פרטיות מקיפים בארה”ב יהיו השלכות גלובליות על פרטיות הנתונים.
10. וירג’יניה העבירה את חוק הגנת המידע לצרכן משלה לאחר מסגרת ה- CCPA.

שאלות ותשובות:

1. מהי תקנת הגנת המידע הכללית (GDPR)?

תקנת הגנת המידע הכללית (GDPR) היא חוק הגנת נתונים שנקבע על ידי האיחוד האירופי בשנת 2018. זה קובע חוקים ורשויות להגן על הנתונים האישיים של אנשים באיחוד האירופי.

2. האם ה- GDPR חל רק על ארגונים שבסיסה באיחוד האירופי?

לא, ה- GDPR חל על כל ארגון שמחזיק נתונים של אזרחי האיחוד האירופי וכל אחד באזור הסחר החופשי באזור הכלכלי האירופי (EEA), ללא קשר למטה שלהם.

3. מה המצב הנוכחי של חוקי פרטיות הנתונים בארה”ב?

לארה”ב אין חוק פרטיות נתונים מקיף. עם זאת, ישנן יוזמות ברמה הממלכתית להעביר תקנות הגנת נתונים שהושפעו מה- GDPR.

4. כיצד ה- GDPR משפיע על חוקי הפרטיות בארה”ב?

ה- GDPR כבר השפיע על חוק הפרטיות האמריקני ועל הפרקטיקה. מדינות החלו להעביר תקנות להגנת נתונים משלהן, וחברות טכנולוגיה גדולות קוראות לחוק הפרטיות של ארה”ב.

5. מהם ההבדלים העיקריים בין ה- GDPR האירופי והציעו חוקי פרטיות בארה”ב?

בעוד שה- GDPR והציעו לחוקי הפרטיות של ארה”ב חולקים את יעדי השקיפות והחשבון, גרסה אמריקאית של GDPR עשויה להיות מושקית באופן משמעותי. ניתן לשלב את המודל הקיים של הודעה ובחירה בארה”ב בכל חוק פרטיות ארה”ב.

6. מהן המגבלות של כללי הגנת המידע כמו ה- GDPR?

כללי הגנת המידע יכולים להיות קצרי ראייה ולא מצליחים להתייחס להשפעה של עיבוד נתונים על הסביבה, הדמוקרטיה, מרחיבי הקשב ובריאות רגשית.

7. אילו אפשרויות אלטרנטיביות יש לקונגרס לגבי פרטיות נתונים?

הקונגרס יכול לבחון קשה יותר את מעצמות המונופול של חברות הטכנולוגיה הגדולות ועל הבדלי הכוח בין חברות אלה ללקוחותיהן. עם זאת, לא סביר ליישם חזון רחב יותר של רווחת אנוש באמצעות חוק פרטיות.

8. כמה דחוף הצורך בחוקי פרטיות מקיפים בארצות הברית?

ארה”ב לא יכולה לחכות לנצח כדי ליישם חוקי פרטיות מקיפים. לחוקים אלה יהיו השלכות על פרטיות הנתונים ברחבי העולם.

9. מהו חוק הגנת המידע לצרכן (CDPA) בווירג’יניה?

ה- CDPA הוא חוק פרטיות צרכנים מקיף שנחקק בווירג’יניה. זה עוקב מקרוב אחר מסגרת ה- CCPA וייכנס לתוקף ב -1 בינואר 2023.

10. שמדינות הציעו חוקי פרטיות בעקבות מסגרת ה- CCPA?

וושינגטון וניו יורק הציעו חוקי פרטיות המשקפים את ה- CCPA.

11. מהן הדרישות לעסקים לעמוד ב- CDPA בווירג’יניה?

עסקים השולטים או מעבדים מידע אישי של לפחות 100,000 צרכנים, או שולטים או מעבדים את הנתונים של לפחות 25,000 תושבי וירג’יניה שמפיקים 50% או יותר מההכנסות הגולמיות שלהם ממכירת נתונים אישיים, חייבים לעמוד ב- CDPA.

12. כיצד מורגשת ההשפעה של ה- GDPR בארצות הברית?

ההשפעה של ה- GDPR בארצות הברית כבר ניכרת באמצעות חקיקת תקנות הגנת נתונים ברמת המדינה וההשפעה על נוהלי הפרטיות של חברות טכנולוגיה גדולות.

13. מה התפקיד של חברות טכנולוגיה גדולות בעיצוב חוקי הפרטיות בארה”ב?

חברות טכנולוגיה גדולות קוראות כעת לחוק הפרטיות של ארה”ב. כולם שומרים על כך. השפעתם מפעילה לחץ על הקונגרס לבחור בחקיקת פרטיות.

14. במה שונה ארה”ב מאירופה בכל הנוגע ליישום הגנה על נתונים בסגנון GDPR?

ארה”ב שונה מדי מאירופה ליישום אפקטיבי ולאכוף הגנה על נתונים בסגנון GDPR. ככל הנראה כל גרסה אמריקאית של GDPR תושקע ונראה יותר כמו מודל ההודעה והבחירה הקיימת בארה”ב.

15. כיצד ישפיעו על חוקי פרטיות מקיפים בארה”ב להשפיע על פרטיות הנתונים ברחבי העולם?

לחוקי פרטיות מקיפים המיושמים בארה”ב יהיו השלכות על פרטיות הנתונים ברחבי העולם. ארה”ב היא שחקנית מרכזית בשוק העולמי, וחוקי הפרטיות שלה ישפיעו על פרקטיקות ותקנות ברחבי העולם.

GDPR בארצות הברית? החקיקה החדשה של המדינה מקרבת זאת למציאות

התקנה הכללית להגנת המידע (הידועה גם בשם GDPR) של האיחוד האירופי היא חוק הגנת נתונים שנכנס לתוקף בשנת 2018. היא קובעת מערך יחיד של כללים ורשויות כדי להגן על הנתונים האישיים של כל האנשים באיחוד האירופי. ה- GDPR חל על כל ארגון שמחזיק נתונים של אזרחי האיחוד האירופי וכל מי שנמצא באזור הסחר החופשי האירופי (EEA), לא רק אלה שבסיסה באיחוד האירופי.

מדוע קסם ה- GDPR של אירופה לעולם לא יעבוד בארה”ב

האינטרנט היה איתנו במשך רבע מאה, אך ארה”ב עדיין לא העבירה חוק המחייב את חברותיה לעמוד בהגנות משמעותיות של פרטיות נתונים. זה חשוב מכיוון שרוב העולם המערבי’חברות הטכנולוגיה הגדולות הן אמריקאיות. בשנת 2020, אמריקה’הצעת חוק פרטיות תושב סוף סוף.

במאי 2018 האיחוד האירופי’S רגולציה כללית להגנת נתונים (GDPR) נכנסה לתוקף, והיא כבר הופכת את חוק הפרטיות האמריקאית לפרטיות. GDPR הוא מערך תקנות מקיף, והדרישות הנרחבות שלה הופכות לנורמה בשוק העולמי. בפועל, אם אתה רוצה לעשות עסקים בינלאומיים בנתונים אישיים, אתה צריך לעקוב לפחות אחר רוח ה- GDPR, אפילו בארה”ב.

מחוקקים ממלכתיים לקחו יוזמה וקראו לקונגרס’יד על פרטיות, גם אם הקונגרס לא’T עדכון את גישתו לפרטיות מזה שנים. בהשפעת ה- GDPR, המדינות החלו להעביר תקנות הגנת נתונים משלהן, כמו חוק הגנת הצרכן החדש בקליפורניה. ועכשיו, לאחר שנים של התנגדות לרגולציה, חברות טכנולוגיה גדולות החלו לקרוא לחוק הפרטיות של ארה”ב. כולם עמדות על ידי. הקונגרס מוצא את עצמו כעת מכוסה בין המומנטום מלמטה למעלה מהמדינות, והשפעה לצדדים מהאיחוד האירופי. בשנת 2020 זה ייאלץ לעשות בחירה.

ואילו ה- GDPR וארה”ב קובע’ ההצעות שונות זו מזו בדרכים חשובות, כל אחת פחות או יותר דורשת שקיפות ואחריות מחברות ובקרה עבור נבדקים. אבל כל גרסה של ה- GDPR שעשוי לעבור את הקונגרס עשויה להיות מושקית באופן משמעותי, ותיראה יותר כמו מודל ההודעה האמריקני הקיים (קריאת מדיניות הפרטיות) ובחירה (ביטול הסכמת פייסבוק וגוגל).

לכללי הגנת הנתונים בסגנון אירופה יש מעלות בלתי ניתנות להכחשה, אך הם ניצחו’לא ייהיה מספיק. ה- GDPR מניח שעיבוד נתונים הוא תמיד מטרה ראויה, אך אפילו נתונים מעובדים הוגנים יכולים להוביל לדיכוי והתעללות. כללי הגנת הנתונים יכולים להיות גם קצרים ראייה מכיוון שהם מתעלמים מהתעשייה’התיאבון לנתונים הורס את הסביבה שלנו, הדמוקרטיה שלנו, תשומת הלב שלנו ובריאותנו הרגשית. גם אם הספיקה להגנה על נתונים בסגנון GDPR, ארה”ב שונה מדי מאירופה כדי ליישם ולאכוף מסגרת כזו ביעילות במונחים אלה. כל גרסה אמריקאית של GDPR תהיה, בפועל, להיות משהו של GDPR-lite.

ויסות הגנת נתונים אינו האפשרות היחידה, אולם עם זאת. הקונגרס יכול במקום זאת לבחון קשה יותר את חברות הטכנולוגיה הגדולות’ כוחות מונופול, למשל. זה יכול להסתכל על הבדלי הכוח העצומים בין חברות אלה ללקוחותיהן. וזה יכול להשתמש בחוק פרטיות כדי לנסח חזון רחב יותר של רווחת האדם המגיבה באופן יזום לאתגרי עידן המידע – אם כי באופן מציאותי אפשרות אחרונה זו לא תגיע בסופו של דבר לספרי החוקים.

עם זאת, מה שבטוח הוא שארה”ב יכולה’לא לחכות לנצח. השנה יושמו חוקי פרטיות מקיפים בארה”ב. ולצורה שהם לוקחים יהיו השלכות על פרטיות הנתונים ברחבי העולם.

וודרו הרצוג פרופסור למשפטים ומדעי המחשב באוניברסיטת צפון -מזרח. ניל ריצ’רדס הוא פרופסור למשפטים ומנהל מכון קורדל באוניברסיטת וושינגטון ב- ST. לואיס, סנט לואיס

GDPR בארצות הברית? החקיקה החדשה של המדינה מקרבת זאת למציאות

האיחוד האירופי’S רגולציה כללית להגנת נתונים (“GDPR”) ידוע בשם חוק הפרטיות והביטחון הקשה ביותר בעולם, מכיוון שיש לו טווח הגעה רחב ומטיל קנסות כבדים כנגד אלה שמפרים את תקני הפרטיות והביטחון שלה (שהם די רחבים). ההשפעה של ה- GDPR כבר הורגשה בארצות הברית מאז שנכנסה לתוקף בשנת 2018, ועכשיו u.ג. מחוקקים במדינות רבות עוברים לחוקק חקיקות דומות. חוק הגנת הצרכן בקליפורניה (“CCPA”) היה המופע הראשון של ה- GDPR’ההשפעה של ארצות הברית, כפי שקליפורניה הציבה חוק ותקנות ששיקפו את TheGDPR בכמה הבחינות. כעת וירג’יניה קבעה את מה שיכול להיות מחרוזת מדינות של שנה המבקשת חקיקה דומה. בפרט, וושינגטון וניו יורק הציעו חקיקה בעקבות מסגרת ה- CCPA. מאמר זה ישווה את ה- CCPA לחוקי הפרטיות החדשים שנחקקו ומוצעים בארצות הברית.

מעשי פרטיות שנחקקו לאחרונה והציעו:

חוק וירג’יניה שנחקק לאחרונה

ב- 2 במרץ 2021, וירג’יניה העבירה את חוק הגנת המידע לצרכן שלה (“CDPA”), חוק פרטיות נתוני הצרכן השני בארצות הברית. ה- CDPA ייכנס לתוקף ב -1 בינואר 2023. ה- CDPA חל על אנשים או גורמים המנהלים עסקים בווירג’יניה או מייצרים מוצרים או שירותים המוצעים לתושבי וירג’יניה וזה “שליטה או תהליך” מידע אישי. החוק חל על עסקים כי (1) שליטה או מעבדים מידע אישי של לפחות 100,000 צרכנים, או (2) לשלוט או מעבדים את הנתונים של לפחות 25,000 תושבי וירג’יניה, שגם הם שואבים 50% או יותר מההכנסות ברוטו ממכירת נתונים אישיים.

ה- CDPA עוקב מקרוב אחר מסגרת ה- CCPA; עם זאת, ישנם כמה הבדלים עיקריים:

• ה- CDPA אינו מכיל זכות פעולה פרטית. במקום זאת, את כל הפעולות חייבות להיות מובאות על ידי היועץ המשפטי לממשלה בווירג’יניה.
• ה- CDPA, כמו ה- CCPA, פוטר נתונים שכבר מוסדרים על ידי חוקים פדרליים רשומים מסוימים, כמו HIPAA, GLBA, FCRA, FERPA ו- COPPA. עם זאת, תחת ה- CDPA, הפטור ב- GLBA הוא רחב יותר מכיוון שהוא פוטר לחלוטין מוסדות פיננסיים, ולא רק נבדקים. בנוסף, ישנם פטורים מבוססי נתונים לחוק דיווח האשראי ההוגן, הנהג’חוק הגנת הפרטיות, וחוק זכויות ופרטיות הפדרליות לחינוך, וארגונים ללא מטרות רווח.
• ה- CDPA מכיל דרישת הצטרפות לעיבוד נתונים אישיים רגישים, אלא אם כן פטור.
• ה- CDPA מגדיר “צרכן” בצורה צרה יותר מה- CCPA. ה- CDPA לא כולל את אלה הפועלים בהקשר מסחרי או תעסוקתי.
• מתחת ל- CDPA, “מכירת מידע אישי” דורש שהשיקול יהיה כספי כדי להעפיל כמכירת נתונים. להפך, ה- CCPA מאפשר כספי או “שיקול יקר אחר.”

חוק וושינגטון הציע

חוק הפרטיות בוושינגטון, הצעת החוק לסנאט 6281 (“WPA”), מוצעת חקיקה המשקפת את ה- CCPA. כמו ה- GDPR ו- CCPA, ה- WPA מגדיל את הצרכנים’ זכויות ביחס לנתונים האישיים שלהם ומבטיחים שעסקים שקופים לגבי איסוף ועיבוד נתוני צרכנים. בנוסף, ה- WPA מאפשר לצרכנים לבטל את הסכמתם למכירת הנתונים האישיים שלהם. ה- WPA יחול על עסקים שמוצריהם או השירות שלהם מכוונים לצרכנים בוושינגטון אם העסק: (1) שולט או מעבד נתונים של יותר ממאה אלף צרכנים, או (2) שואב לפחות 50% הכנסות ממכירת נתונים אישיים וכן מעבד או שולט בנתונים אישיים של יותר מ- 25,000 צרכנים.

ל- WPA ו- CCPA יש קווי דמיון חשובים כמו: (1) תקופת תרופה של 30 יום; (2) העסק חייב למחוק צרכן’נתונים אישיים לבקשתם; ו (3) האחריות על העסק להיות פרואקטיבית לספר לצרכן אילו סוגים ספציפיים של מידע אישי העסק אוסף וכיצד משתמשים בנתונים כאלה. עם זאת, ישנם הבדלים חשובים ביניהם:

• ה- WPA מגביל את “מידע אישי” הגדרה למידע לגבי “אדם טבעי מזוהה או ניתן לזהות,” ואילו הגדרת CCPA נותרה רחבה וחלה על מידע המקושר ל- “צרכנים או משק בית מסוימים.”
• ה- WPA מקדים במפורש חוקים, תקנות ותקנות מקומיים ביחס לעיבוד נתונים אישיים על ידי בקרים או מעבדים. ה- CCPA לא.
• ה- WPA, בניגוד ל- CCPA, אינו כולל דרישת סף הכנסות.
• ה- WPA, בניגוד ל- CCPA, מקיף א “אַפלָיָה” אספקה ​​שמונעת מעסקים לקבל החלטות אוטומטיות סופיות.
• ה- WPA מגביל כיצד ניתן להשתמש בטכנולוגיית זיהוי פנים כאשר ל- CCPA אין הוראה דומה. (התחייבויות הכרת הפנים החדשות על חברות המשתמשות בהכרת פנים, אם יחקו, יעלו על ההתחייבויות הנוכחיות שעומדות בפני חברות תחת וושינגטון’S חוק פרטיות ביומטרי (RCW 19.375).)

החוק המוצע בניו יורק

מכל חקיקת הפרטיות המוצעת, חוק הפרטיות של ניו יורק (S5642) (“ניפה”) ככל הנראה הוא הצפוי ביותר מכיוון ששפתו נועזת בהרבה מה- CCPA. ה- NYPA חל באופן נרחב על “ישויות משפטיות המנהלות עסקים בניו יורק או מייצרים מוצרים או שירותים שממוקדים בכוונה לתושבי ניו יורק.” עם שפה כה רחבה, נראה כי ה- NYPA מותאם כדי להגיע לכמה שיותר עסקים תוך השמטת שפת סף הכנסות כפי שנראה ב- CCPA.

אף על פי שה- NYPA יכול להשתנות לפני שנחקק, שפתו הנוכחית יוצאת מ- CCPA בשני אופנים:

• השינוי הגדול ביותר הוא שעסקים יידרשו לפעול כמו “נאמני נתונים.” החוק המוצע קובע כי “כל גורם הגובה, מוכר או רישיון מידע אישי של הצרכנים יפעל את חובת הזהירות, הנאמנות והסודיות הצפויה לאמון ביחס להבטיח את הנתונים האישיים של צרכן כנגד סיכון פרטיות.” התחייבות זו תעשה זאת “החלף כל חובה המגיעה לבעלים או לבעל מניות” של ישות.
• ה- NYPA אינו מכיר בהסכמה משתמעת. בניגוד ל- CCPA, שמכיר בהסכמה מרומזת, ה- NYPA תחייב עסקים להפגין כי הם השיגו הסכמה ברורה ופרואקטיבית מצד הצרכנים במידת הצורך.

Takeaway הראשי

ה- GDPR’ההשפעה של ארצות הברית נמצאת כאן, ונראה כאן להישאר ככל שמדינות נוספות עוקבות אחר כך. עם שני חוקי פרטיות גדולים על כל חוף וריאציות הפזורות לבין, לא ברור אם הקונגרס בסופו של דבר יעביר חוק פדרלי כדי ליצור אחידות מסוימת. עד אז, כאשר חקיקה חדשה מפוצצת חברות ועסקים צריכים להישאר מעודכנים כדי להגן על עצמם מפני פעולה רגולטורית ותביעות פוטנציאליות.

GDPR ב- U.ג.: להיזהר במה שאתה מאחל ל

האם שערוריית הפייסבוק האחרונה יכולה לגרום לאמריקה לשנות לצמיתות את הדרך בה אנו מטפלים בחוקי הפרטיות שלנו?

סת ‘עמ’. ברמן

תשומת הלב הנוכחית בשערוריית פייסבוק/קיימברידג ‘אנליטיקה גרמה לפרשנים רבים להציע שארצות הברית צריכה לאמץ חוק שעוצב לאחר האיחוד האירופי’S רגולציה כללית להגנת נתונים (GDPR), שנכנסת לתוקף ב- 25 במאי 2018. אכן, אפילו פייסבוק עצמה הציעה לספק למשתמשים האמריקאים שלה את אותן ההגנות המסופקות למשתמשים האירופיים שלה. מעניין, אפילו ככל שיותר ויותר אמריקאים מציינים את GDPR כמודל, נראה שמעטים מאוד מבינים מה GDPR דורש למעשה. לדוגמה, רק בשבועיים האחרונים שמעתי את GDPR מסוכם על ידי מומחה כביכול “חוק המחייב את הצרכן להצטרף לשיתוף הנתונים שלהם;” חוק זה “קובע את הזכות להישכח;” וכן “אֵירוֹפָּה’חוק ההודעה על הפרת נתונים.” למרות שיש אמת בכל אחת מהטענות הללו, סיכומים כאלה מדלגים כל כך הרבה על מה ש- GDPR מחייב שהוא משאיר אנשים יותר, לא פחות, מבולבלים לגבי מה ש- GDPR כרוך, ואולי לא במקרה, מאפשר לחברות לטעון שהן מספקות הגנות דמויי GDPR מבלי להתחייב באמת להרבה.

לפני שהסביר ביתר פירוט מה באמת כרוך בתאימות GDPR, כדאי לספר את הגישות השונות לפרטיות הנתונים שהתפתחו ב- U.ג. ואיחוד האירופי. ההבדל העיקרי הגדול ביותר הוא שעד היום, מחוץ לכמה תעשיות מוסדרות בכבדות, כמו שירותי בריאות ובנקאות, ה- U.ג. אין בדרך כלל תקנות פרטיות חלות. במקום זאת, החלטות לגבי מה שניתן לעשות עם אדם’נתוני S נשארים לחברה שמגיעים לנתונים אלה, בתנאי שהחברה לא הייתה לא הגונה כיצד בכוונתה להשתמש בנתונים (מה שיפרה חוקים שונים להגנת הצרכן). מסגרת משפטית זו הביאה לתנאי שירות נרחבים מאוד שנכתבו על ידי חברות שלמעשה כל הצרכנים לוחצים ללא קריאה לפני שהם חתימים לאתר. בדרך זו, צרכנים ב- U.ג. בחרו בעיקר לספק נתונים לחברות עם מעט מאוד מגבלות בתמורה לגישה עלות בחינם או מופחתת לשירותים שהחברות מספקות. תנאי השירות הרחבים הללו הם קו ההגנה הראשון עבור כל חברה שלכאורה התעללה בצרכנים’ אמון – בעיקרו “נתת לנו אישור” (גם אם לא עשית’אני לא מבין שעשית זאת).

הקירוב הקרוב ביותר u.ג. נכון לעכשיו יש תקנת פרטיות נתונים רחבה הם חוקי ההודעות על הפרת נתונים של המדינה. חוקים אלה, המשתנים ממדינה למדינה, מחייבים בדרך כלל ארגון להודיע ​​לאנשים המושפעים אם הוא סובל מהפרת נתונים שמביאה לאובדן מידע המאפשר זיהוי אישי (PII), כגון מספר ביטוח לאומי, מספר כרטיס אשראי או תאריך לידה. אלה בכלל לא תקנות פרטיות. במקום זאת, הם לגמרי רטרואקטיביים (הם מעורבים רק לאחר שהתרחשה הפרה ביטחונית) ואין מגבלות על מה שארגון יכול לעשות עצמו עם נתונים אישיים בתנאי שהם שומרים על כך שהוא מאובטח מצדדים שלישיים לא מורשים.

מדוע ה- GDPR חשוב לך.ג. ארגונים

GDPR הוא חוק שהועבר באיחוד האירופי והיה לו השלכות משמעותיות על כל החברות הפועלות באירופה. עם זאת, חוק זה הפך להיות “תקן זהב” במקומות הרבה מעבר לאיחוד האירופי מכיוון שהוא במובנים רבים התקן החדש לאבטחת מידע ודרישות פרטיות נתונים לעסקים מכל הסוגים.

במאמר זה אנו רוצים לדון בהשפעה שיש ל- GDPR על חברות אמריקאיות ומדוע חקיקה זו צריכה להיות חשובה גם לארגונים בארה”ב. מפתח מדוע לחברות ארה”ב צריכות להיות אכפת היא מכיוון שמדובר בשיטות עבודה מומלצות ויעזור להן להיות מוכנות אם יתקבל חוק פרטיות נתונים גדולים בארה”ב.

מה ה- GDPR?

התקנה הכללית להגנת המידע (הידועה גם בשם GDPR) של האיחוד האירופי היא חוק הגנת נתונים שנכנס לתוקף בשנת 2018. היא קובעת מערך יחיד של כללים ורשויות כדי להגן על הנתונים האישיים של כל האנשים באיחוד האירופי. ה- GDPR חל על כל ארגון שמחזיק נתונים של אזרחי האיחוד האירופי וכל מי שנמצא באזור הסחר החופשי האירופי (EEA), לא רק אלה שבסיסה באיחוד האירופי.

הרגולציה הכללית להגנת נתונים (GDPR) קובעת מספר אובייקטים המטפלים, מעבדים ומגנים על נתונים. הגדרות אלה יסייעו לכם להתחיל עם GDPR וכללים קשורים. ה- GDPR מחלק מפלגות נתונים לשלוש קטגוריות: נבדקים, בקרים ומעבדים.

“נושא נתונים” הוא מישהו שהמידע שלו נאסף. “בקר נתונים” הוא ישות המחליטה את הנסיבות, המטרות והשיטות לעיבוד הנתונים האישיים של נתונים. לעומת זאת, “מעבד נתונים” הוא חברה המטפלת בנתונים אישיים מטעם הבקר.

בקרים ומעבדים יכולים להיות ממוקמים בכל מקום בעולם, כולל ארצות הברית, תחת ה- GDPR. זוהי סטייה ניכרת מתקנות האיחוד הקודמות.

מה שמהווה נתונים אישיים הוא מושג GDPR מכריע נוסף להבנה. רק נתונים שניתן להשתמש בהם כדי לזהות אדם מוגנים תחת GDPR. לדוגמה, לא ניתן להשתמש בגיל בלבד כדי לזהות אדם ואינו מכוסה על ידי GDPR, אך ניתן להשתמש בנתוני שם פלוס שם כדי לזהות אדם.

הבנת תכונות המפתח של ה- GDPR

ה- GDPR מונע בעיקר על ידי הרצון של האיחוד האירופי ליצור שוק דיגיטלי אחיד. דרישות ה- GDPR הנוכחיות מונחות על ידי המושגים המפורטים להלן, ושלושתם חלים על ארגונים אמריקאים.

מידתיות

על פי נתוני GDPR, כמות הנתונים האישיים שעובדו חייבת להיות פרופורציונלית לסיבה שלשמה היא נאספה. זה כרוך באיסוף נתונים מעט ככל האפשר ולשמור עליהם לא יותר מאשר נדרש לשרת את הצרכן.

שְׁקִיפוּת

לכל הנבדקים יש את הזכות לקבל מידע על עיבוד הנתונים האישיים שלהם ועל המטרות שלשמה משתמשים בהן. עליהם גם להסכים במפורש. (ראה סעיפים 7, 10, 11 ו- 12 למידע נוסף.) עבור מרבית החברות, GDPR מייצג שינוי משמעותי. עליכם לעבור מביטול ביטול ביטול היחסים להצטרפות בכל הקשור לעיבוד נתונים.

מטרה לגיטימית

כדי שאיסוף נתונים יהיה חוקי, על ארגונים להיות בעלי סיבה לגיטימית לכך. יש לשמור על כמות הנתונים האישיים הדרושים לביצוע משימות עסקיות למינימום. יישום משחק, למשל, אינו דורש מידע על שירותי בריאות, ולכן אין לחייב אותו לאסוף נתונים שאין להם ערך כלכלי.

מה אומר ה- GDPR על חברות אמריקאיות?

ה- GDPR אינו חל ישירות על כל החברות בארה”ב, אך הוא משפיע עליהם בעקיפין.

ה- GDPR חל על ארצות הברית כמו גם על כל המדינות האחרות ברחבי העולם. מכיוון שסעיף 3 של ה- GDPR, המציין את טווח ההגעה הגיאוגרפי של החוק, קובע כי הוא חל לא רק על חברות באיחוד, אלא גם על ארגונים מחוץ לאיחוד האירופי המספקים או עוקבים אחר הנתונים של אזרחי האיחוד, זה המצב.

אם לפחות אחת משתי הדרישות הבאות מתקיימת, ה- GDPR חל על כל המפעלים בארה”ב, ללא קשר להכנסות או לגודל העובד:

• גם אם אין אינטראקציות עסקיות, החברה מספקת סחורות או שירותים לתושבי האיחוד האירופי.
• החברה עוקבת אחר האופן בו משתמשים מתנהגים בתוך האיחוד האירופי.

שמות, פרטי קשר, פרטי מכשירים כגון כתובות IP, מידע ביומטרי, תמונות וסרטונים הם בין הנתונים האישיים וההתנהגות המכוסים על ידי ה- GDPR.

הקריטריונים לתאימות GDPR נבדלים זה מזה על פי מאפייני החברה. עסקים עם פחות מ -250 עובדים, למשל, אינם נדרשים לעקוב אחר פעולות עיבוד הנתונים שלהם. עם זאת, כאמור באמנות. 30 (5) של ה- GDPR, קריטריון זה חל רק אם העיבוד אינו מייצג סכנה לזכויות ולחירויות הנבדקים, אם לא מעובדים קטגוריות מיוחדות של נתונים, או אם העיבוד נעשה לעיתים רחוקות מאוד.

מדוע ה- GDPR משנה?

שינויים במסגרת GDPR מיועדים להעביר עסקים הרחק מגישה תאימות של תיבת קרציות להגנה על נתונים אישיים ופרטיות, ולקראת אסטרטגיה כוללת של החברה לניהול חיי הנתונים.

ראשית, ה- GDPR מכסה אזור גיאוגרפי רחב יותר. אין צורך להתבסס באירופה כדי להעפיל. GDPR יחול על כל תאגיד המנהל עסקים עם אזרחי האיחוד האירופי. גם אם אתה מספק שירות נטול רווחים, כגון אפליקציה הנגישה לאנשים באיחוד, אם אתה אוסף מידע דיגיטלי כגון כתובות IP או הפעלת עוגיות, אתה עלול להיות אחראי ל- GDPR.

יש גם עניין של DPAs לשקול. רשויות הגנת נתונים (DPAs) יוכלו להטיל קנסות קשים עוד יותר על הפרות נתונים אישיים. ל- GDPR יש גישה לשלוש שכבות לעונשים. עבור ההפרות המוגנות ביותר, כמו אי הצגת הסכמה צרכנית מספקת לעיבוד נתונים, העונש המרבי הוא 4% מההכנסות הגלובליות השנתיות, או 20 מיליון אירו. קנס של עד 2% מההכנסות השנתיות ברחבי העולם יחול על הפרות פחות משמעותיות, כגון כישלון ליידע על הפרה. העונש הגבוה ביותר על הפרת חוק הגנת המידע בבריטניה הוא 500,000 ליש”ט, והקנס הגדול ביותר עד כה היה 400,000 ליש”ט, אשר הוענק ל- TalkTalk בשנת 2016 על פגמי אבטחה שאיפשרו לתוקף סייבר לגשת לנתוני צרכנים “בקלות”.”

תאימות GDPR היא קריטית במיוחד מכיוון שהגנות טכנולוגיות וארגוניות לאבטחת נתונים אישיים יהפכו חיוניים, כאשר ה- GDPR יפרסם דוגמאות למה שצפוי. חששות אלה כוללים חשיפה והצפנה של נתונים אישיים, היכולת לשמור על סודיות, יושרה וזמינות ומנגנונים להערכת הצלחת אמצעי האבטחה.

בנוסף, היקף הנתונים האישיים הורחב כך שיכלול מזהים מקוונים כמו כתובות IP וזהות מכשירים ניידים. יידרש הסכמה מפורשת של אנשים לעיבוד נתונים אישיים, וחברות כבר לא יורשו להשתמש בתנאים והגבלות נרחבים ולא קריאים. לאנשים יהיו גם זכויות חדשות מבחינת עיבוד נתונים, כגון מחיקה של נתונים וניידות נתונים, שהיא היכולת להעביר נתונים לבקר אחר.

כיצד השפיע ה- GDPR פרטיות נתונים בינלאומית?

ה- GDPR השפיע על החקיקה בכל רחבי העולם, כולל מדינת החוק הכללי של ברזיל להגנה על נתונים אישיים, חוק הגנת המידע האישית המתוכננת של סין והצעת החוק המוצעת בהגנת המידע האישית בהודו, להזכיר כמה. בארצות הברית, קליפורניה ווירג’יניה, עברו חוקים המבוססים על ה- GDPR, בעוד שמדינות אחרות, כמו וושינגטון, עדיין עובדות על רעיונות.

בהודו, ה- GDPR שימש מודל ל- PDPB המתוכנן בהודו, אשר ככל הנראה יוגש לפני הפרלמנט בקרוב במתכונו הסופי. הודו שוקלת להרחיב את היקף החוק כך שתכלול קטגוריה של נתונים אישיים רגישים אשר ידרשו ציות גם אם לא נאספים נתונים בהודו אך מעובדים שם.

הוכח כי העקרונות הבסיסיים של ה- GDPR של פתיחות, שימור נתונים ואבטחה הוכחו כי הם יישומים באופן אוניברסלי. מאז 2018 חל שינוי משמעותי, מתוך הכרה כי טיפול בנתונים אישיים בשקיפות ובבטיחות הוא חובה.

בקנה מידה עולמי, ה- GDPR מעלה גם את פרופיל הפרטיות. ה- GDPR הייתה הזדמנות מועילה מאוד עבור אנשי מקצוע בתחום הפרטיות, הגברת אפשרויות הפרטיות, מסלולי הקריירה ומשרות תוך פיתוח מאגר כישרון פרטיות חזק ומגוון יותר. באופן נרחב יותר, ה- GDPR שימש כזרז להעברת פרטיות לראש סדר היום של המנכ”ל בכל העסקים.

ה- GDPR העלה את פרטיות הנתונים לעדיפות C-Suite בתוך ארגונים, מיהר את התבגרותן של תוכניות פרטיות רבות, והעביר תוכניות פרטיות רבות מגישה של תאימות תיבת קרציות לפיתוח תרבות של פרטיות על ידי תכנון ואחריות. רצונם של ארגונים לעמוד ב- GDPR אינו מפתיע לאור מנגנוני האכיפה של התקנה.

העתיד של תאימות GDPR ופרטיות נתונים

בעוד שה- GDPR קבע את הסטנדרט למסגרת הגנת נתונים ברחבי העולם, ניתן לשפר אותו על ידי יישור גישתו עם עקרונות החוק הבינלאומי הקיימים.

מקרי “שרמס” גרמו לבלבול רב בשנים האחרונות, ותהליך ההתאמה היה פחות פתוח. הנוהל של הערכת האם מדינה עומדת בקריטריונים של האיחוד האירופי הוא מסורבל, והחקיקה עשויה להתחזק על ידי רישום מושגים קיימים של שיתוף פעולה חוצה גבולות בסחר בינלאומי אחר.

ארגונים עוקבים אחר חקיקת החקיקה המתוכננת של האיחוד האירופי, שתחליף את הוראת ה- eprivacy בהגדרת סטנדרטים לתקשורת אלקטרונית, כמו גם הצעות לוויסות בינה מלאכותית כאשר הם פועלים באמצעות תאימות ל- GDPR. מומחי פרטיות מאמינים כי תוכניות אלה חייבות לעמוד ב- GDPR כאשר הן נבדקות.

עקרונות ה- GDPR, כמו אחריות, פתיחות וצדק, יכולים לשמש מודל לחקיקה עתידית, במטרה לפתח פתרונות רציונליים ומעשיים המגנים על אנשים. כדי למנוע פיצול של חוקי ממשל נתונים בתוך האיחוד.